Académique Documents
Professionnel Documents
Culture Documents
Sniffers
CURSO ASIGNADO
….………….……………………………………………
Seguridad Informática
……………………………………………………
DOCENTE DE CURSO ASIGNADO
………………………………………………
Mg. Carlos Almidón Ortiz.
……………………………………………………
PRESENTADO POR LOS ALUMNOS
2
ÍNDICE pág.
INTRODUCCIÓN ................................................................................................................. 4
1 MARCO TEÓRICO ....................................................................................................... 5
1.1 Definición ............................................................................................................... 5
1.2 Funcionamiento ...................................................................................................... 5
1.3 Usos ........................................................................................................................ 6
1.4 Tipos de sniffers ...................................................................................................... 7
1.5 Formas de protegerse .............................................................................................. 8
1.6 Características ......................................................................................................... 9
2 CAPITULO .................................................................................................................. 10
2.1 Desarrollo sniffers Microsoft Network Monito .... Error! Bookmark not defined.
2.2 Características......................................................... Error! Bookmark not defined.
3 APLICACIÓN .............................................................................................................. 11
CONCLUSIÓN ................................................................................................................... 23
BIBLIOGRAFÍA ................................................................................................................. 24
3
INTRODUCCIÓN
Existen varios tipos de herramientas que se encargan del monitoreo y análisis de la red. En
particular, los denominados sniffers son de gran utilidad. La palabra sniffer es una marca
registrada de Network Associates, Inc. En la actualidad sniffer es una denominación
aceptada para aquellas herramientas cuya función principal es monitorizar y analizar tráfico,
o sea, examinar paquetes, protocolos y tramas enviadas a través de la red. La captura y
visualización de las tramas de datos por sí sola puede no ser muy útil o eficiente, es por ello
que los analizadores de protocolos también muestran el contenido de los datos de los
paquetes . Teniendo los paquetes de datos y la información del flujo de tráfico, los
administradores pueden comprender el comportamiento de la red, como por ejemplo las
aplicaciones y servicios disponibles, la utilización de los recursos de ancho de banda y las
anomalías en materia de seguridad, por citar algunos ejemplos. Los sniffers han formado
parte de las herramientas de gestión de redes desde hace bastante tiempo y han sido usados
fundamentalmente con dos objetivos: apoyar a los administradores en el correcto
funcionamiento y mantenimiento de la red a su cargo, o para facilitar a aquellos individuos
malintencionados a acceder e irrumpir en computadoras, servidores y dispositivos como
routers y switch
4
1 MARCO TEÓRICO
1.1 Definición
Están disponibles para varias plataformas, tanto en las variaciones comerciales como en
código abierto. Algunos de los paquetes más simples son muy fáciles de implementar en
C o Perl, utilizando una interfaz de línea de comandos y descargando los datos capturados
a la pantalla.
Los proyectos más complejos utilizan una interfaz gráfica de usuario. Las estadísticas de
tráfico de gráficos, realizan un seguimiento de varias sesiones y ofrecen varias opciones
de configuración.
1.2 Funcionamiento
5
El entorno en el que suele ser más efectivo este tipo de programas es en una Red de Área
Local (LAN), montada con la topología tipo bus. En este tipo de redes todas las máquinas
están conectadas a un mismo cable, que recibe el nombre de bus, y por lo tanto, todo el
tráfico transmitido y recibido por todas las máquinas que pertenecen a esa red local pasa
por ese cable compartido, lo que en la terminología de redes se conoce como el medio
común.
El otro entorno natural de los sniffers es una máquina víctima. En este caso, es necesario
tener acceso a la máquina victima para instalar el programa y el objetivo perseguido aquí
es robar información que permita el acceso a otras máquinas, a las que habitualmente se
accede desde esa máquina víctima.
Los sniffers funcionan por una sencilla razón: muchos de los protocolos de acceso remoto
a las máquinas se transmiten las claves de acceso como texto plano, y por lo tanto,
capturando la información que se transmite por la red se puede obtener este tipo de
información y el acceso ilegítimo a una determinada máquina. Como acabamos de
comentar, uno de los entornos naturales para un sniffer es una LAN con topología de bus.
Las redes más comunes de este tipo son las conocidas como buses Ethernet. Estas redes
están formadas por una serie de máquinas, cada una de ellas equipada con una tarjeta de
red Ethernet y conectadas a través de un cable coaxial, similar al utilizado por las antenas
de los receptores de televisión. TFC UOC – Área de Redes – Creación de un Sniffer de
Red (Luis Lerones Fernández)
-En los extremos del bus es necesario situar lo que se conoce como terminadores, que no
son otra cosa que una resistencia. Simplemente debemos saber que sin terminador la red
no funciona.
1.3 Usos
Los Sniffers son una herramienta útil a la hora de administrar y optimizar redes, ya
que con estos puedes ver todos los paquetes en tránsito, sus IPs destino y origen, puertos,
direcciones MAC (en algunos), etc. Con esto se puede detectar problemas en la red como
loops, problemas de conectividad entre 2 ordenadores, exceso de tráfico y muchas otras
cosas.
6
Pero todo esto tiene un precio, ya que es un arma de doble filo. Los Sniffers pueden ser
usados por gente maliciosa e intervenir en una red y robar información como claves mal
encriptadas.
