SlideShare una empresa de Scribd logo

Técnicas de detección de sniffers basadas en protocolos de red

Descargar como PPTX, PDF
Kathy Michelle
Kathy Michelle

El documento describe varias técnicas para detectar la presencia de sniffers en una red, como enviar paquetes con direcciones MAC falsas y verificar si se recibe una respuesta, lo que indicaría que la interfaz está en modo promiscuo. También incluye ejemplos como pruebas de DNS inverso, ping, ICMP y ARP para revelar sniffers mediante el análisis de cómo responden sistemas a paquetes no destinados a ellos.

Educación
1 de 10
 Las técnicas de detección de sniffers se basan en la búsqueda del problema que varía según se tenga acceso local al ordenador o haya que descubrirlo de algún ordenador remoto, esta última es la variante más usual aunque la más compleja.  El objetivo de la mayoría de pruebas es conseguir que la máquina que tiene la tarjeta de red en modo promiscuo se traicione a sí misma, revelando que ha tenido acceso a información que no iba dirigida a ella y que, por tanto, tiene un sniffer, lamentablemente es un objetivo que puede llegar a ser imposible por su complejidad
 . Si la búsqueda es una consulta directa sobre un ordenador, lo que tendremos que hacer es mirar el estado de las diferentes interfaces de redes que tengamos en dicho equipo, la forma más habitual es utilizar el comando ipconfig.  En el caso de que no podamos acceder y consultar el estado de las interfaces de red, entonces utilizaríamos algún defecto en la implementación concreta del protocolo TCP/IP por algún programa/comando, las técnicas de búsqueda de sniffer en este caso se dividen en dos: las dependientes del sistema operativo y las que no lo son.
 La ventaja de las técnicas que dependen del sistema operativo es su excelente rendimiento cuando explora máquinas que tienen el mismo sistema operativo del que la técnica obtiene partido, la principal desventaja es el gran número de falsos negativos que ocasiona debido a que en muchos casos las implementaciones de la pila TCP/IP varían entre versiones del mismo sistema operativo. Como ejemplos destacar el filtrado de paquetes en kernels de Linux.  En condiciones normales, los paquetes son aceptados o rechazados a nivel hardware por la tarjeta de red según la MAC address de destino que aparezca en el frame Ethernet. Sólo si esa MAC address es la de la propia máquina o la de broadcast, el paquete es aceptado (copiado) y procesado (se pasa al kernel); en caso contrario, se rechaza (se ignora). Para cada PC del segmento de red que se desee analizar se crea un paquete con una MAC address de destino que no exista en el segmento, cualquier máquina con la tarjeta de red en modo no promiscuo rechazará directamente un paquete que tiene como destino una que no es la suya ni la de broadcast, y no procesará el paquete, mientras que una tarjeta en modo promiscuo pasará el paquete al kernel, este analizará el paquete exclusivamente según los datos del paquete IP que encapsule, el paquete es un ping completamente normal que es contestado por la máquina que tiene el sniffer revelando así su estado.
 Filtrado de paquetes broadcast en algunos drivers de Windows: La idea es la misma que en el filtrado de paquetes en kernels de Linux, la característica a considerar en este caso es cómo el driver del sistema operativo decide cuándo un paquete va dirigido a la dirección broadcast ff:ff:ff:ff:ff:ff, cuando la tarjeta de red está en modo no promiscuo, se verifican los seis octetos mientras que en estado promiscuo sólo se verifica el primero de ellos, este hecho facilita mucho la detección de sniffers. Se crea un paquete dirigido a la MAC address ff:00:00:00:00:00, cualquier tarjeta en modo no promiscuo lo va a rechazar automáticamente, mientras que una tarjeta en modo promiscuo con un sistema operativo Windows que use el driver afectado confundirá ese paquete con uno dirigido a broadcast, y lo procesará.  Las técnicas no dependientes del sistema operativo son menos fiables y menos concluyentes, suelen basarse en suposiciones del comportamiento de determinados sniffers, convirtiendo estas técnicas inútiles en determinados ambientes. A destacar como ventaja no suelen provocar falsos negativos.
EJEMPLO 1  El Test DNS  En este método, la herramienta de detección en sí misma está en modo promiscuo. Creamos numerosas conexiones TCP/IP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar esas conexiones y resolver la dirección IP de los inexistentes host. Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, una utilidad de detección de sniffers huele la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.
EJEMPLO 2  El Test del Ping  Este método confía en un problema en el núcleo de la máquina receptora. Podemos construir una petición tipo "ICMP echo" con la dirección IP de la máquina sospechosa de hospedar un sniffer, pero con una dirección MAC deliberadamente errónea. Enviamos un paquete "ICMP echo" al objetivo con la dirección IP correcta, pero con una dirección de hardware de destino distinta. La mayoría de los sistemas desatenderán este paquete ya que su dirección MAC es incorrecta. Pero en algunos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo promiscuo, el sniffer analizará este paquete de la red como paquete legítimo y responderá por consiguiente. Si el blanco en cuestión responde a nuestra petición, sabremos que está en modo promiscuo. Un atacante avanzado puede poner al día sus sniffers para filtrar tales paquetes para que parezca que el NIC no hubiera estado en modo promiscuo.
EJEMPLO 3  El Test ICMP  Ping de Latencia. En éste método, hacemos ping al blanco y anotamos el Round Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia) Creamos centenares de falsas conexiones TCP en nuestro segmento de red en un período muy corto. Esperamos que el sniffer esté procesando estos paquetes a razón de que el tiempo de latencia incremente. Entonces hacemos ping otra vez, y comparamos el RTT esta vez con el de la primera vez. Después de una serie de tests y medias, podemos concluir o no si un sniffer está realmente funcionando en el objetivo o no.
EJEMPLO 4  El Test ARP  Podemos enviar una petición ARP a nuestro objetivo con toda la información rápida excepto con una dirección hardware de destino errónea. Una máquina que no esté en modo promíscuo nunca verá este paquete, puesto que no era destinado a ellos, por lo tanto no contestará. Si una máquina está en modo promiscuo, la petición ARP sería considerada y el núcleo la procesaría y contestaría. Por la máquina que contesta, sabremos que la máquina está en modo promiscuo.
EJEMPLO 5  El Test Etherping  Enviamos un ping echo al host a testear con una IP de destino correcta y dirección MAC falseada. Si el host responde, es que su interfaz está en modo promiscuo, es decir, existe un sniffer a la escucha y activo.

