miércoles, 7 de junio de 2017

Joy es un paquete de software basado en libpcap con licencia BSD para extraer características de datos de archivos de tráfico en vivo o de captura de paquetes (pcap), utilizando un modelo orientado al flujo similar al de IPFIX o Netflow y representando estas características de datos en JSON. También contiene herramientas de análisis que se pueden aplicar a estos archivos de datos. Joy se puede utilizar para explorar datos a escala, especialmente seguridad y datos relevantes de amenazas.


JSON se utiliza para poder compartir la salida con las herramientas de análisis de datos. El motivo de usar estos archivos de salida JSON son: detallados, razonablemente pequeños y responden bien a la compresión.

Joy puede configurarse para obtener datos “intraflow”, es decir, datos e información sobre eventos que ocurren dentro de un flujo de red, incluyendo:

  • La secuencia de longitudes y tiempos de llegada de los paquetes IP, hasta un número configurable de paquetes.
  • La distribución de probabilidad empírica de los bytes dentro de la porción de datos de un flujo y la entropía derivada de ese valor,
  • La secuencia de longitudes y tiempos de llegada de los registros TLS,
  • Otros datos TLS no cifrados, como la lista de ciphersuites ofrecidos, el ciphersuite seleccionado, la longitud del campo “clientKeyExchange” y las cadenas de certificados del servidor.
  • Nombres DNS, direcciones y TTL.
  • Elementos de encabezado HTTP y los primeros ocho bytes del cuerpo HTTP.
  • El nombre del proceso asociado con el flujo, de los flujos que se originen o terminen en el host en el que se está ejecutando pcap.


Joy está pensado para su uso en investigación de seguridad, informática forense y para la motorización de redes (pequeñas) para detectar vulnerabilidades, amenazas y otros comportamientos no autorizados o no deseados. Los investigadores, los administradores, los pentester y los administradores de seguridad pueden utilizar esta información para: proteger a las redes que se supervisan, las vulnerabilidades y en beneficio de la comunidad en general mediante una mejor postura defensiva. Al igual que con cualquier herramienta de motorización de red, Joy podría ser mal utilizado, no se debería utilizar en ninguna red de la que no sea el propietario o el administrador.

Más información y descarga de Joy:
https://github.com/cisco/joy

Via: www.gurudelainformatica.es