Gran Final Campeonato Nacional Escolar Liga Las Torres 2017.pdf
Sniffer
1. Análisis de patrones de tráfico en redes
LAN
(Sniffers)
Universidad Tecnológica de Panamá
Centro Regional de Veraguas
Edmanuel Cruz, José Díaz
San Antonio, Veraguas
Edmanuel10@gmail.com
I. INTRODUCCIÓN una red de computadoras,
detectando los cuellos de botellas
Las redes de comunicaciones
y problemas que existan en ella,
han evolucionado con el paso del
también puede ser utilizado para
tiempo ante la necesidad de satisfacer
"captar", lícitamente o no, los
la demanda de los diferentes servicios
datos que son transmitidos en la
de telecomunicaciones, que día a día
red.
necesitan un mayor ancho de banda y una
mejor calidad de servicio, para las
b) La monitorización de red, o
nuevas aplicaciones que se han venido
captura de tramas, consiste en
desarrollando hasta la actualidad.
la obtención directa de tramas tal
y como aparecen a nivel de LAN.
Puesto que el medio de
II. Conceptos de Packet Sniffer
transmisión es, generalmente, una
(Analizadores de Tráfico de
línea de difusión, la
Red)
monitorización permite observar la
Definiciones: totalidad de las comunicaciones
que tienen lugar a través de la
a) Un “sniffer” es un programa para red, y por tanto resulta una
monitorear y analizar el tráfico en herramienta muy potente, tanto
2. desde el punto de vista positivo
1
Paco López. Artículo de Redes (RAL). 2006.
(diagnóstico de red) como el
http://www.colasoft.com/practica-etheral.pdf
2
negativo (compromete la Introducción al Analyser. Redes de
Computadores. 2004. http://analyzer.polito.it/
confidencialidad de las 3
Sniffer. Redes y Telecomunicaciones. 2007.
comunicaciones). http://www.mundocisco.com/2009/08/que-es-
un-sniffer.html
4
Julio Cesar Hernández. Laboratorio de
Seguridad en Tic.
http://www.revistasic.com/revista42/agorarevi
c) Un sniffer es un programa de
sta_42.htm
captura de las tramas de red. Es
algo común que, el medio de
Utilidad
transmisión (cable coaxial, UTP,
fibra óptica etc.) sea compartido Los principales usos que se le pueden
por varias computadoras y dar son:
dispositivos de red, lo que hace
posible que un ordenador capture Captura automática de contraseñas
las tramas de información no enviadas en claro y nombres de
destinadas a él. Para conseguir esto usuario de la red. Esta capacidad
el sniffer le dice a la computadora es utilizada en muchas ocasiones
que deje de ignorar todo el tráfico por crackers para atacar sistemas a
no destinado al equipo y le ponga posteriori.
atención, esto es conocido como
poner en estado "promiscuo" a la Conversión del tráfico de red en un
NIC (Network Interface Card). formato inteligible por los
humanos.
d) Un sniffer es un dispositivo que
permite a cualquier elemento
Análisis de fallos para descubrir
conectado a una red tener acceso al
problemas en la red, tales como:
tráfico que no va destinado
¿por qué el ordenador A no puede
expresamente a él o a broadcast;
establecer una comunicación con
tráfico, por tanto, al que no debería
el ordenador B?
tener acceso.
2
3. Medición del tráfico, mediante el topología de red, del modo donde esté
cual es posible descubrir cuellos instalado y del medio de transmisión.
de botella en algún lugar de la red. Por ejemplo:
Para redes antiguas con topologías
Detección de intrusos, con el fin en estrella, el sniffer se podría
de descubrir hackers. Aunque para instalar en cualquier nodo, ya que
ello existen programas específicos lo que hace el nodo central es
llamados IDS retransmitir todo lo que recibe a
(IntrusionDetectionSystem, todos los nodos. Sin embargo en
Sistema de Detección de intrusos), las redes modernas, en las que solo
estos son prácticamente sniffers lo retransmite al nodo destino, el
con funcionalidades específicas. único lugar donde se podría poner
el sniffer para que capturara todas
Creación de registros de red, de las tramas sería el nodo central.
modo que los hackers no puedan
detectar que están siendo Para topologías en anillo, doble
investigados. anillo y en bus, el sniffer se podría
instalar en cualquier nodo, ya que
todos tienen acceso al medio de
Para los desarrolladores, en transmisión compartido.