Recomendados

Resumen
ResumenResumen
ResumenTensor
 
Detectando sniffers en nuestra red b
Detectando sniffers en nuestra red bDetectando sniffers en nuestra red b
Detectando sniffers en nuestra red bTensor
 
Laboratorio comunicacion
Laboratorio comunicacionLaboratorio comunicacion
Laboratorio comunicacionJosue Vega
 
Protocolo arp
Protocolo arpProtocolo arp
Protocolo arpMakiito Quispe
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
Reconocimiento Activo
Reconocimiento ActivoReconocimiento Activo
Reconocimiento ActivoOmar Escalante
 
Articulo nmap pvalera
Articulo nmap pvaleraArticulo nmap pvalera
Articulo nmap pvaleraguest30c8e1
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion snifferalexleo69
 

Recomendados

Resumen
ResumenResumen
ResumenTensor
 
Detectando sniffers en nuestra red b
Detectando sniffers en nuestra red bDetectando sniffers en nuestra red b
Detectando sniffers en nuestra red bTensor
 
Laboratorio comunicacion
Laboratorio comunicacionLaboratorio comunicacion
Laboratorio comunicacionJosue Vega
 
Protocolo arp
Protocolo arpProtocolo arp
Protocolo arpMakiito Quispe
 
Manual tecnicas de_scaning
Manual tecnicas de_scaningManual tecnicas de_scaning
Manual tecnicas de_scaningmillor2005
 
Reconocimiento Activo
Reconocimiento ActivoReconocimiento Activo
Reconocimiento ActivoOmar Escalante
 
Articulo nmap pvalera
Articulo nmap pvaleraArticulo nmap pvalera
Articulo nmap pvaleraguest30c8e1
 
Fundamentacion sniffer
Fundamentacion snifferFundamentacion sniffer
Fundamentacion snifferalexleo69
 
Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmapCarlos Antonio Leal Saballos
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEHéctor López
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmapLuis Pinilla
 
Nmap
NmapNmap
NmapNany Pett Dicaprio
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)xavazquez
 
Nmap
NmapNmap
NmapMeztli Valeriano Orozco
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmapztealt
 
Nmap
NmapNmap
NmapCristian Alejandro Rojas Quintero
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scannerDani Gutiérrez Porset
 
Icmp
IcmpIcmp
IcmpMariela Yapuchura Quispe
 
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapVip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapxavazquez
 
Ataque ARP y DNS
Ataque ARP y DNSAtaque ARP y DNS
Ataque ARP y DNSLuis Fernando Aguas Bucheli
 
Nmap
NmapNmap
NmapAbacusUNAC
 
Clase practica seguridad escaneo con nma pf
Clase practica seguridad escaneo con nma pfClase practica seguridad escaneo con nma pf
Clase practica seguridad escaneo con nma pfRobert Puican Gutierrez
 
Practica7
Practica7Practica7
Practica7Meztli Valeriano Orozco
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaningVictorPazmio4
 
Ppp reimann
Ppp reimannPpp reimann
Ppp reimannMacht Bildung
 
Hotel Waidringer Hof Prospekt 2012/13
Hotel Waidringer Hof Prospekt 2012/13Hotel Waidringer Hof Prospekt 2012/13
Hotel Waidringer Hof Prospekt 2012/13glueckshotel
 
Criptografia
CriptografiaCriptografia
CriptografiaBrayan Becerril Perez
 
Observación y percepción
Observación y percepciónObservación y percepción
Observación y percepciónSebastian Guastavino
 
Akupunktur
AkupunkturAkupunktur
AkupunkturJulia Prötsch
 

Más contenido relacionado

La actualidad más candente

Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSIxoanGz
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEHéctor López
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmapLuis Pinilla
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)xavazquez
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmapztealt
 
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapVip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapxavazquez
 
Clase practica seguridad escaneo con nma pf
Clase practica seguridad escaneo con nma pfClase practica seguridad escaneo con nma pf
Clase practica seguridad escaneo con nma pfRobert Puican Gutierrez
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaningVictorPazmio4
 

La actualidad más candente (17)

Herramientas de seguridad SSI
Herramientas de seguridad SSIHerramientas de seguridad SSI
Herramientas de seguridad SSI
 
Uso del escáner de puertos nmap
Uso del escáner de puertos nmapUso del escáner de puertos nmap
Uso del escáner de puertos nmap
 
Escaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHEEscaneo, enumeración de puertos en la red. OMHE
Escaneo, enumeración de puertos en la red. OMHE
 
Que es y como usar nmap
Que es y como usar nmapQue es y como usar nmap
Que es y como usar nmap
 
Nmap
NmapNmap
Nmap
 
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)Interesante pero mal maquetado zenmap 212027457-zenmap (1)
Interesante pero mal maquetado zenmap 212027457-zenmap (1)
 
Nmap
NmapNmap
Nmap
 
Advanced and comprehensive use of nmap
Advanced and comprehensive use of nmapAdvanced and comprehensive use of nmap
Advanced and comprehensive use of nmap
 
Nmap
NmapNmap
Nmap
 
Nmap, the free scanner
Nmap, the free scannerNmap, the free scanner
Nmap, the free scanner
 
Icmp
IcmpIcmp
Icmp
 
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmapVip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
Vip genial fantastico 23 pags imprimir clase 64498987-uso-de-la-herramienta-nmap
 
Ataque ARP y DNS
Ataque ARP y DNSAtaque ARP y DNS
Ataque ARP y DNS
 
Nmap
NmapNmap
Nmap
 
Clase practica seguridad escaneo con nma pf
Clase practica seguridad escaneo con nma pfClase practica seguridad escaneo con nma pf
Clase practica seguridad escaneo con nma pf
 
Practica7
Practica7Practica7
Practica7
 
herramientas de scaning
herramientas de scaningherramientas de scaning
herramientas de scaning
 

Destacado

Hotel Waidringer Hof Prospekt 2012/13
Hotel Waidringer Hof Prospekt 2012/13Hotel Waidringer Hof Prospekt 2012/13
Hotel Waidringer Hof Prospekt 2012/13glueckshotel
 
SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...
SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...
SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...Swiss eHealth Forum
 
SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...
SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...
SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...Swiss eHealth Forum
 
Tanklager | weyer spezial
Tanklager | weyer spezialTanklager | weyer spezial
Tanklager | weyer spezialweyer gruppe
 
Stimmungsbarometer by Gallup & communication matters
Stimmungsbarometer by Gallup & communication matters Stimmungsbarometer by Gallup & communication matters
Stimmungsbarometer by Gallup & communication matters communication matters
 
Ganztagsschule von Thomas Höchst
Ganztagsschule von Thomas HöchstGanztagsschule von Thomas Höchst
Ganztagsschule von Thomas HöchstMacht Bildung
 
Casafuz cautelar y audiencia - violencia de género
Casafuz cautelar y audiencia - violencia de géneroCasafuz cautelar y audiencia - violencia de género
Casafuz cautelar y audiencia - violencia de géneroLuis Federico Arias
 
04 a haufe cib
04 a haufe cib04 a haufe cib
04 a haufe cibICV_eV
 
BusinessModelGeneration
BusinessModelGenerationBusinessModelGeneration
BusinessModelGenerationYeounjoon Kim
 
SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...Swiss eHealth Forum
 
Mgca m3 u4_reporte_recursos de la web2.0
Mgca m3 u4_reporte_recursos de la web2.0Mgca m3 u4_reporte_recursos de la web2.0
Mgca m3 u4_reporte_recursos de la web2.0Lupita Aguayo
 

Destacado (20)

Ppp reimann
Ppp reimannPpp reimann
Ppp reimann
 
Hotel Waidringer Hof Prospekt 2012/13
Hotel Waidringer Hof Prospekt 2012/13Hotel Waidringer Hof Prospekt 2012/13
Hotel Waidringer Hof Prospekt 2012/13
 
Criptografia
CriptografiaCriptografia
Criptografia
 
Observación y percepción
Observación y percepciónObservación y percepción
Observación y percepción
 
Akupunktur
AkupunkturAkupunktur
Akupunktur
 
Plus PR - Agentur für Public Relation
Plus PR - Agentur für Public RelationPlus PR - Agentur für Public Relation
Plus PR - Agentur für Public Relation
 
SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...
SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...
SeHF 2014 | eHealth Strategie Schweiz: Herausforderungen für die Alters- und ...
 
SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...
SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...
SeHF 2013 | Bundesgesetz über das elektronische Patientendossier – Stand der ...
 
Tanklager | weyer spezial
Tanklager | weyer spezialTanklager | weyer spezial
Tanklager | weyer spezial
 
Stimmungsbarometer by Gallup & communication matters
Stimmungsbarometer by Gallup & communication matters Stimmungsbarometer by Gallup & communication matters
Stimmungsbarometer by Gallup & communication matters
 
Ganztagsschule von Thomas Höchst
Ganztagsschule von Thomas HöchstGanztagsschule von Thomas Höchst
Ganztagsschule von Thomas Höchst
 
Clinica embarazada
Clinica embarazadaClinica embarazada
Clinica embarazada
 
Casafuz cautelar y audiencia - violencia de género
Casafuz cautelar y audiencia - violencia de géneroCasafuz cautelar y audiencia - violencia de género
Casafuz cautelar y audiencia - violencia de género
 
Ocupación
OcupaciónOcupación
Ocupación
 
04 a haufe cib
04 a haufe cib04 a haufe cib
04 a haufe cib
 
BusinessModelGeneration
BusinessModelGenerationBusinessModelGeneration
BusinessModelGeneration
 
SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...
SeHF 2013 | Die Arztpraxis - fit für eHealth: Was kann der VSFM beitragen? (P...
 
