Category Archives: Network

Analisi del traffico di rete e prevenzione

Posted on by
Reply

L’idea di analizzare piccoli sample di traffico di rete proveniente da uno o più server sotto il controllo dell’amministratore di sistema ricade in quella serie di procedure che chiamiamo “prevenzione”.

L’analisi del traffico di rete ha un’importanza fondamentale per la prevenzione e la risposta attiva nei confronti di eventuali minacce alla vulnerabilità di un sistema.

Il principale strumento per la cattura e l’analisi del traffico di rete su sistemi Linux e affini è tcpdump. In verità esistono strumenti adatti a rilevazioni distribuite che coinvolgono un determinato numero di server. Tuttavia ribadiamo ancora una volta l’importanza di saper utilizzare strumenti più a basso livello piuttosto che il “sistema automatizzato di ultima generazione [1]“.

Mezz’ora di cattura del traffico con relativa analisi è sicuramente propedeutico ed educativo per l’amministratore di sistema.

Tcpdump offre la possibilità di salvare il traffico registrato durante la cattura in un file di tipo .cap che può essere successivamente utilizzato con Wireshark :

# tcpdump -v -n -i eth0 -w cattura.cap

I file generati possono raggiungere dimensioni considerevoli in base alla quantità di pacchetti catturati ed è per questo motivo che si raccomanda la compressione del file .cap prima di un eventuali trasferimento.

In prospettiva di un successivo recupero del file .cap per un’analisi su pc desktop può essere utile la creazione di uno script per l’automazione delle procedure :

cattura del traffico > compressione del file .cap > upload su spazio esterno (ftp, sftp)

Il file di cattura ottenuto con tcpdump può essere recuperato per un’importazione all’interno di Wireshark, il popolare software per l’analisi del traffico di rete. Wireshark è uno strumento molto potente dotato inoltre di un potente motore di filtri.

Esempio :

- Visualizzare tutto il traffico escludendo i pacchetti con sorgente 55.67.90.6

ip.src ne 55.67.90.6

- Visualizzare tutto il traffico escludendo i pacchetti con destinazione 55.67.90.6

ip.dst ne 55.67.90.6

L’analisi del traffico di rete riveste un ruolo molto importante per la sicurezza di uno o più server connessi in rete. La cattura del traffico sull’host locale consente di eseguire analisi e valutazioni qualora il fornitore della colocation o l’amministratore di rete non abbia provvisto la rete di un sistema di analisi e rilevazione delle anomalie a livello di datacenter.

(Suona assurda l’idea di un datacenter privo di protezioni e dispositivi di analisi a livello di rete ma questa assurdità si trasforma in realtà dei fatti più spesso di quanto si possa pensare.

[1] una frase canzonatoria per indicare l’ultimo ritrovato software per l’analisi dei dati IT

Post simili:

Miso, il social network per i teledipendenti

Posted on by
Reply

miso 150x150 Miso, il social network per i teledipendentiFoursquare fa scuola ed ispira nuovi concept per social network abbastanza originali ma dal sapore del “già visto”. Sbarca in rete Miso, un social network per teledipendenti che fa del motto “What are you watching?” la sua attrattiva principale. Miso è basato sugli stessi principi di funzionamento di Foursquare ma è rivolto Continue reading

Post simili:

ARIN e la campagna a favore di IPv6

Posted on by
Reply

arin1 ARIN e la campagna a favore di IPv6L’ARIN, America Registry for Internet Numbers sta portando avanti una grande campagna di sensibilizzazione volta a spingere i provider ad adottare in modo massiccio e celere lo standard IPv6 per l’assegnazione degli indirizzi ip. E’ risaputo che entro il 2012 gli indirizzi ip di tipo IPv4, ovvero i classici indirizzi ip, saranno soggetti Continue reading

Post simili: