fbpx
Wikipedia

Análisis de tráfico

Agosto 05, 2021

[1]​Se llama análisis de tráfico al proceso de inferir información a partir de las características del tráfico de comunicación sin analizar la información que se intercambian los comunicantes. Para obtener información podemos basarnos por ejemplo en el origen y destino de las comunicaciones, su tamaño, su frecuencia, la temporización, patrones de comunicación, etc.

El análisis de tráfico está muy relacionado con el análisis de paquetes y se suelen usar de forma conjunta. En el análisis de paquetes se estudia la información contenida en los paquetes que circulan por la red y a partir de eso trata de inferir información.

Aplicación

[1]​El origen del análisis de tráfico se encuentra en el análisis de los tráficos de información que tradicionalmente se ha hecho para aplicaciones militares. Este tipo de sistemas tradicionalmente infieren información a partir del análisis de las señales de comunicación. Hoy día el análisis de tráfico es muy útil para inferir información a partir del tráfico que hay en las redes de comunicaciones.

Señales electromagnéticas

El origen de la realización de análisis del tráfico sobre señales electrómagnéticas que transportan información hay que buscarlo en la Primera Guerra Mundial. En ella se estudiaba la dinámica de las comunicaciones militares para a partir de ellas deducir información. Por ejemplo se podía deducir información sobre los movimientos de tropas, localización de cuarteles generales o cadenas de mando de las tropas. Este tipo de técnicas tenían la ventaja de deducir información sin necesidad de acceder al contenido del mensaja en sí, el cual estaba normalmente cifrado u ofuscado.

En el contexto militar, el análisis de tráfico es una parte básica de la inteligencia de señales.

Ejemplos

Como ejemplos típicos de aplicación del análisis del tráfico de las señales podemos ver:

  • Si detectamos frecuentes comunicaciones puede significar que se está planeando algo.
  • Si detectamos comunicaciones rápidas y cortas puede significar negociaciones.
  • Si detectamos falta de comunicaciones puede indicar la falta de actividad o que la realización del plan ha finalizado.
  • Si detectamos frecuentes comunicaciones a una estación específica desde una estación central puede indicar un algo cargo de la cadena de mando.
  • Si detectamos quien habla con quien podemos averiguar que estaciones están al mando o la estación de control. Esto implica qué personal se comunica a través de cierta estación.
  • Si detectamos quien habla y cuando podemos saber que estaciones están activas cuando están sucediendo ciertos eventos, lo cual puede implicar algo sobre la información que se está transmitiendo y quizá algo sobre el personal asociado a dicha estación.
  • Si detectamos cambios frecuentes de estación o del medio utilizado para la comunicación, podríamos deducir posibles movimientos o miedo a la intercepción.

Redes de comunicaciones

En el contexto de las redes de comunicaciones, el análisis del tráfico infiere información a partir las características observables de los datos que circulan por la red. Por ejemplo, puede ser interesante el tamaño de los paquetes o la temporización de los mensajes. Este tipo de técnicas pueden ser utilizadas por atacantes para por ejemplo deducir tamaños de claves durante sesiones interactivas o para deducir el origen y destino de una comunicación. También puede ser utilizada por administradores de red para descubrir actividades potencialmente maliciosas.

Por tanto la seguridad informática se ocupa del estudio de las técnicas de análisis de tráfico y de contramedidas para protegernos de dicho tipo de técnicas

[1]​La elección de la característica del tráfico que es usada en el análisis de tráfico depende fuertemente de el tipo de información que queremos inferir y de los protocolos subyancentes involucrados. Por ejemplo:

  • [1]​Para detectar una comunicación de voz sobre ip nos podemos basar en las temporizaciones de los mensajes. En efecto los protocolos de voz sobre ip envía paquetes a intervalos fijos de tiempo para asegurarse una calidad de llamada.
  • [1]​Para deducir que información está accediéndose vía SSL podemos usar el tamaño de los paquetes. Esto es debido a que el tamaño de los paquetes SSL frecuentemente es similar a el tamaño de los contenidos en texto plano.

Ejemplos

Ejemplos de uso de análisis de tráfico para obtener información sobre:[1][2]

  • [3]​El idioma usado en llamadas por VoIP
  • [4]​Contraseñas utilizadas en para el acceso a SSH.
  • [5][6]​Hábitos de navegación web
  • [7][8]​Menoscabar el anonimato en redes que intentan proveer comunicación sin que un observador pueda saber que entidades se están comunicando (anonimato a nivel de red) (Darknets).
  • Descubrir potenciales usos maliciosos de la red.[9][10][11]​Por ejemplo es típico el uso de análisis de tráfico para detectar ataques que se realizan a desde máquinas intermedias previamanete comprometidas(los llamados en inglés steeping stones).
  • [12][13][14]​Clasificación de flujos de tráfico cifrados. Se establece que aplicación o tipo de aplicación los genera.

