Académique Documents
Professionnel Documents
Culture Documents
Modulo 2 – Clase 4
Índice
Vigilancia de Red - Sniffering de paquetes...............................................2
Paquete de red.........................................................................................3
Paquete TCP..........................................................................................3
Paquete de IP........................................................................................8
Anatomía del paquete:..........................................................................10
Topología de redes y packet sniffers......................................................11
Utilidad...............................................................................................12
p. 1
Vigilancia de Red - Sniffering de paquetes
En informática, un packet sniffer (olfateador) es un programa de captura de los
paquetes de red.
Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido
como "modo promiscuo" en el cual en la capa de enlace de datos (niveles OSI)
no son descartados los paquetes no destinadis a la MAC address de la tarjeta; de
esta manera se puede capturar (sniff, olfatear) todo el tráfico que viaja por la
red.
Los packet sniffers tienen diversos usos como monitorear redes para detectar y
analizar fallos o ingeniería inversa de protocolos de red. También es habitual su
uso para fines maliciosos, como robar contraseñas, interceptar mensajes de
correo electrónico, espiar conversaciones de chat, etc.
p. 2
Paquete de red
Reciben este nombre cada uno de los bloques en que se divide, en el nivel de
Red, la información a enviar. Por debajo del nivel de red se habla de trama de
red, aunque el concepto es análogo.
Estructura
Al igual que las tramas, los paquetes pueden estar formados por una cabecera,
una parte de datos y una cola. En la cabecera estarán los campos que pueda
necesitar el protocolo de nivel de red, en la cola, si la hubiere, se ubica
normalmente algún mecanismo de comprobación de errores.
Paquete TCP
Las aplicaciones envían flujos de bytes a la capa TCP para ser enviados a la red.
TCP divide el flujo de bytes llegado de la aplicación en segmentos de tamaño
apropiado (normalmente esta limitación viene impuesta por la unidad máxima de
transferencia (MTU) del nivel de enlace de datos de la red a la que la entidad
está asociada) y le añade sus cabeceras.
p. 3
Entonces, TCP pasa el segmento resultante a la capa IP, donde a través de la
red, llega a la capa TCP de la entidad destino. TCP comprueba que ningún
segmento se ha perdido dando a cada uno un número de secuencia, que es
también usado para asegurarse de que los paquetes han llegado a la entidad
destino en el orden correcto.
TCP devuelve un asentimiento por bytes que han sido recibidos correctamente;
un temporizador en la entidad origen del envío causará un timeout si el
asentimiento no es recibido en un tiempo razonable, y el (presuntamente
desaparecido) paquete será entonces retransmitido.
TCP revisa que no haya bytes dañados durante el envío usando un checksum; es
calculado por el emisor en cada paquete antes de ser enviado, y comprobado por
el receptor.
p. 4
puesto a activo, entonces en este campo contiene el número de
secuencia del siguiente paquete que el receptor espera recibir.
p. 5
campo con el número de acuse de recibo es válido (si no, es ignorado).
• FIN (1 bit, ver FIN): Si se activa es porque no hay más datos a enviar
por parte del emisor, esto es, el paquete que lo lleva activo es el último
de una conexión.
p. 6
• Datos (número de bits variable): No forma parte de la cabecera, es
la carga (payload), la parte con los datos del paquete TCP. Pueden ser
datos de cualquier protocolo de nivel superior en el nivel de aplicación;
los protocolos más comunes para los que se usan los datos de un
paquete TCP son HTTP, telnet, SSH, FTP, etc.
Puertos TCP
Las aplicaciones que usan este tipo de puertos son ejecutadas como servidores y
se quedan a la escucha de conexiones. Algunos ejemplos son: FTP (21), SSH
(22), Telnet (23), SMTP (25) y HTTP (80). Los puertos registrados son
normalmente empleados por las aplicaciones de usuario de forma temporal
cuando conectan con los servidores, pero también pueden representar servicios
que hayan sido registrados por un tercero (rango de puertos registrados: 1024 al
49151).
Los puertos dinámicos/privados también pueden ser usados por las aplicaciones
de usuario, pero este caso es menos común. Los puertos dinámicos/privados no
tienen significado fuera de la conexión TCP en la que fueron usados (rango de
puertos dinámicos/privados: 49152 al 65535, recordemos que el rango total de 2
elevado a la potencia 16, cubre 65536 números, del 0 al 65535)
p. 7
Paquete IP
p. 8
fragmenta) cada uno de los fragmentos llevará el mismo número de
identificación.
p. 9
Anatomía de los Paquetes
IP
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Versión| IHL |Tipo de Servic.| Tamaño Total |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Identificación |Flags| Desplaz. del Fragmento |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Tiempo de Vida | Protocolo | Checksum de la cabecera |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Dirección de Origen |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Dirección de Destino |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
TCP
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Puerto de Origen | Puerto de Destino |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Número de Secuencia |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Número de Confirmación |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
|Deplz. | |U|A|P|R|S|F| |
|de los | Reservado |R|C|S|S|Y|I| Ventana |
| Datos | |G|K|H|T|N|N| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Checksum | Puntero de Urgencia |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
p. 10
Topología de redes y packet sniffers
La cantidad de paquetes que puede obtener un sniffer depende de la topología
de red, del modo donde esté instalado y del medio de transmisión. Por ejemplo:
Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes
que compartan el medio de transmisión como en redes sobre cable coaxial,
cables de par trenzado (UTP, FTP o STP), o redes WiFi.
p. 11
Utilidad
Los principales usos que se le pueden dar son:
p. 12