Anlisis de trfico

Se llama anlisis de trfico al proceso de inferir informacin a partir de las caractersticas

del trfico de comunicacin sin analizar la informacin que se intercambian los comunicantes.
Para obtener informacin podemos basarnos por ejemplo en el origen y destino de las
comunicaciones, su tamao, su frecuencia, la temporicacin, patrones de comunicacin, etc.
El anlisis de trfico est muy relacionado con el anlisis de paquetes y se suelen usar de
forma conjunta. En el anlisis de paquetes se estudia la informacin contenida en los
paquetes que circulan por la red y a partir de eso trata de inferir informacin.
ndice
[ocultar]

1Aplicacin
1.1Seales electromagnticas

1.1.1Ejemplos

1.2Redes de comunicaciones

1.2.1Ejemplos

2Contramedidas

3Referencias

Aplicacin[editar]
1

El origen del anlisis de trfico se encuentra en el anlisis de los trficos de informacin que
tradicionalmente se ha hecho para aplicaciones militares. Este tipo de sistemas
tradicionalmente infieren informacin a partir del anlisis de las seales de comunicacin. Hoy
da el anlisis de trfico es muy til para inferir informacin a partir del trfico que hay en
las redes de comunicaciones.

Seales electromagnticas[editar]
El origen de la realizacin de anlisis del trfico sobre seales electrmagnticas que
transportan informacin hay que buscarlo en la Primera Guerra Mundial. En ella se estudiaba
la dinmica de las comunicaciones militares para a partir de ellas deducir informacin. Por
ejemplo se poda deducir informacin sobre los movimientos de tropas, localizacin de
cuarteles generales o cadenas de mando de las tropas. Este tipo de tcnicas tenan la ventaja
de deducir informacin sin necesidad de acceder al contenido del mensaja en s, el cual
estaba normalmente cifrado u ofuscado.
En el contexto militar, el anlisis de trfico es una parte bsica de la inteligencia de seales.
Ejemplos[editar]
Como ejemplos tpicos de aplicacin del anlisis del trfico de las seales podemos ver:

Si detectamos frecuentes comunicaciones puede significar que se est planeando

algo.

Si detectamos comunicaciones rpidas y cortas puede significar negociaciones.

Si detectamos falta de comunicaciones puede indicar la falta de actividad o que la

realizacin del plan ha finalizado.

Si detectamos frecuentes comunicaciones a una estacin especfica desde una

estacin central puede indicar un algo cargo de la cadena de mando.

Si detectamos quien habla con quien podemos averiguar que estaciones estn al
mando o la estacin de control. Esto implica qu personal se comunica a travs de cierta
estacin.

Si detectamos quien habla y cuando podemos saber que estaciones estn activas
cuando estn sucediendo ciertos eventos, lo cual puede implicar algo sobre la informacin
que se est transmitiendo y quiz algo sobre el personal asociado a dicha estacin.

Si detectamos cambios frecuentes de estacin y/o del medio utilizado para la

comunicacin, podramos deducir posibles movimientos o miedo a la intercepcin.

Redes de comunicaciones[editar]
En el contexto de las redes de comunicaciones, el anlisis del trfico infiere informacin a
partir las caractersticas observables de los datos que circulan por la red. Por ejemplo, puede
ser interesante el tamao de los paquetes o la temporizacin de los mensajes. Este tipo de
tcnicas pueden ser utilizadas por atacantes para por ejemplo deducir tamaos de claves
durante sesiones interactivas o para deducir el origen y destino de una comunicacin. Tambin
puede ser utilizada por administradores de red para descubrir actividades potencialmente
maliciosas.
Por tanto la seguridad informtica se ocupa del estudio de las tcnicas de anlisis de trfico y
de contramedidas para protegernos de dicho tipo de tcnicas
1

La eleccin de la caracterstica del trfico que es usada en el anlisis de trfico depende

fuertemente de el tipo de informacin que queremos inferir y de los protocolos subyancentes
involucrados. Por ejemplo:

Para detectar una comunicacin de voz sobre ip nos podemos basar en las
temporizaciones de los mensajes. En efecto los protocolos de voz sobre ip enva paquetes
a intervalos fijos de tiempo para asegurarse una calidad de llamada.
1

Para deducir que informacin est accedindose va SSL podemos usar el tamao
de los paquetes. Esto es debido a que el tamao de los paquetes SSL frecuentemente es
similar a el tamao de los contenidos en texto plano.

Ejemplos[editar]
Ejemplos de uso de anlisis de trfico para obtener informacin sobre: 1 2

El idioma usado en llamadas por VoIP

5 6

7 8

Menoscabar el anonimato en redes que intentan proveer comunicacin sin que un

observador pueda saber que entidades se estn comunicando (anonimato a nivel de red)
(Darknets).

Descubrir potenciales usos maliciosos de la red.9 10 11 Por ejemplo es tpico el uso de

anlisis de trfico para detectar ataques que se realizan a desde mquinas intermedias
previamanete comprometidas(los llamados en ingls steeping stones).

Contraseas utilizadas en para el acceso a SSH.

Hbitos de navegacin web

12 13 14

Clasificacin de flujos de trfico cifrados. Se establece que aplicacin o tipo de

aplicacin los genera.

Contramedidas[editar]
El objetivo de las contramedidas es destruir, o al menos reducir, las relaciones existentes entre
lo que se quiere comunicar, lo que se puede observa en el trfico y lo que quiere saber el
observador sobre la comunicacin.
Las tcnicas principales para evitar que se pueda inferir informacin a partir del anlisis del
trfico son las siguientes:

Hacer difcil la deteccin del trfico en s mismo y de las relaciones que existen entre
los distintos mensajes. Por ejemplo en sistemas de comunicacin por seales
electrmagnticas se recomienda cambiar frecuentemente el tipo de seales usadas. De
esta forma se dificulta que se asocie unas transmisiones con otras. Otro ejemplo de esta
tcnica es el uso de esteganografa.

Uso de tcnicas criptogrficas no solo para ocultar la informacin en s, sino tambin

para ocultar cualquier informacin que viaje en el mensaje o asociado a este (Ej.
informacin de direccionamiento, informacin de control, metadatos tcnicos o datos de
protocolos subyacentes). De esta forma adems de proteger la informacin, nos
protegemos frente a posibles deducciones de correspondencias entre los paquetes que
circulan por la red.

Simulacin del envo de informacin, es decir, enviar datos que no sirven ms que
para confundir al analista y que no sepa distinguir el trfico de informacin del trfico
deinformacin de relleno.

Introduccin de mtodos de encaminamiento no directos. Si A se quiere comunicar con

B, no usar un camino directo sino uno indirecto y de esta forma hacer que el camino real
sea difcil de detectar. Por ejemplo, para conseguir este propsito en el mbito de las
redes de comunicaciones es frecuente el uso de encaminamiento de cebolla o
comunicarnos a travs de una serie de proxys.

Empleo de tcnicas que intentan engaar al observador para que este establezca
relaciones falsas a partir de las que haga inferencias incorrectas. Por ejemplo hay
propuestas2 para transformar el trfico (en ingls morphing traffic) de forma que anlisis

de trfico estadsticos devuelvan resultados incorrectos y que clasifiquen un trfico de

cierto tipo como de otro tipo diferente.

Referencias[editar]
1.

Saltar a:a b c d e f