Como trabajan los Sniffer

Los Sniffer pueden ser en forma de programa (Software como WireShark) o en forma de dispositivo (device) de hardware. Estos se usan para monitorear o capturar la data o el trfico que viaja sobre o atreves de una red en particular. Los administradores de redes usan los Sniffers, por ejemplo, para el manejo de una red y otras actividades o funciones legitimas. Los Hackers usan los Sniffers para actividades ilegales como el robo de informacin transmitida en la red donde estn conectados. Los Sniffer estn disponibles para todos los Sistemas Operativos y los hay comerciales y de cdigo abierto. Los ms sencillos son de lnea de comandos y muestran la data capturada en la pantalla, mientras que los ms sofisticados utilizan interfaz grafica de usuario (GUI) y muestran estadsticas detalladas, graficas del trfico en la red y otros detalles de los paquetes capturados. Tambin pueden rastrear mltiples sesiones y vienen con un sinfn de opciones para configurarlos y sacarles el mximo provecho. Como trabajan los Sniffer? Los Sniffer trabajan capturando paquetes NO destinados por las direcciones MAC del sistema en vez del destino de las direcciones MAC. Esto se conoce como promiscuous mode (modo promiscuo). Un sistema en la red que funciona de manera normal, lee y responde solo a trafico enviado directamente a su direccin MAC. Los sistemas que se encuentran en modo promiscuo, leen todo el trfico y lo envan al sniffer para que este interprete la data capturada. El modo promiscuo es habilitado en la tarjeta de red por un software (driver) especial. Pero no se preocupe la mayora de los sniffer incluyen este driver para facilitarle a usted este proceso. Una computadora conectada a una red de rea local (LAN) tiene 2 direcciones. Una es la direccin MAC y la otra es la direccin IP. La direccin Mac es la que identifica cada nodo en una red y esta es almacenada en la propia tarjeta de red (network card). El protocolo Ethernet utiliza la direccin MAC para transferir data desde y hacia sistemas. La direccin IP es usada por las aplicaciones o programas, es aqu donde entra en funcin la capa o pila de enlace de datos (Data Link Layer) del Modelo OSI, esta capa utiliza un encabezado del protocolo Ethernet con la direccin MAC de la computadora destino en vez de la direccin IP. La capa de red (Network Layer) es la que se encarga de mapear las direcciones IP de una red. Los 2 tipos de ambientes Ethernet: Ethernet Compartido (Shared Ethernet) - en este tipo de ambiente todas las computadoras estn conectadas al mismo Hub o concentrador y compiten entre ellas por el ancho de banda (bandwidth). Porque los Hubs envan todo el trfico a todos los puertos de las computadoras conectadas a l. Hacer Sniffing en un Ethernet compartido es totalmente pasivo y es bien difcil de detectar. HUB Fuente Imagen: http://www.connectworld.net/cis/hub-diagram.jpg Switched Ethernet un switch es un dispositivo de hardware que enva paquetes solo a la computadora destino y no transmite a todas las computadoras que se encuentran en la red

como lo hace el Ethernet compartido (HUB). Como no transmite a todas las computadoras se tiene una mejor utilizacin del ancho de banda disponible y una mejora en la seguridad. El Switch maneja una tabla que mantiene un registro de cada direccin MAC de las computadoras conectadas y el puerto fsico donde estas estn conectadas y entrega paquetes destinados a una computadora en particular. Aun que son ms seguras que los HUB, las redes de Switch no son totalmente seguras y tampoco son inmunes al Sniffing. En realidad existen 2 maneras de hacer Sniffing en una red de Switch, una es ARP Spoofing y la otra MAC Flooding. Switched Ethernet Los 2 tipos de Sniffing: Pasivo y Activo Pasivo El Sniffing Pasivo es el escuchar y capturar trfico en una red. Donde mejor funciona el sniffing pasivo es en redes de computadoras conectadas al mismo Hub y/o conectadas a la misma red inalmbrica (wireless). El sniffing pasivo no se puede detectar. Activo El sniffing activo involucra el realizar ataques al ARP (Address Resolution Protocol) y el inundar el trafico (MAC flooding) para infiltrarse en una red conectada por Hub o por Switch. ARP spoofing y MAC flooding: ARP spoofing - El trabajo del ARP es convertir direcciones IP en direcciones MAC. Los ataques al ARP tambien son conocidos como ARP poisoning (envenenamiento del ARP) y ARP spoofing (suplantacion del ARP) ambos se refieren a lo mismo y son las tecnicas usadas para atacar redes Ethernet. El proposito del ARP spoofing es el enviar mensajes ARP falsos a un LAN Ethernet. Estos mensajes contienen direcciones MAC falsas para confundir a los dispositivos de red como los Switches. MAC flooding - El MAC flooding es el inundar el Switch con tanto trafico que este deja de funcionar como un Switch y empieza a funcionar como un HUB, enviando todo el trafico a todos los puertos. Este ataque le permite a la computadora donde esta conectado el sniffer a capturar todo el trafico en una red. Protocolos vulnerables al Sniffing: Cualquier protocolo que no esta encriptado o cifrado es propenso o vulnerable al Sniffing: 1. HTTP 2. POP3 3. SNMP 4. FTP 5. NNTP 6. IMAP 7. Telnet Estos protocolos son los favoritos de los Hackers por que la data como nombres de usuario y passwords son enviados por estos protocolos en texto plano o claro (clear text).