INTERNET <-A-> ROUTER <-B-> PC
Pensiamo teoricamente che specchiamo la porta su un ROUTER in un file. Quindi il traffico di rete completo su di esso.
Domanda: è possibile avere ancora comunicazioni su quel filo (tra il PC e INTERNET) che non saranno nel file di acquisizione?
Per essere più specifici: il PC può bypassare lo sniffing con ex .: utilizzando un nuovo protocollo?
L'importante è il traffico. Non che sia criptato o meno.
Sì , ma in circostanze molto limitate.
Sotto carichi pesanti È noto che le porte SPAN rilasciano pacchetti. Costretto a scegliere tra continuare a instradare / cambiare traffico o specularlo su una seconda interfaccia, il primo avrà sempre la precedenza.
È è del tutto possibile che un PCAP non contenga tutto il traffico speculare che ci si aspetta, ma è improbabile che un utente possa ignorarlo deliberatamente a meno che non abbia anche inondato il dispositivo.
Questo è praticamente il caso d'uso che abbiamo per monitorare il traffico del mainframe. Le porte SPAN non sono affidabili al 100%. Non utilizzare il mirroring se hai bisogno di prove incontrovertibili dell'attività di rete. Acquista un tocco.
No, lo scopo di uno sniffer è quello di catturare tutti i pacchetti, a meno che non sia stato applicato un filtro al momento dell'acquisizione. L'uso di un nuovo protocollo potrebbe significare che i dati non possono essere automaticamente renderizzati o analizzati con maggiore sforzo, ma scoprirai che sono tutti ancora salvati nel file.
Tutto ciò che sta facendo lo sniffer è analizzare i dati acquisiti nello stesso modo in cui farebbe un router o un gateway, la differenza è che registra facoltativamente tutto e non ignora automaticamente pacchetti o pacchetti malformati che normalmente non sarebbe in grado di instradare ovunque .
La soluzione migliore per nascondere i dati di uno sniffer è crittografare i dati o nasconderli tra altri tipi di traffico.
Il mirroring delle porte (SPAN, RSPAN, RAP e così via) tipicamente copia il traffico a livello di pacchetto. Puoi bypassarlo solo su un livello di rete simile o inferiore. A seconda del modo in cui è configurato il mirroring, ciò significa che dovrai utilizzare una connessione a livello fisico diversa (ad esempio un hotspot wireless) o instradare i pacchetti per bypassare il punto di cattura (bridging, vlan).
Ora, il mirroring delle porte non decodifica magicamente il tuo traffico. Ad esempio, se si crea un tunnel VPN e si indirizza tutto il traffico attraverso di esso, tale acquisizione sarà del tutto inutile nel determinare ciò che viene inviato, ma è comunque possibile determinare l'endpoint VPN e la quantità di dati e quando è stato inviato. Se utilizzi HTTPS, sarà possibile determinare quali siti web hai visitato, ma non quello che hai fatto lì (ad esempio, controllando gmail, non saranno in grado di leggere la tua email con il solo mirroring delle porte). Se si utilizza semplicemente HTTP (ad esempio la pubblicazione sullo scambio di stack), è possibile vedere nell'acquisizione del pacchetto non solo quella che si è visitato qui, ma in realtà ciò che è stato pubblicato.
Ovviamente può bypassare lo sniffer. Può sempre utilizzare un hotspot sul suo telefono e quindi non è possibile vedere il traffico da quel PC. Non so dove stai cercando, ma questa è sempre una possibilità ...