Supponiamo che tu abbia un codice dannoso sul tuo laptop Linux, ad esempio un rootkit o trojan o qualcosa del genere. Ora limita la tua attenzione al caso in cui il codice dannoso trasferisca alcune informazioni all'hacker via Internet, ad esempio perché l'hacker vuole rubare alcuni file dal tuo computer o le tue password tramite un keylogger o perché vuole usare la tua macchina come una base per hackerare ad esempio un'azienda o un server governativo.
Essendo un laico sulla sicurezza della rete presumo che dovrebbe essere possibile solo reindirizzare (ad esempio tramite ARP-spoofing o qualcosa di simile) tutto il traffico della tua casella (A) su un'altra casella non compromessa (B) e vedere da annusando se c'è traffico sospetto. Questo sembra essere facile se sai che A non dovrebbe inviare traffico al momento (perché non navighi sul web e così via ...). Tuttavia, il codice dannoso potrebbe essere un po 'più intelligente e inviare i dati solo se c'è un altro traffico in uscita da (A), ad esempio quando navighi nel web. Allora avresti bisogno di un metodo per generare il traffico controllato in uscita dalla macchina A. La macchina B dovrebbe quindi sapere che traffico è quando viene generato, cioè aspettarsi e dovrebbe essere in grado di trovare il traffico aggiuntivo e rilevare in questo modo il virus quando segnala al server .
Credo che questo modello sia un po 'ingenuo, ma voglio imparare ulteriori dettagli tecnici su questo punto:
- Quanto è vicina la mia descrizione sopra alla realtà?
- Quali altri metodi più sofisticati potrebbero utilizzare il virus per mascherare la sua trasmissione di informazioni?
- Se lo sniffing descritto è un buon metodo per rilevare tale codice quando il codice riporta al server, come si fa a farlo in dettaglio (in linux)? E come assicurarti di individuare anche modi molto intelligenti per mascherare l'invio di informazioni?