SNIFFER
INTRODUCCION
Este apartado trata de un programa llamado sniffer que nos sirve para monitorear y controlar el trafico en una red de computadoras; asi como también captar datos que circulan a través de la red.
Y que además se tratara de explicar más ampliamente el concepto, como también se darán a cono ser los diferentes tipos de sniffer que existe; a continuación.
DESARROLLO.
Como ya se comento un sniffer es:
En informática, un packet sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.
Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede obtener (sniffear) todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mail, conversaciones de chat o cualquier otro tipo de información personal (por lo que son muy usados por crackers, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal).
Este apartado trata de un programa llamado sniffer que nos sirve para monitorear y controlar el trafico en una red de computadoras; asi como también captar datos que circulan a través de la red.
Y que además se tratara de explicar más ampliamente el concepto, como también se darán a cono ser los diferentes tipos de sniffer que existe; a continuación.
DESARROLLO.
Como ya se comento un sniffer es:
En informática, un packet sniffer es un programa de captura de las tramas de red. Generalmente se usa para gestionar la red con una finalidad docente, aunque también puede ser utilizado con fines maliciosos.
Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede obtener (sniffear) todo tipo de información de cualquier aparato conectado a la red como contraseñas, e-mail, conversaciones de chat o cualquier otro tipo de información personal (por lo que son muy usados por crackers, aunque también suelen ser usados para realizar comprobaciones y solucionar problemas en la red de modo legal).
Tipos de Sniffer
1.Tcpdump.- Es un programa que permite monitorear o controlar el trafico en una red en tiempo real.
Los filtros que se pueden crear para mostrar tan sólo la información que nos interesa, hacen de tcpdump una herramienta muy potente para el análisis de tráfico en redes de comunicaciones. Tcpdump es una aplicación “peligrosa”, por lo que en los sistemas UNÍX sólo se permite su utilización al usuario root. Luego, tcpdump permite examinar todas las conversaciones, incluyendo mensajes de broadcast SMB y NMB. Mientras que sus capacidades en detección de errores están principalmente a nivel de capa de red OSI, todavía puedes usar su salida para obtener una idea general de qué están intentando hacer el servidor y el cliente. En Windows, en lugar del tcpdump se usa el Windump.
2.Darkstat y Traffic-Vis
Darkstat.- Al igual que Tcpdemp es una herramienta para monitorizar una red, que analiza el tráfico de la misma, pero además genera un informe estadístico en formato HTML, basándose en los datos obtenidos. Este realiza la estadística de direcciones que se generan en la comunicación entre hosts, el tráfico que se produce, y los diferentes números de puerto usados por los diversos protocolos. Además permite obtener un breve resumen y gráficos por períodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa.
Traffic-vis.- es un proceso demonio (informática) que monitoriza el tráfico TCP/IP y convierte esta información en gráficos en ASCII, HTML o Postscript. Traffic-vis también permite analizar el tráfico entre hosts para determinar qué hosts han comunicado y el volumen de su intercambio.
3.- NGREP.-Muestra y busca paquetes. Ngrep se esfuerza por proveer de la mayoría de características comunes del "grep" de GNU, aplicándolas a la capa de network ({"network layer"} del modelo de referencia OSI). ngrep es consciente de la presencia de pcap y permite usar expresiones regulares que concuerden con el "payload" ( o sea la carga, el cuerpo, y _no_ los encabezados) de los paquetes. Actualmente reconoce TCP, UDP, e ICMP sobre Ethernet, PPP, SLIP e interfaces nulas {"null interfaces"}, y comprende la lógica de un filtro "bpf" de la misma manera que herramientas más comunes de sniffing como tcpdump y snoop.
4.- SNORT.-Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos o aprovechar alguna vulnerabilidad, análisis de protocolos, etc., conocidos, todo esto en tiempo real. Está disponible gratuitamente bajo licencia GPL, y funciona en plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.
5.-NWatch .-es un "succionador", pero se puede entender como un analizador de puertos pasivo, que está solamente interesado en tráfico IP y organiza los resultados como un explorador de puertos. Esto agrega la ventaja de que cualquier herramienta que funcione encendido tal salida (NDiff) puede utilizar los datos. NWatch se diferencia de un "escaner" de puertos real de muchas maneras. Por ejemplo, cogerá los puertos que se abren para transmisión de datos solamente, algo que en un "escaner" de puertos posiblemente faltaría. Para la seguridad de la red NWatch es un complemento excelente al barrido de puertos regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un SIGINT (CTRL-c). Durante ese tiempo mira el interfaz por defecto (eth0), siguiendo cada combinación del IP host/port que descubre. En el último caso sería típicamente útil para espiar o quizás muestreo y análisis de los patrones del uso neto más bien que para una supervisión de la seguridad.
6.-Ethereal .-que ahora se llama Wireshark, es un potente analizador libre de protocolos de redes, funciona bajo Unix, Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la información a partir de una captura en disco (puede leer más de 20 tipos de formato distintos). Destaca también por su impresionante soporte de más de 300 protocolos, gracias sin duda a la licencia GPL y sus más de 200 colaboradores de todo el mundo.
Una de las cosas que más cuesta entender cuando uno comienza con ethereal es la utilización de los filtros a la hora de capturar datos (el típico error: Unable to parse filter string (parse error), puesto que utiliza un sistema para visualizar los datos y otro totalmente diferentes e incompatible para realizar las capturas (tcpdump).
7.-Ettercap.- es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la disección activa y pasiva de muchos protocolos(incluso cifrados) e incluye muchas características para el análisis de la red y del host (anfitrión).
Entre sus funciones, las más destacadas son las siguientes:
Injection de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexión está activa.
Compatibilidad con SSH1: Puede interceptar users y passwords incluso en conexiones "seguras" con SSH.
Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a través de un proxy.
Intercepta tráfico remoto mediante un túnel GRE: Si la conexión se establece mediante un túnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle".
"Man in the Middle" contra túneles PPTP (Point-to-Point Tunneling Protocol).
Soporte para Plug-ins.
8.- Kismet.- es un sniffer específico a Linux para redes inalámbricas. Específicamente, es un detector de la red 802.11 layer2,un succionador, y un sistema sin hilos para la detección de la intrusión. Funciona correctamente con los dos principales tipos de tarjetas inalámbricas , es decir, trabajará con cualquier tarjeta sin hilos que apoye modo de supervisión crudo (rfmon) y puede "oler" 802.11b , 802.11a y el tráfico 802.11g.
Kismet identifica redes de modo pasivo, recogiendo paquetes y detecta redes nombradas estándares, redes ocultas e infiere la presencia de redes nonbeaconing vía tráfico de los datos.
CONCLUCIONES.
Finalmente el programa sniffer nos permite controlar el trafico en la red, monitorea donde se ocasiono el problema y para extraer datos que circulan en la red que pueden ser privados o no.
Vasicamente lo que puede hacerse con un sniffer y sus diferentes tipos ya mensionados anteriormente son:
*Obtener contraseñas y nombres de usuarios que circulan por la red.
*Ayuda a que el ser humano pueda entender el trafico de datos convertiendo esta información en un formato entendible para el.
*Analiza los fallos que puede haber en la red, como por ejemplo; el por que un dato transmitido no a llegado a su destino.
*Se encarga de medir el tráfico, es decir se encarga de identificar en que lugar se acumula el tráfico.
*También se usa para poder detectar algún intruso en la red, como podría ser un hackers.
*Crea un registro de red, esto lo que nos permite es vigilar la red sin que los intrusos se den cuenta de ello.
*Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la información real que se transmite por la red.
No hay comentarios:
Publicar un comentario