Contramedidas

El objetivo de las contramedidas es destruir, o al menos reducir, las relaciones existentes entre lo que se quiere comunicar, lo que se puede observa en el tráfico y lo que quiere saber el observador sobre la comunicación.

Las técnicas principales para evitar que se pueda inferir información a partir del análisis del tráfico son las siguientes:

  • Hacer difícil la detección del tráfico en sí mismo y de las relaciones que existen entre los distintos mensajes. Por ejemplo en sistemas de comunicación por señales electrómagnéticas se recomienda cambiar frecuentemente el tipo de señales usadas. De esta forma se dificulta que se asocie unas transmisiones con otras. Otro ejemplo de esta técnica es el uso de esteganografía.
  • Uso de técnicas criptográficas no solo para ocultar la información en sí, sino también para ocultar cualquier información que viaje en el mensaje o asociado a este (Ej. información de direccionamiento, información de control, metadatos técnicos o datos de protocolos subyacentes). De esta forma además de proteger la información, nos protegemos frente a posibles deducciones de correspondencias entre los paquetes que circulan por la red.
  • Simulación del envío de información, es decir, enviar datos que no sirven más que para confundir al analista y que no sepa distinguir el tráfico de información del tráfico de información de relleno.
  • Introducción de métodos de encaminamiento no directos. Si A se quiere comunicar con B, no usar un camino directo sino uno indirecto y de esta forma hacer que el camino real sea difícil de detectar. Por ejemplo, para conseguir este propósito en el ámbito de las redes de comunicaciones es frecuente el uso de encaminamiento de cebolla o comunicarnos a través de una serie de proxys.
  • Empleo de técnicas que intentan engañar al observador para que este establezca relaciones falsas a partir de las que haga inferencias incorrectas. Por ejemplo hay propuestas[2]​ para transformar el tráfico (en inglés morphing traffic) de forma que análisis de tráfico estadísticos devuelvan resultados incorrectos y que clasifiquen un tráfico de cierto tipo como de otro tipo diferente.

Referencias

  1. Henk C. A. Van Tilborg, Sushil Jajodia, "Encyclopedia of Cryptography and Security", Volumen 1. Second Edition. Springer 2011
  2. Charles V. Wright et al."Traffic Morphing: An Efficient Defense Against Statistical Traffic Analysis"
  3. C. V. Wright, L. Ballard, F. Monrose, and G. M. Masson. "Language Identification of Encrypted VoIP Traffic: Alejandra y Roberto or Alice and Bob?". In Proceedings of the 16th Annual USENIX Security Symposium, pages 43–54, Boston, MA, August 2007.
  4. D. Song, D. Wagner, and X. Tian. "Timing analysis of keystrokes and SSH timing attacks". In Proceedings of the 10th USENIX Security Symposium, August 2001.
  5. M. Liberatore and B. Levine. "Inferring the Source of Encrypted HTTP Connections". In Proceedings of the ACM conference on Computer and Communications Security, pages 255–263, October 2006.
  6. Q. Sun, D. R. Simon, Y.-M. Wang, W. Russell, V. N. Padmanabhan, and L. Qiu. Statistical identification of encrypted web browsing traffic. In Proceedings of the IEEE Symposium on Security and Privacy, pages 19–30, May 2002.
  7. Adam Back,"Traffic Analysis Attacks and Trade-Offs in Anonymity Providing Systems"
  8. Marc Rennhard,"Practical Anonymity for the Masses with Mix-Networks",Networks Laboratory; Zurich Switzerland. February 2003
  9. Donoho D. et al.,"Multiscale Stepping-Stone Detection: Detection Pairs of Jittered Interactive Streams by Exploiting Maximum Tolerable Day"
  10. Yin Zhang et al."Detecting Stepping Stones"
  11. Wang X."Inter-packet delay based correlation for tracing encrypted connections through steeping stones"
  12. Thomas Karagiannis et al.,"BLINC: Multilevel Traffic Classification in the Dark"
  13. Patrick McDaniel et al."Enterprise Security: A Community of Interest Based Approach"
  14. Kuai Xu et al."Profiling Internet Backbone Traffic: Behavior Models and Applications"
  •   Datos: Q7832483

