Embed Size (px)
Citation preview
IntroducciónIntroducción
• A diferencia de los circuitos telefónicos, las redes de computadoras son canales de comunicación compartidos. El compartir, significa que las computadoras pueden recibir información proveniente de otras maquinas. Al capturar la información que viene de otra parte de la red se le llama "sniffing". La mas popular manera de conectar computadoras es a través del Ethernet.
IntroducciónIntroducción
• El cableado Ethernet trabaja por el envío de paquetes de información por todos los nodos de la red. El paquete contiene en su cabecera la dirección de la maquina destino. Solo la maquina que contenga dicha dirección podrá aceptar el paquete. Una maquina que acepte todos los paquetes sin importar los que contenga la cabecera, se dice que esta en estado promiscuo.
EstructuraEstructura LANLAN
• Computadoras y demás dispositivos de red (ej: impresoras) están interconectados mediante un medio de transmisión común.
• Sistema de cableado
• Par trenzado
• Coaxil
• Fibra óptica
(a)
RAM
RAMROM
Ethernet Processor
(b)
• Los dispositivos de red se conectan al sistema a través de
• Network interface card (NIC)
• NIC:
• Coordina las transferencias de información entre la computadora y la red.
• Transfiere información en paralelo desde y hacia la RAM de la computadora.
• Transfiere información en serie desde y hacia la red.
• Funciones• Conversión Paralelo a Serie.
• Data buffering.
• Componentes
• Port según las especificaciones de conector y sistema de transmisión.
• Firmware en ROM que implementa el protocolo de MAC.
• Cada NIC tiene una única dirección física “quemada” en ROM
• Los primeros 3 bytes corresponden al fabricante.
• Los últimos 3 son un ID a cargo del fabricante.
• Contiene hardware que le permite reconocer• Su dirección física• Dirección broadcast• Direcciones multicast que identifican
grupos de dispositivos de red.
• Puede setearse para que corra en modo “promiscuo”, donde es capaz de escuchar todas las transmisiones.• Usuado por administradores para
identificar problemas en la red.• Usado por hackers para interceptar
passwords y otro tipo de información no encriptada.
¿Que es un Sniffer?¿Que es un Sniffer?• Un sniffer es un programa de para monitorear y
analizar el trafico en una red de computadoras, detectando los problemas que existan en ella. Un sniffer puede ser utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red. Un ruteador lee cada paquete de datos que pasa por el, determina de manera intencional el destino del paquete dentro de la red. Un ruteador y un sniffer, pueden leer los datos dentro del paquete así como la dirección de destino.
¿Cómo¿Cómo funcionanfuncionan loslos Sniffers? Sniffers?
• Un sniffer de paquetes es un programa que “espía” el tráfico que circula por la red.
• Captura información mientras pasa por la red.
• Condiciones Normales:
• La información es puesta en frames.
• Cada frame se direcciona hacia una dirección MAC (media access control) particular.
¿Cómo¿Cómo funcionanfuncionan loslos Sniffers? Sniffers?
• Cada NIC y demás dispositivos de red tienen una única dirección MAC.
• Usualmente no se permiten cambios de MAC.
• La NIC solamente recibe paquetes con su dirección MAC, todos los demás se ignoran.
• Modo Promiscuo
• En este modo, la NIC pasará cada frame al protocolo superior sin importar la dirección MAC.
¿Qué¿Qué puedepuede hacerhacer unun Sniffer? Sniffer?
• Determinar el gateway local de una red desconocida.
• Simple password sniffer.
• Haciendo parsing de cada paquete y guardando información relevante.
• Guardar todas las URLs pedidas (a partir del tráfico HTTP) y analizarlas offline.
¿Qué¿Qué puedepuede hacerhacer unun Sniffer? Sniffer?
• Interceptar paquetes de un host destino falseando respuestas ARP.
• Inundar la red local con direcciones MAC random.
