martes, 2 de diciembre de 2014

Unidad 4 Redes de Área Local: Sniffers

Un sniffer es un programa de captura de tramas de red
Es común que en los medios de transmisión sean compartidos por varias computadoras o dispositivos de red, lo que hace posible que una PC capture las tramas de información no destinadas a él. Por consiguiente el sniffer le dice a la computadora que deje de ignorar todo el tráfico no destinado al equipo y ponga atención, esto es conocido como poner en estado promiscuo a la NIC (Network Interface Card)


En la actualidad la seguridad en las redes es de vital importancia, ya que toda la información que se transmite a través de estas muchas veces puede ser utilizada para fines de lucro o realizar delitos electrónicos.
Una vez que la NIC este en ese estado se necesitaran los privilegios administrativos, de esta manera la computadora será capaz de ver todos los datos transmitidos. Es entonces cuando el programa comienza a hacer una lectura de toda la información entrante a ella por la tarjeta de red. Con el sniffer conseguirá observar el equipo de origen, equipo de destino, numero de puerto, etc. En resumen, puede ver la información intercambiada entre dos computadoras.
El uso que se le dé a este tipo de aplicaciones es algo importante de señalar, ya que gracias a ellos podemos ayudar a que nuestra red tenga más seguridad, hacer pruebas y así poder tener un buen resultado, el problema viene cuando otros usuarios lo utilizan con fines de delitos electrónicos, ya que con este tipo de herramientas se puede obtener información confidencial.
Los principales usos que se les puede dar son:
·         Captura de contraseñas enviadas sin cifrar y nombres de usuarios de red. Esta capacidad es utilizada en muchas ocasiones por atacantes para atacar sistemas.
·         Análisis de fallos para descubrir problemas de red, tales como comunicación entre maquinas.
·         Medición de tráfico mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.
·         Permite analizar información real que se transmite por la red en aplicaciones cliente servidor.

Algunos sniffers trabajan solo con paquetes de TCP/IP, pero hay otros más sofisticados que son capaces de trabajar con un numero más amplio de protocolos e incluso en niveles más bajos tales como el de las tramas Ethernet.

Algunos de los más utilizados son:
Wireshark antes conocido como Ethereal es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicación para el desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.
Netcat es una herramienta que permite abrir puertos TCP/UDP en un equipo remoto (después se queda a la escucha), asociar una shell a ese puerto y forzar conexiones UDP/TCP (útil para rastreo de puertos o transferencias bit a bit entre dos equipos).
Hping es un generador y analizador de paquetes para el protocolo TCP/IP. En las últimas versiones se pueden usar scripts basados en el lenguaje Tcl y también implementa un motor de strings (cadenas de texto) para describir los paquetes TCP/IP, de esta manera es más fácil de entenderlos además de poder manipularlos de una manera bastante fácil.
Ethercap es un interceptor sniffer registrador para LAN con switch. Soporta direcciones activas y pasivas de varios protocolos (incluidos SSH y HTTPS). También hace posible la inyección de datos con una conexión establecida y filtrado manteniendo la conexión sincronizada gracias a su poder de establecer un ataque Man in the middle. Muchos modos de sniffer fueron implementados para ofrecer un conjunto de herramientas poderosas y completas de sniffing.
Kismet es un sniffer usmeador de paquetes y un sistema de detección de intrusiones para redes inalámbricas 802.11. Funciona con cualquier tarjeta inalámbrica que soporta el modo de monitorización raw y puede rastrear trafico 802.11d, 802.11a y 802.11g. El programa corre bajo Linux, freebsd, netbsd, openbsd y mac os x. el cliente puede funcionar también en Windows aunque la única fuente entrante de paquetes compatibles sea otra plataforma.
TCPDUMP es una herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red. 
Permite al usuario capturar y mostrar en tiempo real los paquetes transmitidos y recibidos en la red a la cual la PC esta conectada.
Un sniffer puede ser de gran utilidad en la administración de una red con fines de seguridad y funcionalidad pero hay que tomar en cuenta que es una herramienta que puede ser de doble filo, ya que alguno usuario puede utilizarla con un fin adecuado y tomar ventaja de ello. Es importante conocer el funcionamiento de estas aplicaciones para que en un dado cas podamos utilizarlas en una determinada circunstancia.


Sniffer p0f
Se trata de una herramienta sencilla que permite hacer OS Fingerprint (Detección de Sistema operativo) de forma pasiva. También permite identificar detalles tales como el User-Agent, tiempo en el que la máquina se encuentra activa, Lenguaje utilizado por el cliente así como también el número de nodos (routers) por los que han tenido que viajar los paquetes (de un modo muy similar a como lo hace tracerouter).
Para realizar la identificación del sistema operativo, se apoya en una base de datos de “firmas” o comportamientos ya conocidos en la composición de distintos paquetes IP, dichas bases de datos se separan en dos secciones, en primer lugar se encuentran aquellas firmas que corresponden a “las máquinas que se conectan a mi máquina” y las firmas que corresponden a “las máquinas a las que se conecta mi máquina”. El primero de los casos se basa en un análisis de los paquetes SYN, mientras que el segundo se basa en un análisis de los paquetes SYN/ACK.
Supongamos que queremos saber que maquinas están en tu segmento de red pero queremos evitar enviar paquetes a la red preguntando por estas maquinas para que no nos delate (este tipo de actividad le puede parecer sospechoso al administrador). La herramienta indicada para esta tarea
es p0f, esta usa técnicas pasivas para tratar de adivinar que sistemas existen en tu segmento de red y permite especificar la interfaz a usar y grabar trafico guardándolo en un archivo estilo tpcdump.
 El sniffer p0f requiere que especifiques que quieres que la NIC este en modo promiscuo y solo escucha cuando una computadora en nuestra red abre nuevas conexiones.
Aquí una lista de parámetros útiles para p0f.
  1. -i Especifica la NIC por la que va a escuchar (p0f -i eth0)
  2. -w Guarda la salida en formato tcpdump (p0f -i eth0 -w ventas.dump)
  3. -o Al igual que -w guarda la salida de este comando pero en un archivo de texto sin formato tcpdump
  4. -O Proporciona una salida más descriptiva. Tambien llamado modo ACK
  5. -p Indica que quieres que ponga la NIC en modo promiscuo (p0f -i eth0 -p)
  6. -s Analiza un archivo que previamente capturaste en formato tcpdump
  7. -r Opción empleada para leer “offline” ficheros de captura (pcap)
  8. -L Listado de todas las interfaces de red disponibles
  9. -f Permite especificar donde se encuentra la base de datos para realizar el proceso de OS Fingerprinting, por defecto dicho fichero se encuentra en el directorio raíz con el nombre p0f.fp
  10. -u Permite ejecutar el comando con los privilegios de un usuario determinado
Publicado por en

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)