Las herramientas descritas incluyen sniffer de red como Wireshark y TCPDump para capturar y analizar paquetes de red, detectores de redes inalámbricas como Kismet, herramientas de recuperación de contraseñas como Cain and Abel, interceptadores de red como Ettercap, suites de herramientas como Dsniff, analizadores de tráfico de red como Ntop, detectores de intrusiones como Snort, escáneres de vulnerabilidades como Nikto y Nessus, y utilidades básicas como Ping, Telnet y Traceroute.

1. Herramientas de análisis de seguridadJuan Miguel García LosadaRaúl Alonso Álvarez

2. WiresharkAnalizador de red (de código libre)

3. Funciona en Linux, Windows y Mac

4. Permite capturar datos de una conexión live.

5. Permite navegar en los datos capturados y profundizar tan solo en aquellos paquetes que necesitemos.

6. Tiene varias herramientas poderosas, incluyendo un lenguaje de filtro y la posibilidad de reconstruir una sesión TCP.Kismet Es un detector de red inalámbrica, sniffer y detector de intrusos. Identifica las redes por inhalación pasiva. Puede detectar bloques IP capturando paquetes TCP, UDP, ARP y DHCP. Puede guardar un log en un formato compatible con Wireshark o TCPDumNo tiene interfaz gráfica

7. TCPDumpEs el sniffer clásico para monitoreo de red y adquisición de datos.

8. Era el sniffer IP usado antes de Ethereal (Wireshark).

9. No tiene interfaz gráfica pero hace bien su trabajo y no tiene agujeros de seguridad como Wireshark.

10. Otra ventaja con respecto a Wireshark es que consume menos recursos del sistema. Es ideal para diagnosticar problemas de red.Cain and AbelUna herramienta de recuperación de contraseñas.

11. Puede recuperar contraseñas por inhalación (sniffing) de la red, craqueo de contraseñas encriptadas usando un diccionario, fuerza bruta y criptoanálisis, grabación de conversaciones VoIP, descubrimiento de contraseñas en caché y análisis de protocolos de enrutamiento.

12. Anécdota: Algunos antivirus detectan cainandabel como malware.EttercapEs un sniffer de red basado en sniffer/interceptor/logger.

13. Permite la inyección de datos en una conexión establecida y el filtrado al vuelo, manteniendo la conexión sincronizada.

14. Tiene la capacidad para comprobar si usted está en una LAN conmutada o no, y para utilizar las huellas dactilares del sistema operativo (activa o pasiva) para hacerle saber la geometría de la LAN.DsniffEs una suit popular que incluye varias herramientas: dsniff, filesnarf, mailsnarf, el msgsnarf, urlsnarf, y WebSpy pasivamente monitorizar una red de datos de interés (contraseñas, correo electrónico, archivos, etc.) arpspoof, dnsspoof y macof facilitar la interceptación del tráfico de red que normalmente no está disponible a un atacante. sshmitm y webmitm aplicar activa ataques mono-en-el-medio (monkey-in-the-middle) contra ssh redirigido y sesiones de https mediante la explotación de los enlaces débiles en ad-hoc PKI. NtopHace un análisis de la red de forma parecida a la herramienta ‘top’ para los procesos. En modo interactivo muestra el estado de la red en el terminal del usuario. Y en modo web, actúa como un servidor web almacenando persistentemente estadísticas del tráfico y después se pueden ver en gráficos.

15. SnortEn este detector de intrusiones de red ligero destaca el sistema de prevención en el análisis de tráfico y registro de paquetes en redes IP. A través de análisis de protocolos, el contenido de la búsqueda, y varios pre-procesadores, Snort detecta miles de gusanos, la vulnerabilidad de intentos de exploits, análisis de puertos, y otros comportamientos sospechosos.

16. Snort utiliza un lenguaje flexible basado en reglas para describir el tráfico que debe recoger o pasar, y un motor de detección modular. También hay un programa gratuito basado en una interfaz web para el análisis de las alertas de Snort.NiktoEs un scanner de seguirdad

17. Niktoes un scanner de código abierto (Licencia GPL) que realiza exhaustivos tests, incluyendo más de 3200 ficheros/CGI que potencialmente son dañinos, en más de 625 tipos de servidores, y problemas típicos de versiones en más de 230 servidores. Lo que se escanea así como sus plugins se actualizan muy frecuentemente y pueden descargarse gratuitamente si se desea.NessusPrograma de escaneo de vulnerabilidades

18. Para diversos sistemas operativos

19. Desde consola nessus puede ser programado para hacer escaneos programados con cron

20. Nessus comienza escaneando los puertos con nmap o con su propio escaneador de puertos para buscar puertos abiertos y después intentar varios exploits para atacarlo

21. los resultados del escaneo pueden ser exportados en reportes en varios formatos, como texto plano, XML, HTML, y LaTeX Ping / telnet / dig / traceroute / whois / netstatTodo el mundo debe estar muy familiarizado con estas herramientas, ya que vienen con la mayoría de sistemas operativos (Windows, excepto que omite whois y utiliza el nombre tracert). Pueden ser muy útil en caso de apuro, aunque para un uso más avanzado es mejor utilizar otras herramientas.

22. Ejemplo Ettercap

23. EttercapUsamos el programa Ettercap -gtk

24. Vamos a escanear los paquetes que se intercambian entre PC1(Victima) y el router de la red Wifi, con el Ettercap en PC2(Atacante)

25. Vamos a usar el metodo envenamiento por ARP.

26. Le vamos hacer creer a PC1 que nuestra IP es la del router, y al router que nuestra IP es la de PC1.Configuración del AtaqueClickamos en Sniff -> Unified Sniffing ->Wlan0

27. Clickamos en host -> Scan for Host

28. Clickamos en Host -> Host List

29. Seleccionamos la Ip de PC1 como target1 y la Ip del router como target2

30. Clickamos en Mitm -> Arp poisoning

31. Clickamos en View -> Connections

32. Clickamos en Start -> Start SniffingAtaque EttercapEn la pantalla Connections vemos todos los paquetes que entran y salen de PC1, podemos ver los parámetros de Host Origen Puerto Origen, Host Destino Puerto Destino, protocolo, estado y Bytes.

33. Analizando los paquetes se puede ver por ejemplo las páginas en las que entra PC1 y los datos que envia no cifrados.

34. En la siguiente captura podemos ver una conversación que mantiene PC1 en un chat que no tiene los mensajes cifrados.Ataque Ettercap

35. Ejemplo Nmap

36. NmapNmap es un programa silencioso de Escano de Puertos.

37. Se usa para saber que puertos tiene abiertos una cierta dirección de IP (a la que lanzamos el ataque) y saber que aplicacion escucha en ese puerto.

38. Vamos usar el comando nmap -sS -Sv -PO ipdestino sobre un PC que tiene el servidor XMAPP instalado.Resultado NmapPort STATE Service Version

39. 21/tcp open ftp ProFTPD 1.3.3d

40. 80/tcp open http Apache httpd 2.2.17

41. 443/tcp open ssl/http Apache httpd 2.2.17

42. 3306/tcp open mysql MySql

43. Service info: OS:Linux

44. NmapPodemos observar que este comando nos dio como respuesta los puertos y el programa que tienen asociado a ellos, como por ejemplo el puerto 80/TCP tiene asociado en servicio http con la versión del Apache 2.2.17, despues podemos buscar en páginas como exploit-db.com que vulnerabilidad tiene esta versión del apache para poder explotarla.