aplicaciones cliente-servidor. Les
permite analizar la información
real que se transmite por la red. Para las topologías en árbol, el
nodo con acceso a más tramas
sería el nodo raíz, aunque con los
switches más modernos, las tramas
Packet Sniffer y la Topología de
entre niveles inferiores de un nodo
Redes
viajarían directamente y no se
La cantidad de tramas que puede propagarían al nodo raíz.
obtener un sniffer depende de la
3
4. desarrollo de software y
protocolos, y como una
Es importante remarcar el hecho de
herramienta didáctica para
que los sniffers sólo tienen efecto en
educación.
redes que compartan el medio de
transmisión como en redes sobre cable
Ettercap, es un
coaxial, cables de par trenzado (UTP,
interceptor/sniffer/registrador para
FTP o STP), o redes WiFi.
LANs con switch. Soporta
El uso de switch en lugar de hub direcciones activas y pasivas de
incrementa la seguridad de la red ya varios protocolos (incluso aquellos
que limita el uso de sniffers al cifrados, como SSH y HTTPS).
dirigirse las tramas únicamente a sus
correspondientes destinatarios.
Es importante conocer el
funcionamiento de estas
aplicaciones para en un
Aplicaciones de Packet Sniffers
dado caso podamos
Algunos sniffers trabajan sólo con utilizarlas en una
paquetes de TCP/IP, pero hay otros determinada circunstancia.
más sofisticados que son capaces de
trabajar con un número más amplio de
protocolos e incluso en niveles más III. El Análisis de Tráfico
bajos tal como el de las tramas del
Ethernet. Algunos los más utilizados El análisis del tráfico de red se basa
tenemos los siguientes: habitualmente en la utilización de
sondas con interfaz Ethernet conectadas
Wireshark, antes conocido como al bus. Dichas sondas, con su interfaz
Ethereal, es un analizador de Ethernet funcionando en modo
protocolos utilizado para realizar promiscuo, capturan el tráfico a analizar
análisis y solucionar problemas en y constituyen la plataforma en la que
redes de comunicaciones para se ejecutarán, de forma continua,
4
5. aplicaciones propietarias o de dominio El análisis sobre la carga de tráfico es
público, con las que se podrá un aspecto de diseño a considerar
determinar el tipo de información que necesariamente en las redes de
circula por la red y el impacto que datos, tales como las de
pudiera llegar a tener sobre la misma. conmutación de paquetes, las de
Así por ejemplo, podríamos determinar retransmisión de tramas y las redes
la existencia de virus o el uso ATM, además en la interconexión de
excesivo de aplicaciones que redes (Internet).
comúnmente degradan las prestaciones de
la red, sobre todo si hablamos de los
enlaces principales que dan acceso a Modelado de Tráfico
Internet. Entendemos por modelo de tráfico
una abstracción matemática más o
menos compleja que trata de imitar
Revista Informática de Estudios Telemáticos.
alguna o varias características
Análisis del Tráfico de la Red. Universidad
Rafael Chacín. 2005. estadísticas de un tipo de tráfico real o
http://redalyc.uaemex.mx
de un flujo concreto en particular. Los
modelos poissonianos,
Metodología de los Estudios de tradicionalmente usados con el tráfico
Tráfico telefónico, se han demostrado
insuficientes para caracterizar las
Los estudios de tráfico en redes IP se
nuevas fuentes de tráfico, buena parte
basan en la captura o registro de la
del esfuerzo investigador en estos
información contenida en el frame
últimos años se ha centrado en el
(trama) o datagrama IP que se
modelado de muestras obtenidas en
transfiere por un Segmento red LAN
redes reales.
por un enlace WAN.
