Busca continuamente por todos os IPv4 em diversos segmentos da rede através da ferramenta “ping” do Sistema Operacional e no segmento onde a máquina de Monitoria tiver uma interface de rede, buscará também por hosts que não respondem ao ‘ping’ através de uma técnica de camada 2 na tabela ARP (semelhante ao ‘arping’ do Linux). O tempo médio de varredura é de 15 minutos para um segmento /24 e na função 'Only Ghost Hunting'.
- Lógica para o Ghost Hunting:
Para o SafeLan, fantasma é qualquer host numa rede corporativa que não tenha nome, ou seja, não tenha um registro tipo PTR no DNS batizando o IP do host. São dois os tipos de fantasmas para o SafeLan, aquele que responde ao ping, onde o alerta recebido nos Smartphones é Amarelo e tem aquele que sequer responde ao ping mas está vivo na camada 2 respondendo ao protocolo ARP, e nesse caso o alerta recebido nos Smartphones é Vermelho. Ambos os casos são para hosts já vistos anteriormente pelo SafeLan.
É possível colocar um determinado IP em uma única lista de exceção para esses dois tipos de fantasmas, onde dessa forma os alertas não são mais enviados para os Smartphones. Essa exceção nunca atua quando o binário IP/Hostname ainda não existe na tabela de Hostnames do SafeLan, garantindo assim que pelo menos uma vez o administrador seja notificado e tome conhecimento do que está entrando nessa na tabela e portanto, pode ser um host novo ou previamente existente em sua rede. Nesse caso os alertas serão Amarelo quando o host já tem um nome definido e Vermelho quando não tem.
Considerando que geralmente os DNSs não estão bem organizados e integrados com o DHCP, e sabendo que o processo de ‘Scavenge’ (limpeza automática do DNS para chegar a uma boa integração com o DHCP) pode chegar a um mês ou mais, o SafeLan permite uma outra forma de execução mais “Silenciosa”, indicada para esse primeiro mês, onde somente os alertas do tipo Vermelho continuam sendo enviados aos Smartphones independente do binário IP/Hostname já existir na tabela de Hostnames, evitando assim uma trabalhosa manutenção na lista de exceções do Ghost Hunting nesse primeiro mês. Ao final de cada loop é sempre enviada uma estatística básica para os Smartphones, que permite ao administrador acompanhar isso loop by loop, day by day (*ao término de cada loop também é enviada uma estatística básica para a função Cable Test). Passado um primeiro mês, pode-se então voltar a execução normal do SafeLan, menos silenciosa, onde talvez um caso ou outro mereça uma atenção especial e seja agora colocado em exceção. Essa é a lógica do Ghost Hunting do SafeLan!
O perigo de um host indesejável na sua rede não se limita somente à exposição dos seus dados mas também quanto ao uso fraudulento do seu link. Por exemplo, um hacker acessando contas bancárias para transações indevidas, 'hackeando' sites, 'hackeando' outras redes, agências governamentais mundo afora, etc. Tudo isso saindo pelo endereço IP da sua conexão Internet!!