Formacion empleo e inmigracion
Formacion empleo e inmigracionFormacion empleo e inmigracion
Formacion empleo e inmigracion
 
Mgca m3 u4_reporte_recursos de la web2.0
Mgca m3 u4_reporte_recursos de la web2.0Mgca m3 u4_reporte_recursos de la web2.0
Mgca m3 u4_reporte_recursos de la web2.0
 
Direh 0275-2015
Direh 0275-2015Direh 0275-2015
Direh 0275-2015
 

Similar a Técnicas de detección de sniffers basadas en protocolos de red

Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892Karina Gutiérrez
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Alonso Caballero
 
Manual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsManual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsTotus Muertos
 
Escaneo de puertos clase 2 complemento b 28 02-13
Escaneo de puertos clase 2 complemento b 28 02-13Escaneo de puertos clase 2 complemento b 28 02-13
Escaneo de puertos clase 2 complemento b 28 02-13Tensor
 
Presentación1
Presentación1Presentación1
Presentación1rocita2502
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeñomiss051
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónAlejandro Galvez
 
Taller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redTaller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redguestf6e4f00
 
Taller
TallerTaller
Talleryeiny
 
Hacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHéctor López
 

Similar a Técnicas de detección de sniffers basadas en protocolos de red (20)

Practica tcp ip-2009
Practica tcp ip-2009Practica tcp ip-2009
Practica tcp ip-2009
 
Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892Queesycomousarnmap 150527171529-lva1-app6892
Queesycomousarnmap 150527171529-lva1-app6892
 
Sniffers
SniffersSniffers
Sniffers
 
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
Webinar Gratuito: "Técnicas para Escaneo de Puertos con Nmap"
 
Práctica 1 sergio silva
Práctica 1 sergio silvaPráctica 1 sergio silva
Práctica 1 sergio silva
 
Guia basica de enrutamiento
Guia basica de enrutamientoGuia basica de enrutamiento
Guia basica de enrutamiento
 
Envenenamiento arp - spoofing
Envenenamiento arp - spoofingEnvenenamiento arp - spoofing
Envenenamiento arp - spoofing
 
Manual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en WindowsManual básico Cain & Abel - Sniffer en Windows
Manual básico Cain & Abel - Sniffer en Windows
 
Escaneo de puertos clase 2 complemento b 28 02-13
Escaneo de puertos clase 2 complemento b 28 02-13Escaneo de puertos clase 2 complemento b 28 02-13
Escaneo de puertos clase 2 complemento b 28 02-13
 
Redes: Protocolo Arp
Redes: Protocolo ArpRedes: Protocolo Arp
Redes: Protocolo Arp
 
Presentación1
Presentación1Presentación1
Presentación1
 
How to medidas de desempeño
How to medidas de desempeñoHow to medidas de desempeño
How to medidas de desempeño
 
Ataques Informáticos
Ataques InformáticosAtaques Informáticos
Ataques Informáticos
 
Man in The Middle, Ataque y Detección
Man in The Middle, Ataque y DetecciónMan in The Middle, Ataque y Detección
Man in The Middle, Ataque y Detección
 
Sniffers
SniffersSniffers
Sniffers
 
Taller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la redTaller comandos para solucionar problemas en la red
Taller comandos para solucionar problemas en la red
 
Taller
TallerTaller
Taller
 
Hacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHEHacking utilizando sniffers para interceptar el tráfico. OMHE
Hacking utilizando sniffers para interceptar el tráfico. OMHE
 
Snort_IDS
Snort_IDSSnort_IDS
Snort_IDS
 
escaneo de puertos.pptx
escaneo de puertos.pptxescaneo de puertos.pptx
escaneo de puertos.pptx
 

Más de Kathy Michelle

Más de Kathy Michelle (6)

Vulnerabilidad
VulnerabilidadVulnerabilidad
Vulnerabilidad
 
El turismo
El turismoEl turismo
El turismo
 
Tamborito panameño
Tamborito panameño Tamborito panameño
Tamborito panameño
 
Animales en peligro
Animales en peligroAnimales en peligro
Animales en peligro
 
CICLO DE HIDROGENO
CICLO DE HIDROGENOCICLO DE HIDROGENO
CICLO DE HIDROGENO
 
Sicopedagogia
SicopedagogiaSicopedagogia
Sicopedagogia
 

Último

Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfcoloncopias5
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUgustavorojas179704
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdfOswaldoGonzalezCruz
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADOJosé Luis Palma
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfvictorbeltuce
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfromanmillans
 