Es una herramienta muy potente en manos de quien sabe usarla, por esto es que se crean
muchos sistemas de seguridad como los antivirus y anti-spyware, pero también existen
métodos de encriptación que cada vez son más avanzados y difíciles de descifrar, lo que
dificulta la intervención en la red de estas personas mal intencionadas conocidas como
Hackers.
Los sniffers funcionan bien en las redes no conmutadas, ya que en estas, todos los datos
son enviados a la red y esta re-envía a todos, si el paquete no era para el pc, este lo
descarta. Si implementamos un Sniffer en una red de este estilo, es fácil tener acceso a
toda la información ya que basta que un pc tenga su tarjeta de red en “modo promiscuo”
para que vea la información que se envía.
En las redes de paquetes conmutados no es posible realizar lo anterior, ya que los paquetes
enviados, solo los ven los receptores correspondientes y no toda la red. En este caso se
emplea una técnica llamada Arp-spoofing, que envía paquetes falsos a la red. Esta técnica
generalmente asocia la MAC del atacante con la IP de otro nodo, como por ejemplo, el
Gateway. Cualquier dato dirigido a la IP del Gateway, será erróneamente re-dirigido al
PC del atacante.
Algunos de estos programas son: Ethereal, Ksniffer, Dsniff, Kismet, Nessus, Sniffit, Cain
& Abel, Wireshark, Snort, entre otros.
7
vuelo, aun manteniendo la conexión sincronizada gracias a su poder para establecer un
Ataque Man-in-the-middle(Spoofing). Muchos modos de sniffing fueron implementados
para darnos un conjunto de herramientas poderoso y completo de sniffing.
Los Sniffers son difíciles de detectar, ya que al ser atacantes pasivos, dejan pocos rastros
de su intromisión.
Una forma de identificarlos es ver si existe alguna tarjeta de red en modo promiscuo con
la herramienta ifconfig nativa de Linux.
Uno de los métodos más eficaces es el uso de encriptación de los datos, que consiste en
cifrar los datos bajo una serie de códigos que solo pueden ser leídos con una llave que
solo posee el receptor. Este método es usado en la mayoría de las páginas web donde se
requieren datos o contraseñas, ya que estas son de suma importancia y nadie más debe
saberlas
También es posible defenderse de estos mismos, usando el mismo programa, ya que con
este puedes saber que datos salen de tu pc y a donde van a parar. Si existe algún Sniffer
en tu PC, con un mismo Sniffer lograras detectarlo y obtener su dirección IP y MAC para,
posteriormente, bloquearlo.
8
Existen programas para detectar este tipo de intrusos, que utilizan ciertas técnicas para
identificarlos y bloquearlos. Algunos de estos programas son: NEPED, Sniffdet,
AntiSniff, Sentinel, entre otros.
1.6 Características
9
2 CAPITULO
2.1 Linset
Es una aplicación para Linux que nos permite auditar la seguridad de redes es decir
que fácilmente sin necesidad de diccionarios de caves ya que será el propio dueño de la
red quien nos facilitará la clave.
2.2 Funcionabilidad
Pues creando un falso Punto de Acceso Wifi (AP) y desautenticando a los clientes
del AP real, “obligando” así a los clientes que intenten reconectar a que lo hagan al falso,
obteniendo en este momento la ansiada contraseña.
2.3 Herramientas
Escanea la red.
Selecciona la red.
Busca handshake (se puede usar sin handshake)
Se elige una de las varias interfaces web adaptadas por mi (gracias a
colaboración de los users)
Se crea un servidor DNS para redirigir todas las peticiones al Host
Se lanza el servidor web con la interface seleccionada
Se lanza el mecanismo para comprobar la validez de las contraseñas que se van a
introducir.
Se desautentifica a todos los usuarios de la red, esperando que se conecten al
FakeAP e introduzcan la contraseña.
Se detiene el ataque tras la comprobación correcta de la contraseña.
10
3 APLICACIÓN
En esta monografía vamos a mostrar paso a paso cómo se utiliza este programa y cómo
se consigue que los usuarios nos faciliten la contraseña de la red para poder conectarnos.
Lo primero que debemos hacer
Es descargar Linset de forma gratuita desde GitHub.
Una vez descargado en nuestro Linux abrimos un terminal y damos permisos al
archivo para poder ejecutarse tecleando:
Sudo chmod +X linset
Podemos a utilizar la herramienta. Para ello de nuevo desde el terminal
tecleamos:
Podremos ver cómo nos abre una pequeña y sencilla interfaz dentro de terminal.
11
Lo primero que debemos hacer es elegir la interfaz de red que vamos a
utilizar para los ataques.
12
Figure 5: escaneo de la red wifi
13
Figure 6: red wifi
14
Podemos buscar el handshake en un archivo de paquetes
previamente capturados.
Figure 8: buscar
15
Si no tenemos un fichero de paquetes podemos comenzar a recopilarlos
automáticamente dejando la ruta en blanco y pulsando “enter” para
continuar.
16
17
18
19
20
21
22
CONCLUSIÓN
23
BIBLIOGRAFÍA
http://www.securityfocus.com/infocus/1549
http://compnetworking.about.com/od/networksecurityprivacy/g/bldef_sniffer.htm
http://es.wikipedia.org/wiki/Wireshark
http://es.wikipedia.org/wiki/Ettercap
http://es.wikipedia.org/wiki/Kismet
http://es.wikipedia.org/wiki/Tcpdump
24