DetecciónDetección dede SniffersSniffers Maliciosos Maliciosos
• DNS Test• Crear numerosas conexiones falsas de
TCP• Esperando que un sniffer mal escrito• Espie esas conexiones.• Resuelva los IPs de esos hosts
inexistentes.• Cuando hace la búsqueda DNS (reverse),
una herramienta de detección de este tipo de ataque puede ver si el target (haciendo sniffing ) es el host inexistente.
DetecciónDetección dede SniffersSniffers Maliciosos Maliciosos
• Ping Test• Construir un ICMP echo request
• Inicializar la dirección IP con el IP del host sospechado.
• Deliberadamente elegir una MAC que no corresponda.
• La mayoria de los sistemas ignorarán este paquete debido a que su dirección está mal.
• En algunos sistemas, si la NIC está en modo promiscuo, el sniffer tomará este paquete como legítimo y responderá acordemente.
• Si el host sospechado responde a nuestro pedido sabremos que está en modo promiscuo.
• Los hackers “capacitados” saben esto y filtran estos paquetes…
DetecciónDetección dede SniffersSniffers Maliciosos Maliciosos
• ARP Test
• Enviar un pedido ARP al host sospechado con información válida salvo por la dirección de MAC destino.
• Una máquina que no está en modo promiscuo nunca vería este paquete.
• Si está en modo promiscuo, el pedido ARP sería visto y el kernel respondería…
EvitandoEvitando elel Sniffing Sniffing
• La mejor forma de evitar este problema es no permitirle al hacker acceso a nuestros sistemas.
• Utilizar switches en lugar de hubs.• Con un hub todo el tráfico es visible para
cada máquina de la LAN en el mismo dominio de colisión.
• En un ambiente con switches, los frames son vistos únicamente por las interfaces “colgadas” en cada port.
EvitandoEvitando elel Sniffing Sniffing
• Sin embargo algunos sniffers pueden “espiar” en redes switcheadas.
• La mejor forma de evitar los daños causados por un sniffer es no enviar usernames/passwords planos por la red.
• La encripción es crucial.
• Usar SSH en vez de telnet.
• Usar HTTPS en vez de HTTP.
• Usar SFTP en vez de FTP.
TécnicasTécnicas AvanzadasAvanzadas dede Sniffing Sniffing
• ¿Qué tan seguro es un switch?• Los switches mantienen una lista
interna de las direcciones MACs de los hosts que se encuentran en cada port.
• Se envía el tráfico unicamente a un port solamente si la dirección destino está presente en ese port.
• Los atacantes tienen nuevas formas para evitar estos avances tecnológicos.
Principales UsosPrincipales Usos• Sniffing es simplemente “espiar” pasivamente
en una red.
• Es una técnica empleada por hackers para obtener información importante. por ejemplo:
• Nombres de Usuario
• Contraseñas
• Puede también utilizarse como técnica de investigación.
• Para descubrir fallos en la Red
• Medicion del trafico
• Para desarrolladores, en Aplicaciones Cliente-Servidor
AlgunosAlgunos Sniffers Sniffers • Wireshark• http://www.wireshark.org/download.html
• Kismet
• http://www.kismetwireless.net/download.shtml
• Ettercap
• http://ettercap.waxoo.com/
• Tcpdump• http://www.tcpdump.org
AlgunosAlgunos Sniffers Sniffers
• Snort
• http://www.snort.org
• WhatsAppSniffer
• WhatsSniff
• http://www.adminso.es/index.php/SNNIFER-WhatsApp_Sniffer
• Dsniff
• http://www.monkey.org/~dugsong/dsniff/
![Tema 3. Seguridad en redindex-of.es/Sniffers/Sniffers_pdf/Tema_3print.pdf · La sintaxis básica para establecer una conexión es: nc [-u] host_remoto puerto_remoto [-p puerto_local](https://img.pdfslide.tips/doc/110x75/5eadc7f08c642e4a90434079/tema-3-seguridad-en-redindex-ofessnifferssnifferspdftema-la-sintaxis-bsica.jpg)
