Dzięki temu, że oba wspomniane rozwiązania open source i niektóre produkty komercyjne wspierają wyrażenia regularne, za ich pomocą można zablokować i wykryć także ten ruch, którego producent IPS lub zapory nie zna. Nie zawsze alarm oznacza wykrycie wycieku danych, ale często może być to pierwszy sygnał wiodący do wykrycia nadużycia.

Trudno wykryć spyware

Kontrola ruchu może także wskazać zagrożenia, które uciekłyby tradycyjnym narzędziom ochrony stacji roboczych. Dzisiejsze złośliwe oprogramowanie, z nielicznymi wyjątkami, pozostaje ukryte i często można je wykryć jedynie na podstawie ruchu sieciowego. Gdy działa ono po cichu, emitując co pewien czas proste zapytanie do różnych serwerów (w tym celu korzysta z serwisów dynamicznego DNS, takich jak DynDNS lub NoIP), tradycyjny monitoring ruchu nie pokaże niczego interesującego. Dopiero zapisanie większej porcji informacji i dokładna analiza (włącznie z geokodowaniem) może naprowadzić na ślad działającego spyware'u.

Dokładne przejrzenie historii połączeń z danego adresu, włącznie z dekodowaniem strumienia sprawi, że zostanie wykryte źródło infekcji. Do tego celu można użyć narzędzi, takich jak tcpdump, Snort, Ethereal lub Wireshark, ale są ataki, które wymykają się takiej kontroli. Wtedy jedynym orężem może być analizator, np. Netwitness, który potrafi przechwycić cały ruch, a następnie odtworzyć go, dekodując nie tylko strumień TCP, ale także wygląd pobieranej strony WWW, rzeczywisty kod wykonany przez przeglądarkę, całą treść korespondencji pocztą elektroniczną, a nawet hasła i parametry sesji. Przypadek wykorzystania technologii Netwitness do przechwycenia ruchu pochodzącego od nieznanego dotąd spyware opisywaliśmy w Computerworld 4/2009.

Kabel pod lupą

Czasami niezbędne jest dokładne monitorowanie ruchu konkretnej maszyny. Dział IT posiada wtedy dwa bardzo mocne narzędzia: tap i duplikowanie ruchu przez przełącznik. Tap jest to urządzenie włączane między maszynę a przełącznik sieciowy, które kopiuje ruch do portu analizującego. Zaletą tap jest jego niezawodność, brak ingerencji w ruch oraz brak opóźnień, gdyż wejście jest połączone na stałe z wyjściem. Wyłączenie zasilania tap nie powoduje żadnej przerwy w transmisji, ucierpi jedynie analiza danych.

Drugą metodą jest duplikowanie przez przełącznik całego ruchu z badanego portu na drugi port analizujący. Niemal wszystkie nowoczesne zarządzane przełączniki sieciowe to potrafią, niektóre z nich (na przykład urządzenia HP ProCurve 6200yl) umożliwiają skopiowanie analizowanego ruchu między zdalnymi urządzeniami, przez sieć.