Análisis de tráfico y carga de los
sistemas de telecomunicaciones:
5
6. IV. Los Sniffer como Aplicación de funcionar en modo promiscuo. Una
Doble Filo forma es comprobar físicamente todas
las computadoras locales para saber si
Un sniffer es la herramienta más
hay cualquier dispositivo o programa
importante que recolecta información para
de sniffer. Hay también programas de
un hacker. El sniffer da al hacker un
detección de software que pueden
cuadro completo (topología de la red, las
explorar las redes para los dispositivos
direcciones del IP) de los datos enviados y
que estén funcionando con programas
recibidos por la computadora o la red que
de sniffer (por ejemplo, AntiSniff).
está supervisando. Estos datos incluyen,
Estos programas del explorador
pero no se limitan a todos los mensajes del
utilizan diversos aspectos del servicio
email, contraseñas, nombres del usuario, y
del DomainName y de los
documentos.
componentes de TCP/IP de un sistema
de red para detectar cualquier
¿Cómo los hackers utilizan los
programa o dispositivo malévolo que
sniffers?
esté capturando los paquetes (que
Según lo mencionado previamente, los funcionan en modo promiscuo).
sniffers como estos se utilizan cada día
Técnicas Locales de Detección
para localizar averías de tráfico en la
red del equipo. Los hackers pueden
Aunque no se trata de una tarea
utilizar este o las herramientas
trivial, ésta es, con mucho, la
similares para detectar datos con fijeza
situación en que resulta más
dentro de una red. Sin embargo, estos
sencillo localizar un sniffer.
no están afuera para localizar averías,
Normalmente basta con revisar la
en lugar de eso, están afuera para
lista de programas en ejecución
espiar contraseñas y otros datos de
para detectar alguna anomalía
total confidencialidad.
(CTRL+ALT+SUPR o
psaux|more).
¿Cómo detectar un Sniffer?
Hay algunas maneras que un técnico Detección Remota desde el
de red puede detectar un NIC al mismo Segmento de Red
6
7. Es en este entorno donde más ejemplo, si el sniffer ha sido diseñado
frecuentemente el administrador exclusivamente para esta tarea
de seguridad tiene que realizar su (generalmente dispositivos hardware),
investigación. Existe un cierto entonces no devolverá jamás un
número de técnicas heurísticas paquete, no establecerá nunca una
que son de utilidad y que se comunicación, sino que permanecerá
presentan a continuación, pero siempre en silencio y su detección
hay que tener claro que estas remota será, simplemente, imposible.
técnicas tienen bastantes
¿Cómo puedo bloquear un
limitaciones y que no resulta en
Sniffer?
absoluto improbable que exista un
sniffer en la red y que no sea
Hay realmente una forma de proteger
detectado (falso negativo) o que
su información contra los sniffer:
máquinas o usuarios
¡Utilice el cifrado! Con asegurar los
completamente inocentes sean
sitios SSL protegidos y otras
detectados como sniffers (falsos
herramientas de la protección, usted
positivos). Ninguna de estas
del Web puede cifrar sus contraseñas,
técnicas tiene un balance óptimo
mensajes del email y sesiones de
entre estos dos riesgos, y, por
charla. Hay muchos programas libres
tanto, la recomendación más
disponibles que sean fáciles de
sensata es, quizá, usarlas todas y
utilizar. Aunque usted no necesita
conocerlas en profundidad para
siempre proteger la información
ser capaces de interpretar y
pasada durante una sesión de charla
relativizar sus resultados.
con sus amigos, usted debe por lo
menos tener la opción disponible
Límites Teóricos
cuando sea necesario.
A veces resulta completamente
imposible detectar un sniffer. Por
7
8. V. ESTRUCTURA DE UN PACKET SNIFFER
http://dc.exa.unrc.edu.ar/nuevodc/
materias/telecom/Laboratorios/Lab
Aquí se muestra la estructura de un packet
1_Introduccion.pdf
sniffer. A la derecha están los protocolos
(en este caso, protocolos Internet) y
Articulo de Redes (RAL)
aplicaciones (tal como un webbrowser o
Paco López, 2006
un cliente ftp) que normalmente corre en
su computadora.
http://www.colasoft.com/practica-
etheral.pdf
VI. BIBLIOGRAFÍA Sniffers
Redes y Telecomunicaciones,
Introducción al Analizador de 2007
Protocolos de Red Ethereal
José Francisco Garzón, Artículo http://www.mundocisco.com/2009/
2007 08/que-es-un-sniffer.html
8
9. Sniffers: qué son y cómo
protegerse
Matthew Tanase, Febrero 2002
http://www.symantec.com/connect/
es/articles/sniffers-what-they-are-
and-how-protect-yourself
Análisis del Tráfico de la Red.
Revista Informática de Estudios
Telemáticos. Universidad Rafael
Chacín. 2005.
http://redalyc.uaemex.mx
9