Un sniffer de Ethernet

Enviado por kioshito • 27 de Noviembre de 2014 • Trabajos • 2.382 Palabras (10 Páginas) • 211 Visitas

Página 1 de 10

SNIFFER

Un sniffer de Ethernet es un programa que trabaja en conjunto con la tarjeta de interfaz de red (NIC, Network Interface Card), para absorber indiscriminadamente todo el tráfico que esté dentro del umbral de audición del sistema de escucha. Y no sólo el tráfico que vaya dirigido a una tarjeta de red, sino a la dirección de difusión de la red 255.255.255.255, es decir a todas partes.

Para ello, el sniffer tiene que conseguir que la tarjeta entre en modo "promiscuo", en el que, como indica la propia palabra, recibirá todos los paquetes que se desplazan por la red. Así pues, lo primero que hay que hacer es colocar el hardware de la red en modo promiscuo; a continuación el software puede capturar y analizar cualquier tráfico que pase por ese segmento.

Esto limita el alcance del sniffer, pues en este caso no podrá captar el tráfico externo a la red (osea, más allá de los routers y dispositivos similares), y dependiendo de dónde esté conectado en la Intranet, podrá acceder a más datos y más importantes que en otro lugar. Para absorber datos que circulan por Internet, lo que se hace es crear servidores de correo o de DNS para colocar sus sniffers en estos puntos tan estratégicos.

ENTORNO DE TRABAJO PARA UN SNIFFER

El entorno en el que suele ser más efectivo este tipo de programas es en una Red de Área Local (LAN), montada con la topología tipo bus. En este tipo de redes todas las máquinas están conectadas a un mismo cable, que recibe el nombre de bus, y por lo tanto, todo el tráfico transmitido y recibido por todas las máquinas que pertenecen a esa red local pasa por ese cable compartido, lo que en la terminología de redes se conoce como el medio común. El Hub o concentrador opera igual que un cable bus.

El otro entorno natural de los sniffers es una máquina víctima. En este caso, es necesario tener acceso a la máquina victima para instalar el programa y el objetivo perseguido aquí es robar información que permita el acceso a otras máquinas, a las que habitualmente se accede desde esa máquina víctima.

Los sniffers funcionan por una sencilla razón: muchos de los protocolos de acceso remoto a las máquinas se transmiten las claves de acceso como texto plano, y por lo tanto, capturando la información que se transmite por la red se puede obtener este tipo de información y el acceso ilegítimo a una determinada máquina.

MODO PROMISCUO

Cuando se dice que un adaptador de red esta configurado en modo promiscuo, captura todos los paquetes que pasan por delante de él.

La forma más inmediata de saber si un determinado adaptador de red está en un modo promiscuo es utilizar el programa ifconfig. Este programa permite configurar los adaptadores de red instalado en una determinada máquina y obtener información de esa configuración.

Cuando un adaptador de red se encuentra en modo promiscuo, ifconfig nos informa de ello. Un intruso que rompa un sistema e instale un sniffer en él sustituirá este programa por una versión modificada, de tal forma que no muestre el estado en modo promiscuo de la interfaz de red.

Como veíamos en ese mismo artículo, para evitar esto podemos utilizar versiones del programa limpias, por ejemplo, algunas que hayamos grabado en un disco justo después de instalar el sistema, o utilizar herramientas propias para identificar este tipo de situaciones.

Finalizando con lo que sería la definición del modo promiscuo, podemos decir que en los kernel más modernos esta información puede ser obtenida a partir del sistema de ficheros /proc, lugar del que podemos obtener una enorme cantidad de información interesante sobre el sistema de red.

CAPTURA DE PAQUETES

En palabras precisas, los sniffers capturan paquetes de la red. En una LAN con topología de bus, es posible capturar tráfico de todas las máquinas conectadas en ese bus pero, en el caso general y, como comentábamos más arriba, este tipo de programas pueden ser utilizados en cualquier entorno, probablemente con una repercusión menor pero constituyendo una brecha de seguridad igualmente importante.

En muchos casos, una vez que el intruso ha conseguido el control de la máquina víctima puede optar por la instalación de un sniffer en la misma. En este caso, el sniffer permitirá al atacante robar claves de acceso a otras máquinas. Cada vez que un usuario de la máquina víctima intente una conexión, el sniffer capturará los paquetes enviados en los que se encuentra la clave de acceso en texto plano.

En ocasiones se dota al sniffer de la capacidad de transmitir estos datos vía correo electrónico o permitir al atacante conectarse a un puerto concreto en la máquina víctima para recuperar los datos que el sniffer ha capturado.