LA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdf
LA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdfLA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdf
LA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdfNataliaMalky1
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialpatriciaines1993
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxdanalikcruz2000
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIATRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIAAbelardoVelaAlbrecht1
 
La evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundariaLa evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundariamarco carlos cuyo
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
CIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docxCIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docxAgustinaNuez21
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfCarol Andrea Eraso Guerrero
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfCESARMALAGA4
 

Último (20)

Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdfFisiologia.Articular. 3 Kapandji.6a.Ed.pdf
Fisiologia.Articular. 3 Kapandji.6a.Ed.pdf
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDUFICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
FICHA DE MONITOREO Y ACOMPAÑAMIENTO 2024 MINEDU
 
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
5° SEM29 CRONOGRAMA PLANEACIÓN DOCENTE DARUKEL 23-24.pdf
 
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADODECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
DECÁGOLO DEL GENERAL ELOY ALFARO DELGADO
 
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdfMapa Mental de estrategias de articulación de las areas curriculares.pdf
Mapa Mental de estrategias de articulación de las areas curriculares.pdf
 
Estrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdfEstrategia de Enseñanza y Aprendizaje.pdf
Estrategia de Enseñanza y Aprendizaje.pdf
 
LA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdf
LA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdfLA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdf
LA OVEJITA QUE VINO A CENAR CUENTO INFANTIL.pdf
 
Día de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundialDía de la Madre Tierra-1.pdf día mundial
Día de la Madre Tierra-1.pdf día mundial
 
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptxLINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
LINEAMIENTOS INICIO DEL AÑO LECTIVO 2024-2025.pptx
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIATRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
TRIPTICO-SISTEMA-MUSCULAR. PARA NIÑOS DE PRIMARIA
 
La evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundariaLa evolucion de la especie humana-primero de secundaria
La evolucion de la especie humana-primero de secundaria
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
CIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docxCIENCIAS NATURALES 4 TO ambientes .docx
CIENCIAS NATURALES 4 TO ambientes .docx
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdfTarea 5-Selección de herramientas digitales-Carol Eraso.pdf
Tarea 5-Selección de herramientas digitales-Carol Eraso.pdf
 
Unidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDIUnidad 3 | Teorías de la Comunicación | MCDI
Unidad 3 | Teorías de la Comunicación | MCDI
 
Sesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdfSesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdf
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
 

