Scribd
Cargar
69 vistas7 páginas

Sniffer

Este documento explica los sniffers o analizadores de paquetes, que son softwares que permiten capturar tramas de red. Describe que los sniffers originalmente se usaban para depurar problemas de red, pero ahora también se usan para otros fines como medir tráfico, auditorías de red, y monitoreo de usuarios. Explica los diferentes tipos de sniffers, cómo funcionan capturando paquetes poniendo la tarjeta de red en modo promiscuo, y ejemplos populares como Wireshark, Ettercap y TCPDUMP.

Cargado por

Robles Leiva Yordi
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd
69 vistas7 páginas

Sniffer

Este documento explica los sniffers o analizadores de paquetes, que son softwares que permiten capturar tramas de red. Describe que los sniffers originalmente se usaban para depurar problemas de red, pero ahora también se usan para otros fines como medir tráfico, auditorías de red, y monitoreo de usuarios. Explica los diferentes tipos de sniffers, cómo funcionan capturando paquetes poniendo la tarjeta de red en modo promiscuo, y ejemplos populares como Wireshark, Ettercap y TCPDUMP.

Cargado por

Robles Leiva Yordi
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como DOCX, PDF, TXT o lee en línea desde Scribd

Introduction

Los Sniffers o analizadores de paquetes, que son softwares que permiten capturar
tramas de la red. Investigaremos y explicaremos más sobre su definición, su
funcionamiento o forma de operar, los diferentes tipos de sniffers, usos que se les da,
ya sea buenos o malos, el tráfico destinado a cualquier máquina en un segmento se
transmite a todas las máquinas en ese segmento, esto significa que un equipo normalmente ve
los datos que viajan desde y hacia cada uno de sus vecinos, pero los ignora, a menos que se
indique lo contrario. Debido a esto, un sniffer puede existir y husmear estos datos.
Sniffers
1. Concepto
Los Sniffer (Analizador de paquetes) eran originalmente herramientas que se
utilizaban para depurar los problemas de funcionamiento de la red. En esencia,
estas aplicaciones capturan, interpretan y almacenan los paquetes que viajan por la
red para analizarlos posteriormente.

De esta forma, los ingenieros que mantienen la red disponen de una ventana para
ver lo que está ocurriendo en la misma, permitiéndoles solucionar o modelizar el
comportamiento de la red mediante la visión del tráfico de paquetes en su forma
menos elaborada.
Están disponibles para varias plataformas, tanto en las variaciones comerciales
como en código abierto. Algunos de los paquetes más simples son muy fáciles de
implementar en C o Perl, utilizando una interfaz de línea de comandos y
descargando los datos capturados a la pantalla. 

Los proyectos más complejos utilizan una interfaz gráfica de usuario. Las
estadísticas de tráfico de gráficos, realizan un seguimiento de varias sesiones y
ofrecen varias opciones de configuración. 

Los sniffers de red son también los motores para otros programas. Los llamados
“Sistemas de Detección de Intrusos” (IDS) utilizan sniffers para localizar paquetes
que coincidan con las reglas designadas para marcar algo como malicioso o
extraño. La utilización de la red y los programas de vigilancia a menudo los utilizan
para recoger los datos necesarios para mediciones y análisis. Las fuerzas de
seguridad que necesitan controlar los correos electrónicos durante sus
investigaciones, probablemente emplean un sniffer diseñado para capturar tráficos
muy específicos. Sabiendo ya que los sniffers simplemente se apoderan de datos
de la red, veremos a continuación cómo funcionan.

Escenario sniffer:
2. Tipos de sniffer según licencias
Según su uso se clasifican en:
2.1. Sniffers comercial:
Los Sniffers de uso comercial son utilizados por los administradores de redes es
decir para el monitoreo y mantenimiento de redes.
2.2. Sniffers Underground o de uso ilegal:
Los Sniffers Underground son usados por los crackers para asaltar los
ordenadores de una red (robo de información).
3. Tipos sniffer según su función:
3.1. Pasivo
El sniffing pasivo es el escuchar y capturar tráfico en una red. Donde mejor
funciona el sniffing pasivo es en redes de computadoras conectadas al mismo
hub y/o conectadas a la misma red inalámbrica (wireless). El sniffing pasivo no
se puede detectar.
3.2. Activo
El Sniffing activo involucra el realizar ataques al ARP (Address Resolution
Protocol) y el inundar el trafico (MAC flooding) para infiltrarse en una red
conectada por Hub o por Switch.
4. Protocolos vulnerables al Sniffing
Cualquier protocolo que no está encriptado o cifrado es propenso o vulnerable al
Sniffing:
 HTTP
 POP3
 SNMP
 FTP
 NNTP
 IMAP
 Telnet
Estos protocolos son los favoritos de los Hackers por que la data como nombres de
usuario y passwords son enviados por estos protocolos en texto plano o claro.