Agosto 05, 2021
análisis, tráfico, llama, análisis, tráfico, proceso, inferir, información, partir, características, tráfico, comunicación, analizar, información, intercambian, comunicantes, para, obtener, información, podemos, basarnos, ejemplo, origen, destino, comunicacion. 1 Se llama analisis de trafico al proceso de inferir informacion a partir de las caracteristicas del trafico de comunicacion sin analizar la informacion que se intercambian los comunicantes Para obtener informacion podemos basarnos por ejemplo en el origen y destino de las comunicaciones su tamano su frecuencia la temporizacion patrones de comunicacion etc El analisis de trafico esta muy relacionado con el analisis de paquetes y se suelen usar de forma conjunta En el analisis de paquetes se estudia la informacion contenida en los paquetes que circulan por la red y a partir de eso trata de inferir informacion Indice 1 Aplicacion 1 1 Senales electromagneticas 1 1 1 Ejemplos 1 2 Redes de comunicaciones 1 2 1 Ejemplos 2 Contramedidas 3 ReferenciasAplicacion Editar 1 El origen del analisis de trafico se encuentra en el analisis de los traficos de informacion que tradicionalmente se ha hecho para aplicaciones militares Este tipo de sistemas tradicionalmente infieren informacion a partir del analisis de las senales de comunicacion Hoy dia el analisis de trafico es muy util para inferir informacion a partir del trafico que hay en las redes de comunicaciones Senales electromagneticas Editar El origen de la realizacion de analisis del trafico sobre senales electromagneticas que transportan informacion hay que buscarlo en la Primera Guerra Mundial En ella se estudiaba la dinamica de las comunicaciones militares para a partir de ellas deducir informacion Por ejemplo se podia deducir informacion sobre los movimientos de tropas localizacion de cuarteles generales o cadenas de mando de las tropas Este tipo de tecnicas tenian la ventaja de deducir informacion sin necesidad de acceder al contenido del mensaja en si el cual estaba normalmente cifrado u ofuscado En el contexto militar el analisis de trafico es una parte basica de la inteligencia de senales Ejemplos Editar Como ejemplos tipicos de aplicacion del analisis del trafico de las senales podemos ver Si detectamos frecuentes comunicaciones puede significar que se esta planeando algo Si detectamos comunicaciones rapidas y cortas puede significar negociaciones Si detectamos falta de comunicaciones puede indicar la falta de actividad o que la realizacion del plan ha finalizado Si detectamos frecuentes comunicaciones a una estacion especifica desde una estacion central puede indicar un algo cargo de la cadena de mando Si detectamos quien habla con quien podemos averiguar que estaciones estan al mando o la estacion de control Esto implica que personal se comunica a traves de cierta estacion Si detectamos quien habla y cuando podemos saber que estaciones estan activas cuando estan sucediendo ciertos eventos lo cual puede implicar algo sobre la informacion que se esta transmitiendo y quiza algo sobre el personal asociado a dicha estacion Si detectamos cambios frecuentes de estacion o del medio utilizado para la comunicacion podriamos deducir posibles movimientos o miedo a la intercepcion Redes de comunicaciones Editar En el contexto de las redes de comunicaciones el analisis del trafico infiere informacion a partir las caracteristicas observables de los datos que circulan por la red Por ejemplo puede ser interesante el tamano de los paquetes o la temporizacion de los mensajes Este tipo de tecnicas pueden ser utilizadas por atacantes para por ejemplo deducir tamanos de claves durante sesiones interactivas o para deducir el origen y destino de una comunicacion Tambien puede ser utilizada por administradores de red para descubrir actividades potencialmente maliciosas Por tanto la seguridad informatica se ocupa del estudio de las tecnicas de analisis de trafico y de contramedidas para protegernos de dicho tipo de tecnicas 1 La eleccion de la caracteristica del trafico que es usada en el analisis de trafico depende fuertemente de el tipo de informacion que queremos inferir y de los protocolos subyancentes involucrados Por ejemplo 1 Para detectar una comunicacion de voz sobre ip nos podemos basar en las temporizaciones de los mensajes En efecto los protocolos de voz sobre ip envia paquetes a intervalos fijos de tiempo para asegurarse una calidad de llamada 1 Para deducir que informacion esta accediendose via SSL podemos usar el tamano de los paquetes Esto es debido a que el tamano de los paquetes SSL frecuentemente es similar a el tamano de los contenidos en texto plano Ejemplos Editar Ejemplos de uso de analisis de trafico para obtener informacion sobre 1 2 3 El idioma usado en llamadas por VoIP 4 Contrasenas utilizadas en para el acceso a SSH 5 6 Habitos de navegacion web 7 8 Menoscabar el anonimato en redes que intentan proveer comunicacion sin que un observador pueda saber que entidades se estan comunicando anonimato a nivel de red Darknets Descubrir potenciales usos maliciosos de la red 9 10 11 Por ejemplo es tipico el uso de analisis de trafico para detectar ataques que se realizan a desde maquinas intermedias previamanete comprometidas los llamados en ingles steeping stones 12 13 14 Clasificacion de flujos de trafico cifrados Se establece que aplicacion o tipo de aplicacion los genera Contramedidas EditarEl objetivo de las contramedidas es destruir o al menos reducir las relaciones existentes entre lo que se quiere comunicar lo que se puede observa en el trafico y lo que quiere saber el observador sobre la comunicacion Las tecnicas principales para evitar que se pueda inferir informacion a partir del analisis del trafico son las siguientes Hacer dificil la deteccion del trafico en si mismo y de las relaciones que existen entre los distintos mensajes Por ejemplo en sistemas de comunicacion por senales electromagneticas se recomienda cambiar frecuentemente el tipo de senales usadas De esta forma se dificulta que se asocie unas transmisiones con otras Otro ejemplo de esta tecnica es el uso de esteganografia Uso de tecnicas criptograficas no solo para ocultar la informacion en si sino tambien para ocultar cualquier informacion que viaje en el mensaje o asociado a este Ej informacion de direccionamiento informacion de control metadatos tecnicos o datos de protocolos subyacentes De esta forma ademas de proteger la informacion nos protegemos frente a posibles deducciones de correspondencias entre los paquetes que circulan por la red Simulacion del envio de informacion es decir enviar datos que no sirven mas que para confundir al analista y que no sepa distinguir el trafico de informacion del trafico de informacion de relleno Introduccion de metodos de encaminamiento no directos Si A se quiere comunicar con B no usar un camino directo sino uno indirecto y de esta forma hacer que el camino real sea dificil de detectar Por ejemplo para conseguir este proposito en el ambito de las redes de comunicaciones es frecuente el uso de encaminamiento de cebolla o comunicarnos a traves de una serie de proxys Empleo de tecnicas que intentan enganar al observador para que este establezca relaciones falsas a partir de las que haga inferencias incorrectas Por ejemplo hay propuestas 2 para transformar el trafico en ingles morphing traffic de forma que analisis de trafico estadisticos devuelvan resultados incorrectos y que clasifiquen un trafico de cierto tipo como de otro tipo diferente Referencias Editar a b c d e f Henk C A Van Tilborg Sushil Jajodia Encyclopedia of Cryptography and Security Volumen 1 Second Edition Springer 2011 a b Charles V Wright et al Traffic Morphing An Efficient Defense Against Statistical Traffic Analysis C V Wright L Ballard F Monrose and G M Masson Language Identification of Encrypted VoIP Traffic Alejandra y Roberto or Alice and Bob In Proceedings of the 16th Annual USENIX Security Symposium pages 43 54 Boston MA August 2007 D Song D Wagner and X Tian Timing analysis of keystrokes and SSH timing attacks In Proceedings of the 10th USENIX Security Symposium August 2001 M Liberatore and B Levine Inferring the Source of Encrypted HTTP Connections In Proceedings of the ACM conference on Computer and Communications Security pages 255 263 October 2006 Q Sun D R Simon Y M Wang W Russell V N Padmanabhan and L Qiu Statistical identification of encrypted web browsing traffic In Proceedings of the IEEE Symposium on Security and Privacy pages 19 30 May 2002 Adam Back Traffic Analysis Attacks and Trade Offs in Anonymity Providing Systems Marc Rennhard Practical Anonymity for the Masses with Mix Networks Networks Laboratory Zurich Switzerland February 2003 Donoho D et al Multiscale Stepping Stone Detection Detection Pairs of Jittered Interactive Streams by Exploiting Maximum Tolerable Day Yin Zhang et al Detecting Stepping Stones Wang X Inter packet delay based correlation for tracing encrypted connections through steeping stones Thomas Karagiannis et al BLINC Multilevel Traffic Classification in the Dark Patrick McDaniel et al Enterprise Security A Community of Interest Based Approach Kuai Xu et al Profiling Internet Backbone Traffic Behavior Models and Applications Datos Q7832483Obtenido de https es wikipedia org w index php title Analisis de trafico amp oldid 122801258, wikipedia, wiki, leyendo, leer, libro, biblioteca,

español

, española, descargar, gratis, descargar gratis, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, imagen, música, canción, película, libro, juego, juegos