Embed Size (px)
DESCRIPTION
Sniffer
Citation preview
LOGO
Grupo #1
Funcionamiento de los Sniffer
SniffersDefinición
Comenzaremos con explicar que es un “Sniffer” (Sniff: olfatear, rastrear) o “analizador de paquetes”. Un Sniffer es un software que se encarga de capturar paquetes en tránsito (entrada y salida) en una cierta red y analizarlos.
Técnicamente un sniffer es un programa informático que registra la información que envían los periféricos de una red para poder monitorear la actividad de un determinado ordenador.
SniffersFuncionamiento
La función principal que realiza un sniffer dentro de un ordenador es la de obtener cualquier tipos de información de la red, tal como: cuentas, password, IP, MAC, etc.
Este programa les ordena a un computador, específicamente a su tarjeta de red (NIC, Network Interface Card), que deje de ignorar a todo el tráfico dirigido a otros equipos y preste atención a ellos. Para esto, se coloca a la NIC en un estado conocido como “modo promiscuo”, el cual no descarta los paquetes que no son para su dirección MAC, sino que los almacena y lee.
SniffersUso
Para el uso adecuado de un sniffer es primordial dejar a la NIC en un estado promiscuo; es decir, que la NIC va a capturar todo el tráfico que existe en la red, sea este deseado o no deseado. Una vez realizado esto, la NIC podrá capturar todo tipo de información que este en la red, inclusive aquella que no es de su incumbencia.
Los Sniffers son una herramienta útil a la hora de administrar y optimizar redes, ya que con estos puedes ver todos los paquetes en tránsito, sus IPs destino y origen, puertos, direcciones MAC (en algunos), etc.
SniffersUso
UtilidadesSon muchas las utilidades que se dan a los sniffers, los más importantes son:
Captura de contraseñas. Análisis de fallos. Medición de tráfico. Análisis de información.
SniffersUso
Utilidad como captura de contraseñas.Un sniffer realiza la captura de contraseñas que no estén cifradas, las cuales viajan en el flujo de red. Este uso es el más popular que lo realizan los atacantes informáticos (hackers).
Utilidad como análisis de fallos.Permiten descubrir problemas existentes en una red, tales como, el porque un host A no puede establecer comunicación con un host B.
SniffersUso
Utilidad como medición de tráfico.Permiten descubrir la existencia de cuellos de botella en algún lugar de la red. Como su nombre lo dice un cuello de botella es aquel lugar de la red donde existe una disminución de tráfico de información.
Utilidad como análisis de información.Este uso es de mucha importancia por los desarrolladores de aplicaciones cliente-servidor, ya que de esta forma es posible conocer el tipo de información real que se transmite por la red.
SniffersExisten dos tipos de sniffers:
a) Sniffers comercialesSon usados con fines de monitoreo y control para tomar medidas de seguridad en una red.
Algunos de los más conocidos son:o Ettercap.o Kismet.o Tcpdump.o Wireshark
b) Sniffers underground.Son usados con fines delictivos; es decir, robo de
información.
SniffersEttercap.− Es un interceptor, sniffer y registrador para redes
LAN con switch.
− Soporta las direcciones activas y pasivas de varios protocolos incluyendo a los protocolos cifrados como: SSH.
− Permite identificar ataques de spoofing (robo de identidad)
SniffersKismet.− Es un husmeador de paquetes y un sistema de
detección de intrusos para redes inalámbricas.− Kismet funciona con cualquier tarjetá inalámbrica
que soporte el modo de monitorización raw.
SniffersTcpdump.− Es una herramienta de consola cuya utilidad
principal es analizar el tráfico de información que existe en una red.
− Permite capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red.
SniffersWireshark.-Conocido como Ethereal, es un analizador de protocolos utilizado para realizar el análisis y solucionar problemas de red, es una herramienta desarrollada con fines educativos.
SniffersFormas de ProtegerseLos Sniffers son difíciles de detectar, ya que al ser atacantes pasivos, dejan pocos rastros de su intromisión. Una forma de identificarlos es ver si existe alguna tarjeta de red en modo promiscuo con la herramienta ifconfig nativa de Linux.
Uno de los métodos más eficaces es el uso de encriptación de los datos, que consiste en cifrar los datos bajo una serie de códigos que solo pueden ser leídos con una llave que solo posee el receptor. Este método es usado en la mayoría de las páginas web donde se requieren datos o contraseñas, ya que estas son de suma importancia y nadie más debe saberlas.
SniffersComo detectar un atacante de un Sniffer
Para detectar un dispositivo sniffer que solamente toma datos y no responde a ninguna solicitación, es necesario un examen físico de las conexiones Ethernet y la verificación individual de las interfases.
Un sniffer corriendo en una máquina coloca a la interfase de red en modo promiscuo con la intención de capturar todos los paquetes de un determinado segmento.
SniffersComo detectar un atacante de un SnifferPara otros sistemas operativos tales como SunOs, NetBSD, y derivados de BSD Unix sistems , el comando # ifconfig -a nos mostrará información relativa de todas las interfases.
SniffersBloqueo de ataque de Sniffer
Hubs activos y switches.
Una de las formas de bloquear ataques de sniffer es a través de Hubs activos o switches quienes solo reconoce direcciones propias (enviando el paquete solamente a la máquina destino), las demás no las deja pasar. De esta manera deja sin efecto el ataque del sniffer. Esto solo funciona en circuitos 10 base T. Tener en cuenta que esta no es la principal función del Hub activo.
SniffersBloqueo de ataque de Sniffer
Criptografía.Otra manera de bloquear ataques de sniffer es por medio del uso de la criptografía entre las conexiones, si bien es posible capturar dichos paquetes, éstos no pueden ser descifrados. Existen en E.E.U.U., actualmente, leyes que prohíben la exportación de algoritmos de criptografía y restringen a 40 bits el tamaño de las claves para software exportados.
SniffersBloqueo de ataque de Sniffer
Tecnologías de one - time password.
S/key y otras tecnologías de one-time password tornan sin efecto el ataque del sniffer, ya que a cada conexión una nueva password debe ser informada. El uso de esta tecnología permite usar un canal inseguro porque no existe reutilización de una misma password.