Técnicas de detección de sniffers basadas en protocolos de red

  • 1.
  • 2.  Las técnicas de detección de sniffers se basan en la búsqueda del problema que varía según se tenga acceso local al ordenador o haya que descubrirlo de algún ordenador remoto, esta última es la variante más usual aunque la más compleja.  El objetivo de la mayoría de pruebas es conseguir que la máquina que tiene la tarjeta de red en modo promiscuo se traicione a sí misma, revelando que ha tenido acceso a información que no iba dirigida a ella y que, por tanto, tiene un sniffer, lamentablemente es un objetivo que puede llegar a ser imposible por su complejidad
  • 3.  . Si la búsqueda es una consulta directa sobre un ordenador, lo que tendremos que hacer es mirar el estado de las diferentes interfaces de redes que tengamos en dicho equipo, la forma más habitual es utilizar el comando ipconfig.  En el caso de que no podamos acceder y consultar el estado de las interfaces de red, entonces utilizaríamos algún defecto en la implementación concreta del protocolo TCP/IP por algún programa/comando, las técnicas de búsqueda de sniffer en este caso se dividen en dos: las dependientes del sistema operativo y las que no lo son.
  • 4.  La ventaja de las técnicas que dependen del sistema operativo es su excelente rendimiento cuando explora máquinas que tienen el mismo sistema operativo del que la técnica obtiene partido, la principal desventaja es el gran número de falsos negativos que ocasiona debido a que en muchos casos las implementaciones de la pila TCP/IP varían entre versiones del mismo sistema operativo. Como ejemplos destacar el filtrado de paquetes en kernels de Linux.  En condiciones normales, los paquetes son aceptados o rechazados a nivel hardware por la tarjeta de red según la MAC address de destino que aparezca en el frame Ethernet. Sólo si esa MAC address es la de la propia máquina o la de broadcast, el paquete es aceptado (copiado) y procesado (se pasa al kernel); en caso contrario, se rechaza (se ignora). Para cada PC del segmento de red que se desee analizar se crea un paquete con una MAC address de destino que no exista en el segmento, cualquier máquina con la tarjeta de red en modo no promiscuo rechazará directamente un paquete que tiene como destino una que no es la suya ni la de broadcast, y no procesará el paquete, mientras que una tarjeta en modo promiscuo pasará el paquete al kernel, este analizará el paquete exclusivamente según los datos del paquete IP que encapsule, el paquete es un ping completamente normal que es contestado por la máquina que tiene el sniffer revelando así su estado.
  • 5.  Filtrado de paquetes broadcast en algunos drivers de Windows: La idea es la misma que en el filtrado de paquetes en kernels de Linux, la característica a considerar en este caso es cómo el driver del sistema operativo decide cuándo un paquete va dirigido a la dirección broadcast ff:ff:ff:ff:ff:ff, cuando la tarjeta de red está en modo no promiscuo, se verifican los seis octetos mientras que en estado promiscuo sólo se verifica el primero de ellos, este hecho facilita mucho la detección de sniffers. Se crea un paquete dirigido a la MAC address ff:00:00:00:00:00, cualquier tarjeta en modo no promiscuo lo va a rechazar automáticamente, mientras que una tarjeta en modo promiscuo con un sistema operativo Windows que use el driver afectado confundirá ese paquete con uno dirigido a broadcast, y lo procesará.  Las técnicas no dependientes del sistema operativo son menos fiables y menos concluyentes, suelen basarse en suposiciones del comportamiento de determinados sniffers, convirtiendo estas técnicas inútiles en determinados ambientes. A destacar como ventaja no suelen provocar falsos negativos.
  • 6. EJEMPLO 1  El Test DNS  En este método, la herramienta de detección en sí misma está en modo promiscuo. Creamos numerosas conexiones TCP/IP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar esas conexiones y resolver la dirección IP de los inexistentes host. Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, una utilidad de detección de sniffers huele la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.
  • 7. EJEMPLO 2  El Test del Ping  Este método confía en un problema en el núcleo de la máquina receptora. Podemos construir una petición tipo "ICMP echo" con la dirección IP de la máquina sospechosa de hospedar un sniffer, pero con una dirección MAC deliberadamente errónea. Enviamos un paquete "ICMP echo" al objetivo con la dirección IP correcta, pero con una dirección de hardware de destino distinta. La mayoría de los sistemas desatenderán este paquete ya que su dirección MAC es incorrecta. Pero en algunos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo promiscuo, el sniffer analizará este paquete de la red como paquete legítimo y responderá por consiguiente. Si el blanco en cuestión responde a nuestra petición, sabremos que está en modo promiscuo. Un atacante avanzado puede poner al día sus sniffers para filtrar tales paquetes para que parezca que el NIC no hubiera estado en modo promiscuo.
  • 8. EJEMPLO 3  El Test ICMP  Ping de Latencia. En éste método, hacemos ping al blanco y anotamos el Round Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia) Creamos centenares de falsas conexiones TCP en nuestro segmento de red en un período muy corto. Esperamos que el sniffer esté procesando estos paquetes a razón de que el tiempo de latencia incremente. Entonces hacemos ping otra vez, y comparamos el RTT esta vez con el de la primera vez. Después de una serie de tests y medias, podemos concluir o no si un sniffer está realmente funcionando en el objetivo o no.
  • 9. EJEMPLO 4  El Test ARP  Podemos enviar una petición ARP a nuestro objetivo con toda la información rápida excepto con una dirección hardware de destino errónea. Una máquina que no esté en modo promíscuo nunca verá este paquete, puesto que no era destinado a ellos, por lo tanto no contestará. Si una máquina está en modo promiscuo, la petición ARP sería considerada y el núcleo la procesaría y contestaría. Por la máquina que contesta, sabremos que la máquina está en modo promiscuo.
  • 10. EJEMPLO 5  El Test Etherping  Enviamos un ping echo al host a testear con una IP de destino correcta y dirección MAC falseada. Si el host responde, es que su interfaz está en modo promiscuo, es decir, existe un sniffer a la escucha y activo.