Monitores de Redes Unidad 4 Herramientas de Monitoreo

Instituto Tecnolgico de Durango. Ing. Sistemas

Esteban Robledo Salas N de control 11041291 Pgina 1

Ing. Sistemas Computacionales

Monitoreo De Redes

Unidad 1

Grupo: 6YZ

Maestra: Esteban Lujan Mesta

Alumno: Esteban Robledo Salas

N de control: 11041291

Fecha de Entrega: 10 de Diciembre de 2014



Qu es un Sniffer? El uso que se les den a ste tipo de aplicaciones es algo

importante de sealar, ya que gracias a ellos podemos ayudar a que nuestra Red

tenga ms seguridad, hacer pruebas y as poder tener un muy buen resultado, el

problema viene cuando otros usuarios lo utilizan con fines de delitos electrnicos,

ya que con ste tipo de herramientas se puede obtener informacin confidencial.

Los principales usos que se le pueden dar son:

Captura de contraseas enviadas sin cifrar y nombres de usuario de la red. Esta

capacidad es utilizada en muchas ocasiones por atacantes (malamente conocidos

como hackers, pero de eso hablare otro da) para atacar sistemas.

Anlisis de fallos para descubrir problemas en la red, tales como: por qu el

ordenador A no puede establecer una comunicacin con el ordenador B?

Medicin del trfico, mediante el cual es posible descubrir cuellos de botella en

algn lugar de la red.

Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la

informacin real que se transmite por la red.

Algunos sniffers trabajan slo con paquetes de TCP/IP, pero hay otros ms

sofisticados que son capaces de trabajar con un nmero ms amplio de protocolos

e incluso en niveles ms bajos tal como el de las tramas del Ethernet.



ESCANEANDO LA RED.

Con Cain & Abel encendido, procederemos a activar el Sniffer, para ello haremos

clic sobre el botn marcado en la foto situado en la parte superior izquierda de la

barra de herramientas del programa.

Hecho esto, nos dirigiremos a la pestaa superior Sniffer una vez all, en la

pestaa inferior Host haremos clic derecho y seleccionaremos Scan MAC

Addresses

Despus marcaremos la opcin para escanear todos los equipos de mi subred

(All host in my subnet) y haremos clic en OK.



Como podremos observar, aparecer una lista con los equipos de la subred.

Ahora es el momento de escoger una vctima para nuestra prueba, en mi caso

utilizare una mquina virtual con la IP 192.168.1.25.

INTERCEPTANDO EL TRFICO GENERADO POR LA VCTIMA.

Dentro del mdulo de sniffer de Cain, nos dirigiremos a la pestaa inferior APR

para posteriormente hacer clic en el smbolo + situado en la barra de

herramientas.

Hecho esto, aparecer una ventana, donde debemos seleccionar en la parte

izquierda la IP de nuestra vctima y en la parte derecha la direccin que queremos

intervenir, en nuestro caso la propia puerta de enlace.



Una vez agregada nuestra victima a la lista, haremos clic sobre el botn APR

situado en la parte superior de la barra de herramientas para empezar a redirigir el

trfico.

Esta accin provocar que nuestro equipo copie temporalmente la IP de la puerta

de enlace y obtenga los paquetes destinados a ella por parte del cliente, sin

interrumpir la conexin entre ambos, por lo que el equipo cliente no notar el

cambio.

Si accedemos a la pestaa inferior Passwords, en el apartado HTTP podremos

observar las direcciones que visita nuestra vctima.



Capturando contraseas. En la misma zona donde visualizamos el trfico de

nuestra vctima, podremos visualizar contraseas de webs no seguras.

Para comprobar la eficacia del sniffer y no peligrar la privacidad de nadie, me

registr en una web que no tena soporte https e inici sesin.

Como se puede observar claramente, el sniffer intervino la conexin capturando la

contrasea de la vctima.



Pero Can no solo captura contraseas de pginas web no seguras (HTTP) sin

que tambin es capaz de capturar contraseas de otro tipo de protocolos no

seguros como puede ser FTP, VNC, Telnet

Para probar de nuevo el funcionamiento del sniffer, decid conectarme a un

servidor ftp de prueba que cree anteriormente desde la mquina vctima.

Una vez ms el sniffer obtuvo la direccin IP del servidor, usuario y contrasea,

aunque esta vez, se almacen en el apartado de FTP tambin incluida dentro de

la pestaa Passwords.



Prez Suplantando la tabla DNS. La tabla DNS, es la encargada de traducir los

dominios en direcciones IP para conectarnos a travs de ella a los distintos

equipos de la red.

En este apartado, redirigiremos un dominio existente (www.terra.es) a una web

creada en la propia red local (En la prctica real, esta web podra ser un exploit y

el usuario jams sospechara de ello).

Para suplantar la DNS, nos dirigiremos a la pestaa inferior APR, una vez all

nos dirigiremos al apartado APR-DNS y all haremos clic derecho para

seleccionar Add to list.

Aqu debemos introducir en la parte superior del formulario, el dominio a suplantar

y en el destino, la direccin ip del servidor web que suplantar al dominio indicado.



De esta manera, cuando la vctima acceda a la web, en este caso terra, ser

redirigida a la web falsa indicada, conservando el dominio en la barra de

direcciones del explorador ya que hemos suplantado la tabla DNS.



Cambiar la direccin fsica. La direccin MAC es un identificador de 48 bits (6

bloques hexadecimales) que corresponde de forma nica a una tarjeta o

dispositivo de red. Su funcin es permitir la comunicacin a nivel de enlace (Capa

2 del modelo OSI).

La suplantacin de esta direccin puede permitir pasar desapercibido frente a

otros sniffers o atravesar filtros hacindose pasar por otros equipos.

Para enmascarar la direccin fsica de nuestro adaptador de red, accederemos al

men Configure dentro de la barra de herramientas, una vez all en la pestaa

APR (Arp Position Routing) podremos enmascararnos con la direccin IP y

direccin MAC deseada.

Ya sea desde Windows o Linux, a travs de las propiedades del adaptador,

tambin podremos enmascarar la direccin MAC de este.



Proteccin frente a Sniffers. El ARP (Protocolo de Resolucin de Direcciones) es

un protocolo acta a nivel de enlace de datos responsable de encontrar la

direccin hardware (Ethernet MAC) que corresponde a una determinada direccin

IP.

Para lograr esto se enva un paquete (ARP request) a la direccin (broadcast) de

difusin de la red (MAC = FF FF FF FF FF FF), que contiene la direccin IP por la

que se pregunta, y se espera a que esa mquina (u otra) responda (ARP reply)

con la direccin fsica que le corresponde. Cada mquina mantiene una cach,

(tambin conocida como tabla ARP), con las direcciones traducidas para reducir el

retardo y la carga.

Segn las pruebas realizadas en el aula, la suplantacin de la MAC de la puerta

de enlace no es lo suficientemente perfecta como para engaar a la tabla ARP

esttica.

Por ello, si un equipo tiene definida en la tabla ARP la direccin de la puerta de

enlace de forma esttica junto con su MAC, el sniffer ser incapaz de intervenir e

interceptar paquetes.

Tanto en Windows como el Linux podemos administrar la tabla ARP de la misma

forma.

Mediante el comando arp apodremos visualizar las entradas de la cach.



Y mediante el comando arp s direccionIP DireccionMAC podremos fijar

entradas estticas

Documents

Monitores de Redes Unidad 4 Herramientas de Monitoreo