5. Funcionamiento
El modo más sencillo de comprender su funcionamiento es examinando la forma en
que funciona un sniffer en una red Ethernet.
Un sniffer Ethernet es un software que trabaja en conjunto con la tarjeta de interfaz
de la red (NIC, Network Interface Card) para “absorber” indiscriminadamente todo el
tráfico que este dentro del “umbral de audición” del sistema de escucha y no sólo
del tráfico que se dirige al host que está siendo “aspirado”. Normalmente una tarjeta
de interface de red (NIC) de Ethernet descartará cualquier trafico que no vaya
dirigido a ella o a la dirección de difusión de la red, por lo que el sniffer deberá hacer
que la tarjeta entre en ese estado especial denominado modo promiscuo, en el que
recibirá todos los paquetes que se desplazan por la red.
Una vez que el hardware de la red se encuentre en modo promiscuo, el software del
sniffer puede capturar y analizar cualquier tráfico que pase por el segmento local de
Ethernet. Esto limita de algún modo el alcance de un sniffer, puesto que no será
capaz de captar el trafico externo al dominio local de la red (es decir, más allá de los
routers, conmutadores u otros dispositivos de segmentación). Es obvio que un
sniffer hábilmente situado en la columna vertebral de la red, en otro punto de
agregación de la red, podrá capturar un volumen mayor de tráfico que otro colocado
en un segmento aislado de Ethernet.
6. Uso
Captura de contraseñas y nombres de usuario de la red enviadas sin cifrar. Esta
capacidad es utilizada en muchas ocasiones por atacantes (malamente conocidos
como hackers, para atacar sistemas.
 Para administrar y gestionar la información que pasa a través de una red
 Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en
algún lugar de la red.
 Realizar auditoría de redes.
 Prevenir actividades de espionaje industrial.
 Monitorear las actividades de los usuarios de una red.
 Identificar paquetes de datos.
 Identificar estabilidad y vulnerabilidades de las redes LAN.
 Verificar el tráfico de una red y monitorear su desempeño.
 Filtrar los paquetes de acuerdo a la necesidad de cada usuario.
 Realizar capturas en tiempo real, control estadístico de los protocolos.

7. Modo de uso
Como hemos visto anteriormente existen una gama bastante amplia de Sniffers por
eso los Sniffer presentan varios modos de uso, desde simples herramientas ligeras
y estables diseñadas para trabajar directamente desde la línea de comandos de
cualquier plataforma informática, hasta programas completamente visuales que
cuentan con frontends bastante detallados con botones, menú de ayuda y
representación visual del proceso de monitoreo de la red.
Como utilizarlos depende únicamente de la persona interesada en explotar estas
herramientas.
8. Ejemplos de Sniffers:

Existen sniffers trabajan sólo con paquetes de TCP/IP, pero hay otros más
sofisticados que son capaces de trabajar con un número más amplio de protocolos
e incluso en niveles más bajos tal como el de las tramas del Ethernet. Algunos de
más utilizados son los siguientes:

8.1. Wireshark (antiguamente llamado Ethereal): utilizado para realizar análisis y


solucionar problemas en redes de comunicaciones para desarrollo de software y
protocolos, y como una herramienta didáctica para educación. Cuenta con todas
las características estándar de un analizador de protocolos.
8.2. Ettercap: es un interceptor sniffer/registrador para LANs con switch. Soporta
direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados,
como SSH y HTTPS). También hace posible la inyección de datos en una
conexión establecida y filtrado al vuelo, aun manteniendo la conexión
sincronizada gracias a su poder para establecer un Ataque Man-in-the-
middle(Spoofing). Muchos modos de sniffing fueron implementados para darnos
un conjunto de herramientas poderoso y completo de sniffing.
8.3. Kismet: es un sniffer, un husmeador de paquetes, y un sistema de detección de
intrusiones para redes inalámbricas 802.11 (Wifi). Kismet funciona con cualquier
tarjeta inalámbrica que soporte el modo de monitorización raw, y puede rastrear
tráfico 802.11b, 802.11a y 802.11g. El programa corre bajo Linux, FreeBSD,
NetBSD, OpenBSD, y Mac OS X. Se puede operar en Windows, aunque la
única fuente entrante de paquetes compatible es otra sonda.
8.4. TCPDUMP: es una herramienta en línea de comandos cuya utilidad principal es
analizar el tráfico que circula por la red. Permite al usuario capturar y mostrar a
tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador
está conectado.
9. Sniffing

sniffing es la acción de captar tráfico de información, ya sea vía cable u inalámbrico.


Para lograr esto el sniffer coloca la tarjeta de red o NIC en un estado conocido como
"modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son
descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta forma
se puede capturar (esnifar) todo el tráfico que transita por la red.
10. Sniffer y la topología de redes

La cantidad de tramas que puede obtener un sniffer depende de la topología de red,


del nodo donde este instalado y del medio de transmisión. Por ejemplo:

 Para redes antiguas con topologías estrella, el sniffer se podría instalar en


cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe
a todos los nodos. Sin embargo en las redes modernas, en las que solo lo
retransmite al nodo destino, el único lugar donde se podría poner el sniffer para que
capture todas las tramas sería el nodo central.
 Para topologías en anillo, doble anillo y en bus, el sniffer se podría instalar en
cualquier nodo, ya que todos tienen acceso al medio de transmisión.
 Para las topologías en árbol, el nodo con acceso a más tramas sería el nodo raíz,
aunque con los switches más modernos, las tramas entre niveles inferiores de un
nodo viajarían directamente y no se pasarían al nodo raíz.
Es importante remarcar el hecho de que los sniffer solo tienen efecto en redes que
comparten el medio de transmisión como en redes sobre cable coaxial, cable par
trenzado (UTP, FTP o STP), o redes WiFi.
El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el
uso de Sniffers al dirigirse las tramas únicamente a sus correspondientes
destinatarios.

También podría gustarte