Avances tecnológicos del siglo XXI y ejemplos de estos
Sniffers
1.
2. IntroducciónIntroducción
• A diferencia de los circuitos telefónicos, las redes de
computadoras son canales de comunicación
compartidos. El compartir, significa que las
computadoras pueden recibir información
proveniente de otras maquinas. Al capturar la
información que viene de otra parte de la red se le
llama "sniffing". La mas popular manera de conectar
computadoras es a través del Ethernet.
3. IntroducciónIntroducción
• El cableado Ethernet trabaja por el envío de
paquetes de información por todos los nodos de
la red. El paquete contiene en su cabecera la
dirección de la maquina destino. Solo la maquina
que contenga dicha dirección podrá aceptar el
paquete. Una maquina que acepte todos los
paquetes sin importar los que contenga la
cabecera, se dice que esta en estado promiscuo.
4. EstructuraEstructura LANLAN
• Computadoras y demás dispositivos de red (ej:
impresoras) están interconectados mediante un
medio de transmisión común.
• Sistema de cableado
• Par trenzado
• Coaxil
• Fibra óptica
6. • Los dispositivos de red se conectan al sistema a
través de
• Network interface card (NIC)
• NIC:
• Coordina las transferencias de información entre la
computadora y la red.
• Transfiere información en paralelo desde y hacia la RAM
de la computadora.
• Transfiere información en serie desde y hacia la red.
7. • Funciones
• Conversión Paralelo a Serie.
• Data buffering.
• Componentes
• Port según las especificaciones de conector y sistema de
transmisión.
• Firmware en ROM que implementa el protocolo de MAC.
• Cada NIC tiene una única dirección física “quemada”
en ROM
• Los primeros 3 bytes corresponden al fabricante.
• Los últimos 3 son un ID a cargo del fabricante.
8. • Contiene hardware que le permite reconocer
• Su dirección física
• Dirección broadcast
• Direcciones multicast que identifican grupos de
dispositivos de red.
• Puede setearse para que corra en modo
“promiscuo”, donde es capaz de escuchar todas
las transmisiones.
• Usuado por administradores para identificar
problemas en la red.
• Usado por hackers para interceptar passwords y otro
tipo de información no encriptada.
9. ¿Que es un Sniffer?¿Que es un Sniffer?
• Un sniffer es un programa de para monitorear y analizar
el trafico en una red de computadoras, detectando los
problemas que existan en ella. Un sniffer puede ser
utilizado para "captar", lícitamente o no, los datos que
son transmitidos en la red.
Un ruteador lee cada paquete de datos que pasa por el,
determina de manera intencional el destino del paquete
dentro de la red. Un ruteador y un sniffer, pueden leer
los datos dentro del paquete así como la dirección de
destino.
10. ¿Cómo¿Cómo funcionanfuncionan loslos Sniffers?Sniffers?
• Un sniffer de paquetes es un programa que “espía” el tráfico
que circula por la red.
• Captura información mientras pasa por la red.
• Condiciones Normales:
• La información es puesta en frames.
• Cada frame se direcciona hacia una dirección MAC
(media access control) particular.
11. ¿Cómo¿Cómo funcionanfuncionan loslos Sniffers?Sniffers?
• Cada NIC y demás dispositivos de red tienen una única
dirección MAC.
• Usualmente no se permiten cambios de MAC.
• La NIC solamente recibe paquetes con su dirección
MAC, todos los demás se ignoran.
• Modo Promiscuo
• En este modo, la NIC pasará cada frame al protocolo
superior sin importar la dirección MAC.
12. ¿Qué¿Qué puedepuede hacerhacer unun Sniffer?Sniffer?
• Determinar el gateway local de una red desconocida.
• Simple password sniffer.
• Haciendo parsing de cada paquete y guardando
información relevante.
• Guardar todas las URLs pedidas (a partir del tráfico HTTP) y
analizarlas offline.
13. ¿Qué¿Qué puedepuede hacerhacer unun Sniffer?Sniffer?
• Interceptar paquetes de un host destino falseando
respuestas ARP.
• Inundar la red local con direcciones MAC random.
14. DetecciónDetección dede SniffersSniffers MaliciososMaliciosos
• DNS Test
• Crear numerosas conexiones falsas de TCP
• Esperando que un sniffer mal escrito
• Espie esas conexiones.
• Resuelva los IPs de esos hosts inexistentes.
• Cuando hace la búsqueda DNS (reverse), una
herramienta de detección de este tipo de ataque
puede ver si el target (haciendo sniffing ) es el
host inexistente.
15. DetecciónDetección dede SniffersSniffers MaliciososMaliciosos
• Ping Test
• Construir un ICMP echo request
• Inicializar la dirección IP con el IP del host sospechado.
• Deliberadamente elegir una MAC que no corresponda.
• La mayoria de los sistemas ignorarán este paquete debido a que
su dirección está mal.
• En algunos sistemas, si la NIC está en modo promiscuo, el
sniffer tomará este paquete como legítimo y responderá
acordemente.
• Si el host sospechado responde a nuestro pedido sabremos que
está en modo promiscuo.
• Los hackers “capacitados” saben esto y filtran estos paquetes…
16. DetecciónDetección dede SniffersSniffers MaliciososMaliciosos
• ARP Test
• Enviar un pedido ARP al host sospechado con
información válida salvo por la dirección de MAC
destino.
• Una máquina que no está en modo promiscuo nunca
vería este paquete.
• Si está en modo promiscuo, el pedido ARP sería visto y el
kernel respondería…
17. EvitandoEvitando elel SniffingSniffing
• La mejor forma de evitar este problema es no
permitirle al hacker acceso a nuestros sistemas.
• Utilizar switches en lugar de hubs.
• Con un hub todo el tráfico es visible para cada máquina
de la LAN en el mismo dominio de colisión.
• En un ambiente con switches, los frames son vistos
únicamente por las interfaces “colgadas” en cada port.
18. EvitandoEvitando elel SniffingSniffing
• Sin embargo algunos sniffers pueden “espiar” en redes
switcheadas.
• La mejor forma de evitar los daños causados por un
sniffer es no enviar usernames/passwords planos por la
red.
• La encripción es crucial.
• Usar SSH en vez de telnet.
• Usar HTTPS en vez de HTTP.
• Usar SFTP en vez de FTP.
19. TécnicasTécnicas AvanzadasAvanzadas dede SniffingSniffing
• ¿Qué tan seguro es un switch?
• Los switches mantienen una lista interna de las
direcciones MACs de los hosts que se encuentran
en cada port.
• Se envía el tráfico unicamente a un port
solamente si la dirección destino está presente en
ese port.
• Los atacantes tienen nuevas formas para evitar
estos avances tecnológicos.
20. Principales UsosPrincipales Usos
• Sniffing es simplemente “espiar” pasivamente en una red.
• Es una técnica empleada por hackers para obtener
información importante. por ejemplo:
• Nombres de Usuario
• Contraseñas
• Puede también utilizarse como técnica de investigación.
• Para descubrir fallos en la Red
• Medicion del trafico
• Para desarrolladores, en Aplicaciones Cliente-Servidor