WiseDataSecurity.com

Introducción a los Sniffer

wisedatasecurity.com
Actualizado: 

  

Los Sniffer pueden ser en forma de programa (Software como WireShark) o en forma de dispositivo (device) de hardware. Estos se usan para monitorear o capturar la data o el tráfico que viaja sobre o atreves de una red en particular. Los administradores de redes usan los Sniffers, por ejemplo, para el manejo de una red y otras actividades o funciones legitimas. Los Hackers usan los Sniffers para actividades ilegales como el robo de información transmitida en la red donde están conectados.

Los Sniffer están disponibles para todos los Sistemas Operativos y los hay comerciales y de código abierto. Los más sencillos son de línea de comandos y muestran la data capturada en la pantalla, mientras que los más sofisticados utilizan interfaz grafica de usuario (GUI) y muestran estadísticas detalladas, graficas del tráfico en la red y otros detalles de los paquetes capturados.

También pueden rastrear múltiples sesiones y vienen con un sinfín de opciones para configurarlos y sacarles el máximo provecho.

¿Como trabajan los Sniffer?

Los Sniffer trabajan capturando paquetes NO destinados por las direcciones MAC del sistema en vez del destino de las direcciones MAC. Esto se conoce como promiscuous mode (modo promiscuo). Un sistema en la red que funciona de manera normal, lee y responde solo a trafico enviado directamente a su dirección MAC.

Los sistemas que se encuentran en modo promiscuo, leen todo el tráfico y lo envían al sniffer para que este interprete la data capturada. El modo promiscuo es habilitado en la tarjeta de red por un software (driver) especial. Pero no se preocupe la mayoría de los sniffer incluyen este driver para facilitarle a usted este proceso.

Una computadora conectada a una red de área local (LAN) tiene 2 direcciones. Una es la dirección MAC y la otra es la dirección IP. La dirección Mac es la que identifica cada nodo en una red y esta es almacenada en la propia tarjeta de red (network card). El protocolo Ethernet utiliza la dirección MAC para transferir data desde y hacia sistemas.

La dirección IP es usada por las aplicaciones o programas, es aquí donde entra en función la capa o pila de enlace de datos (Data Link Layer) del Modelo OSI, esta capa utiliza un encabezado del protocolo Ethernet con la dirección MAC de la computadora destino en vez de la dirección IP. La capa de red (Network Layer) es la que se encarga de “mapear” las direcciones IP de una red.

Los 2 tipos de ambientes Ethernet:

Ethernet Compartido (Shared Ethernet) - en este tipo de ambiente todas las computadoras están conectadas al mismo Hub o concentrador y compiten entre ellas por el ancho de banda (bandwidth). Porque los Hubs envían todo el tráfico a todos los puertos de las computadoras conectadas a él. Hacer Sniffing en un Ethernet compartido es totalmente pasivo y es bien difícil de detectar.

WireShark Capture
HUB: Fuente Imagen: http://www.connectworld.net/cis/hub-diagram.jpg

Switched Ethernet – un switch es un dispositivo de hardware que envía paquetes solo a la computadora destino y no transmite a todas las computadoras que se encuentran en la red como lo hace el Ethernet compartido (HUB). Como no transmite a todas las computadoras se tiene una mejor utilización del ancho de banda disponible y una mejora en la seguridad.

El Switch maneja una tabla que mantiene un registro de cada dirección MAC de las computadoras conectadas y el puerto físico donde estas están conectadas y entrega paquetes destinados a una computadora en particular.

Aun que son más seguras que los HUB, las redes de Switch no son totalmente seguras y tampoco son inmunes al Sniffing. En realidad existen 2 maneras de hacer Sniffing en una red de Switch, una es ARP Spoofing y la otra MAC Flooding.

Switched Ethernet
Switched Ethernet

Los 2 tipos de Sniffing: Pasivo y Activo

Pasivo – El Sniffing Pasivo es el escuchar y capturar tráfico en una red. Donde mejor funciona el sniffing pasivo es en redes de computadoras conectadas al mismo Hub y/o conectadas a la misma red inalámbrica (wireless). El sniffing pasivo no se puede detectar.

Activo – El sniffing activo involucra el realizar ataques al ARP (Address Resolution Protocol) y el inundar el trafico (MAC flooding) para infiltrarse en una red conectada por Hub o por Switch.

ARP spoofing y MAC flooding:

ARP spoofing - El trabajo del ARP es convertir direcciones IP en direcciones MAC. Los ataques al ARP tambien son conocidos como ARP poisoning (envenenamiento del ARP) y ARP spoofing (suplantacion del ARP) ambos se refieren a lo mismo y son las tecnicas usadas para atacar redes Ethernet.

El proposito del ARP spoofing es el enviar mensajes ARP falsos a un LAN Ethernet. Estos mensajes contienen direcciones MAC falsas para confundir a los dispositivos de red como los Switches.

MAC flooding - El MAC flooding es el inundar el Switch con tanto trafico que este deja de funcionar como un Switch y empieza a funcionar como un HUB, enviando todo el trafico a todos los puertos. Este ataque le permite a la computadora donde esta conectado el sniffer a capturar todo el trafico en una red.

Protocolos vulnerables al Sniffing:

Cualquier protocolo que no esta encriptado o cifrado es propenso o vulnerable al Sniffing:
  1. HTTP
  2. POP3
  3. SNMP
  4. FTP
  5. NNTP
  6. IMAP
  7. Telnet

Estos protocolos son los favoritos de los Hackers por que la data como nombres de usuario y passwords son enviados por estos protocolos en texto plano o claro (clear text).

  

Articulos Relacionados

WireShark Tutorial: Filtrando paquetes en pantalla: Wireshark tiene dos lenguajes de filtrado diferentes uno es para filtrar las capturas y el otro para filtrar los resultados en pantalla. En este artículo hablaremos sobre como filtrar los resultados de los paquetes en pantalla. ...


Comentarios: