UNIVERSIDAD NACIONAL DE HUANCAVELICA

FACULTAD DE INGENIERÍA DE ELECTRONICA-SISTEMAS

ESCUELA PROFESIONAL DE INGENIERÌA DE SISTEMAS
TEMA

Sniffers
CURSO ASIGNADO
….………….……………………………………………
Seguridad Informática
……………………………………………………
DOCENTE DE CURSO ASIGNADO
………………………………………………
Mg. Carlos Almidón Ortiz.
……………………………………………………
PRESENTADO POR LOS ALUMNOS

 ALEJANDRO INGA, Yudith Estela

 AGUIRRE PÈREZ, Charles Joel
 RIVERA OREGON, Jesenia Janeth

DANIEL HERNÁNDEZ - 2018

 DEDICATORIA

El presente trabajo realizado lo dedicamos en primer

lugar a nuestros progenitores por su apoyo económico, moral y
por su gran motivación. Por lo consiguiente al docente del curso
respectivo por brindarnos sus conocimientos que nos ayudan a
regularizar nuestro aprendizaje.

2
ÍNDICE pág.

INTRODUCCIÓN ................................................................................................................. 4
1 MARCO TEÓRICO ....................................................................................................... 5
1.1 Definición ............................................................................................................... 5
1.2 Funcionamiento ...................................................................................................... 5
1.3 Usos ........................................................................................................................ 6
1.4 Tipos de sniffers ...................................................................................................... 7
1.5 Formas de protegerse .............................................................................................. 8
1.6 Características ......................................................................................................... 9
2 CAPITULO .................................................................................................................. 10
2.1 Desarrollo sniffers Microsoft Network Monito .... Error! Bookmark not defined.
2.2 Características......................................................... Error! Bookmark not defined.
3 APLICACIÓN .............................................................................................................. 11
CONCLUSIÓN ................................................................................................................... 23
BIBLIOGRAFÍA ................................................................................................................. 24

3
 INTRODUCCIÓN

El presente trabajo, hablaremos de los Sniffers o analizadores de paquetes, que son

softwares que permiten capturar tramas de la red. Investigaremos y explicaremos más sobre
su definición, su funcionamiento o forma de operar, los diferentes tipos de sniffers, usos que
se les da, ya sea buenos o malos, como también enseñar formas de evitar que se usen de
forma maliciosa contra uno mismo, ya que es una amenaza que cada vez cobra más
importancia.

Existen varios tipos de herramientas que se encargan del monitoreo y análisis de la red. En
particular, los denominados sniffers son de gran utilidad. La palabra sniffer es una marca
registrada de Network Associates, Inc. En la actualidad sniffer es una denominación
aceptada para aquellas herramientas cuya función principal es monitorizar y analizar tráfico,
o sea, examinar paquetes, protocolos y tramas enviadas a través de la red. La captura y
visualización de las tramas de datos por sí sola puede no ser muy útil o eficiente, es por ello
que los analizadores de protocolos también muestran el contenido de los datos de los
paquetes . Teniendo los paquetes de datos y la información del flujo de tráfico, los
administradores pueden comprender el comportamiento de la red, como por ejemplo las
aplicaciones y servicios disponibles, la utilización de los recursos de ancho de banda y las
anomalías en materia de seguridad, por citar algunos ejemplos. Los sniffers han formado
parte de las herramientas de gestión de redes desde hace bastante tiempo y han sido usados
fundamentalmente con dos objetivos: apoyar a los administradores en el correcto
funcionamiento y mantenimiento de la red a su cargo, o para facilitar a aquellos individuos
malintencionados a acceder e irrumpir en computadoras, servidores y dispositivos como
routers y switch

4
 1 MARCO TEÓRICO

1.1 Definición

Un Sniffer es un software que se encarga de capturar paquetes en tránsito (entrada

y salida) en una cierta red y analizarlos. En otras palabras, es un programa que puede
mirar la información en tránsito en una red y obtener información de esta. Está hecho para
recibir información que no está destinada para él, lo que es muy útil, pero a la vez un gran
peligro.

Están disponibles para varias plataformas, tanto en las variaciones comerciales como en
código abierto. Algunos de los paquetes más simples son muy fáciles de implementar en
C o Perl, utilizando una interfaz de línea de comandos y descargando los datos capturados
a la pantalla.

Los proyectos más complejos utilizan una interfaz gráfica de usuario. Las estadísticas de
tráfico de gráficos, realizan un seguimiento de varias sesiones y ofrecen varias opciones
de configuración.

1.2 Funcionamiento

Este programa le ordena a un computador, específicamente a su tarjeta de red

(NIC), que deje de ignorar a todo el tráfico dirigido a otros equipos y preste atención a
ellos. Para esto, se coloca a la NIC en un estado conocido como “modo promiscuo”, el
cual no descarta los paquetes que no son para su dirección MAC, sino que los almacena
y lee. Una vez que esto sucede, una máquina puede ver todos los datos transmitidos en
ese segmento de red. El programa entonces comienza una lectura constante de toda la
información que entra en el PC, a través de la tarjeta de red. Los datos que viajan por la
red se presentan como paquetes o ráfagas de bits con formato para protocolos
específicos. Debido a este formato estricto, un sniffer puede filtrar las capas de
encapsulación y decodificar la información pertinente almacenada en el equipo de origen,
equipo de destino, número previsto de puerto, capacidad de carga y, en pocas palabras,
en cada pieza de información que se intercambia entre dos equipos.

5
El entorno en el que suele ser más efectivo este tipo de programas es en una Red de Área
Local (LAN), montada con la topología tipo bus. En este tipo de redes todas las máquinas
están conectadas a un mismo cable, que recibe el nombre de bus, y por lo tanto, todo el
tráfico transmitido y recibido por todas las máquinas que pertenecen a esa red local pasa
por ese cable compartido, lo que en la terminología de redes se conoce como el medio
común.

El otro entorno natural de los sniffers es una máquina víctima. En este caso, es necesario
tener acceso a la máquina victima para instalar el programa y el objetivo perseguido aquí
es robar información que permita el acceso a otras máquinas, a las que habitualmente se
accede desde esa máquina víctima.

Los sniffers funcionan por una sencilla razón: muchos de los protocolos de acceso remoto
a las máquinas se transmiten las claves de acceso como texto plano, y por lo tanto,
capturando la información que se transmite por la red se puede obtener este tipo de
información y el acceso ilegítimo a una determinada máquina. Como acabamos de
comentar, uno de los entornos naturales para un sniffer es una LAN con topología de bus.
Las redes más comunes de este tipo son las conocidas como buses Ethernet. Estas redes
están formadas por una serie de máquinas, cada una de ellas equipada con una tarjeta de
red Ethernet y conectadas a través de un cable coaxial, similar al utilizado por las antenas
de los receptores de televisión. TFC UOC – Área de Redes – Creación de un Sniffer de
Red (Luis Lerones Fernández)

-En los extremos del bus es necesario situar lo que se conoce como terminadores, que no
son otra cosa que una resistencia. Simplemente debemos saber que sin terminador la red
no funciona.

1.3 Usos

Los Sniffers son una herramienta útil a la hora de administrar y optimizar redes, ya
que con estos puedes ver todos los paquetes en tránsito, sus IPs destino y origen, puertos,
direcciones MAC (en algunos), etc. Con esto se puede detectar problemas en la red como
loops, problemas de conectividad entre 2 ordenadores, exceso de tráfico y muchas otras
cosas.

6
Pero todo esto tiene un precio, ya que es un arma de doble filo. Los Sniffers pueden ser
usados por gente maliciosa e intervenir en una red y robar información como claves mal
encriptadas.

Es una herramienta muy potente en manos de quien sabe usarla, por esto es que se crean
muchos sistemas de seguridad como los antivirus y anti-spyware, pero también existen
métodos de encriptación que cada vez son más avanzados y difíciles de descifrar, lo que
dificulta la intervención en la red de estas personas mal intencionadas conocidas como
Hackers.

Los sniffers funcionan bien en las redes no conmutadas, ya que en estas, todos los datos
son enviados a la red y esta re-envía a todos, si el paquete no era para el pc, este lo
descarta. Si implementamos un Sniffer en una red de este estilo, es fácil tener acceso a
toda la información ya que basta que un pc tenga su tarjeta de red en “modo promiscuo”
para que vea la información que se envía.

En las redes de paquetes conmutados no es posible realizar lo anterior, ya que los paquetes
enviados, solo los ven los receptores correspondientes y no toda la red. En este caso se
emplea una técnica llamada Arp-spoofing, que envía paquetes falsos a la red. Esta técnica
generalmente asocia la MAC del atacante con la IP de otro nodo, como por ejemplo, el
Gateway. Cualquier dato dirigido a la IP del Gateway, será erróneamente re-dirigido al
PC del atacante.

Algunos de estos programas son: Ethereal, Ksniffer, Dsniff, Kismet, Nessus, Sniffit, Cain
& Abel, Wireshark, Snort, entre otros.

1.4 Tipos de sniffers

Wireshark (antiguamente llamado Ethereal): utilizado para realizar análisis y solucionar

problemas en redes de comunicaciones para desarrollo de software y protocolos, y como
una herramienta didáctica para educación. Cuenta con todas las características estándar
de un analizador de protocolos.

Ettercap: es un interceptor sniffer/registrador para LANs con switch. Soporta direcciones

activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS).
También hace posible la inyección de datos en una conexión establecida y filtrado al

7
vuelo, aun manteniendo la conexión sincronizada gracias a su poder para establecer un
Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados
para darnos un conjunto de herramientas poderoso y completo de sniffing.

Kismet: es un sniffer, un husmeador de paquetes, y un sistema de detección de intrusiones

para redes inalámbricas 802.11 (Wifi). Kismet funciona con cualquier tarjeta inalámbrica
que soporte el modo de monitorización raw, y puede rastrear tráfico 802.11b, 802.11a y
802.11g. El programa corre bajo Linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X. Se
puede operar en Windows, aunque la única fuente entrante de paquetes compatible es otra
sonda.

TCPDUMP: es una herramienta en línea de comandos cuya utilidad principal es analizar

el tráfico que circula por la red. Permite al usuario capturar y mostrar a tiempo real los
paquetes transmitidos y recibidos en la red a la cual el ordenador está conectado.

1.5 Formas de protegerse

Los Sniffers son difíciles de detectar, ya que al ser atacantes pasivos, dejan pocos rastros
de su intromisión.

Una forma de identificarlos es ver si existe alguna tarjeta de red en modo promiscuo con
la herramienta ifconfig nativa de Linux.

Uno de los métodos más eficaces es el uso de encriptación de los datos, que consiste en
cifrar los datos bajo una serie de códigos que solo pueden ser leídos con una llave que
solo posee el receptor. Este método es usado en la mayoría de las páginas web donde se
requieren datos o contraseñas, ya que estas son de suma importancia y nadie más debe
saberlas

También es posible defenderse de estos mismos, usando el mismo programa, ya que con
este puedes saber que datos salen de tu pc y a donde van a parar. Si existe algún Sniffer
en tu PC, con un mismo Sniffer lograras detectarlo y obtener su dirección IP y MAC para,
posteriormente, bloquearlo.

8
Existen programas para detectar este tipo de intrusos, que utilizan ciertas técnicas para
identificarlos y bloquearlos. Algunos de estos programas son: NEPED, Sniffdet,
AntiSniff, Sentinel, entre otros.

1.6 Características

En la actualidad los sniffers de paquetes se han vuelto extremadamente populares en el

mundo de las redes de comunicaciones, por lo que varias compañías desarrolladoras de
software han elaborado su variante de este producto. Existe una buena cantidad de sniffers
en el mercado que ofrecen determinadas prestaciones, de las cuales se mencionan a
continuación las más relevantes para la gestión de la red:

 Escucha de tráfico en redes LAN (Local Area Network) y WLAN (Wireless

LAN).
 Captura de tráfico a través de las diferentes interfaces de red de la computadora.
 Capacidad de examinar, salvar, importar y exportar capturas de paquetes en
diferentes formatos de captura, tales como: PCAP (Packet Capture), CAP,
DUMP, DMP, LOG.
 Comprensión de protocolos de las diferentes capas de la arquitectura de
comunicaciones, como por ejemplo: DHCP (Dynamic Host Configuration
Protocol), GRE (Generic Routing Encapsulation), TCP (Transmission Control
Protocol), entre otros.
 Aplicación de filtros para limitar el número de paquetes que se capturan o se
visualizan.
 Cálculo de estadísticas y gráficas detalladas con indicadores como paquetes
trasmitidos y perdidos, velocidad promedio de transmisión, gráficos de flujo de
datos, entre otras.
 Detección de los nodos que se encuentran en la red, ofreciendo información como
sistema operativo, fabricante de la interface, entre otras.
 Reconstrucción de sesiones TCP.
 Análisis y recuperación de tráfico VoIP (Voice over IP).
 Generan reportes de tráfico en tiempo real y permiten configurar alarmas que
notifiquen al usuario ante eventos significativos como paquetes sospechosos,
gran utilización del ancho de banda o direcciones desconocidas.