Este tipo de instalación se apoyará con técnicas de ocultación de procesos y de conexiones de red (para el caso en el que se permita recuperar los datos del sniffer de esta forma).

FUNCIONAMIENTO

La forma de funcionamiento de este tipo de programas suele basarse en almacenar en un fichero toda la información que ha robado, de forma que el intruso puede recuperarla en el futuro. Para evitar que estos ficheros sean demasiado voluminosos, muchos sniffers sólo capturan los primeros paquetes de la conexión, en los que se encuentran las contraseñas que se pretenden robar.

Ésta es una de las razones por las que resulta conveniente no permitir el acceso como root a través de telnet a las máquinas y obligar al usuario que quiera utilizar los privilegios de root a utilizar el comando "su" una vez que está dentro. El sniffer sólo captura los primeros paquetes, con lo que obtiene el password de un usuario normal sin privilegios. Cuando este usuario ejecuta el comando "su" para convertirse en root, el sniffer ya no está capturando esa información y la clave de root permanece segura.

PRECAUCIONES QUE DEBEMOS TOMAR

Lo primero que debemos recordar es que, tanto para activar el adaptador de red en modo promiscuo, como para crear sockets raw, el intruso debe ser root.

 Usar unatopología en estrella con concentradores inteligentes, es una configuración más apropiada para evitar la instalación de sniffers.

 Instalar adaptadores de red que no permitan ser configurados en este modo, ya que existen este tipo de dispositivos. Esta opción no es buena opción para los estudiosos de las redes, ya que imposibilita la utilización de este tipo de herramientas que, cómo veíamos, son de un valor didáctico muy importante.

 El comando ifconfig nos

...

Descargar como (para miembros actualizados) txt (14.8 Kb)

Leer 9 páginas más »

Leer documento completo Guardar

Disponible sólo en Clubensayos.com

Información sobre ensayo

Denunciar este ensayo

Ensayos relacionados

Cómo Armar Un Cable Ethernet
Sí, ya sabemos lo que deben estar pensando. Hay una enorme cantidad de guías al respecto a sólo un par de búsquedas de distancia, pero

8 Páginas • 585 Visualizaciones
Norma IEEE 802.3 Y Ethernet
Norma IEEE 802.3 y ethernet se utilizan en redes LAN con protocolo CSMA/CD. Históricamente se inicia en el sistema ALOHA en Hawai, continuándose su desarrollo

5 Páginas • 1393 Visualizaciones
Definición de Ethernet
1 .- Definición de Ethernet Es la aplicación de los estándares IEEE 802.3 mediante cables, conectores y hardware que se apliquen en ambientes con ruido,

2 Páginas • 785 Visualizaciones
ETHERNET
ETHERNET Es la tecnología de red de área local más extendida en la actualidad. Fue diseñado originalmente por Digital, Intel y Xerox por lo cual,

15 Páginas • 441 Visualizaciones
El Estándar De Ethernet
Ethernet Ethernet es un estándar de redes de computadoras de área local con acceso al medio por contienda CSMA/CD. ("Acceso Múltiple por Detección de Portadora

11 Páginas • 518 Visualizaciones
Variante de Fast Ethernet
CUESTIONES: REDES LAN. 1. Suponga que se desarrolla una variante de Fast Ethernet en la que el tamaño de trama mínimo es diez veces mayor

1 Páginas • 460 Visualizaciones
La Ethernet
es un estándar de redes de área local para computadores con acceso al medio por contienda CSMA/CD. CSMA/CD (Acceso Múltiple por Detección de Portadora con

1 Páginas • 397 Visualizaciones
Tecnología y velocidad de Ethernet
Ethernet es un estándar de redes de área local para computadores con acceso al medio por contienda CSMA/CD. CSMA/CD (Acceso Múltiple por Detección de Portadora

8 Páginas • 435 Visualizaciones
Power Over Ethernet PoE
REPÚBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PAR LA EDUCACIÓN SUPERIOR INSTITUTO UNIVESITARIO DE TECNOLOGÍA UNIR-READIC EL POWER OVER ETHERNET (POE) AUTOR: IKAR DOPA

5 Páginas • 497 Visualizaciones
ETHERNET
ETHERNET Ethernet es un estándar de redes de área local para computadores con acceso al medio por contienda CSMA/CD. CSMA/CD (Acceso Múltiple por Detección de

13 Páginas • 447 Visualizaciones