9
 2 CAPITULO

2.1 Linset

Es una aplicación para Linux que nos permite auditar la seguridad de redes es decir
que fácilmente sin necesidad de diccionarios de caves ya que será el propio dueño de la
red quien nos facilitará la clave.

2.2 Funcionabilidad

Pues creando un falso Punto de Acceso Wifi (AP) y desautenticando a los clientes
del AP real, “obligando” así a los clientes que intenten reconectar a que lo hagan al falso,
obteniendo en este momento la ansiada contraseña.

2.3 Herramientas

 Escanea la red.
 Selecciona la red.
 Busca handshake (se puede usar sin handshake)
 Se elige una de las varias interfaces web adaptadas por mi (gracias a
colaboración de los users)
 Se crea un servidor DNS para redirigir todas las peticiones al Host
 Se lanza el servidor web con la interface seleccionada
 Se lanza el mecanismo para comprobar la validez de las contraseñas que se van a
introducir.
 Se desautentifica a todos los usuarios de la red, esperando que se conecten al
FakeAP e introduzcan la contraseña.
 Se detiene el ataque tras la comprobación correcta de la contraseña.

10
 3 APLICACIÓN

En esta monografía vamos a mostrar paso a paso cómo se utiliza este programa y cómo
se consigue que los usuarios nos faciliten la contraseña de la red para poder conectarnos.
Lo primero que debemos hacer
 Es descargar Linset de forma gratuita desde GitHub.
 Una vez descargado en nuestro Linux abrimos un terminal y damos permisos al
archivo para poder ejecutarse tecleando:
Sudo chmod +X linset
 Podemos a utilizar la herramienta. Para ello de nuevo desde el terminal
tecleamos:

Figure 1: insertar linset

 Podremos ver cómo nos abre una pequeña y sencilla interfaz dentro de terminal.

Figure 2: abrir el interfaz

11
  Lo primero que debemos hacer es elegir la interfaz de red que vamos a
utilizar para los ataques.

Figure 3: elegir un interfaz:

 En el siguiente paso debemos elegir los canales de emisión que queremos

analizar en busca de redes vulnerables. Podemos buscar un canal concreto u
optar por analizar todo el espectro y poder elegir así de entre todo lo que se
muestre.

Figure 4: elegir los canales

 Veremos el escaneo de la red wifi

12
Figure 5: escaneo de la red wifi

 Veremos todas las redes detectadas

13
Figure 6: red wifi

 A continuación Linset nos preguntará por el tipo de falso punto de

acceso, o RogueAP, que queremos utilizar. Por defecto
recomiendan hostapd.

Figure 7: ingresar al hostapd

14
  Podemos buscar el handshake en un archivo de paquetes
previamente capturados.

Figure 8: buscar

 Tipo de comprobación cel handshake

Figure 9: buscar el tipo h

15
  Si no tenemos un fichero de paquetes podemos comenzar a recopilarlos
automáticamente dejando la ruta en blanco y pulsando “enter” para
continuar.

Figure 10: capturar

 En el siguiente punto debemos elegir el método que queramos utilizar

para generar y capturar paquetes de handshake para obtener los datos
necesarios para generar una falsa autenticación en nuestro AP

Figure 11: elegir el metodo

16
17
18
19
20
21
22
 CONCLUSIÓN

Se ha proporcionado una panorámica bastante abarcadora sobre las herramientas de

Wifislax Linset que es la seguridad de redes de wifi, incluyendo aquellas de
comunicación inalámbrica, las cuales tienen un despliegue creciente en los últimos años.
Además, se han revelado detalles importantes de la operación de estas herramientas y
otros aspectos que deben considerarse a la hora de seleccionar una solución para estas
tareas de la gestión de la red, así como las principales limitaciones que pueden afectar su
cumplimiento eficiente.
En Wifislax hay muchas más herramientas avanzadas relacionadas con la seguridad de
redes, que requieren de conocimientos específicos. Igualmente, recordamos que descifrar
una red Wifi que no sea nuestra es una práctica ilegal, con lo que conviene utilizar este
software solo de forma legítima.

23
 BIBLIOGRAFÍA

http://www.securityfocus.com/infocus/1549

http://compnetworking.about.com/od/networksecurityprivacy/g/bldef_sniffer.htm

http://es.wikipedia.org/wiki/Wireshark

http://es.wikipedia.org/wiki/Ettercap

http://es.wikipedia.org/wiki/Kismet

http://es.wikipedia.org/wiki/Tcpdump

24