Sniffing

Sniffing

Quinta Lección: Reconocimiento Hacking Ético

El sniffing(olfateo) es el proceso de monitorizar y capturar todos los paquetes que pasan a través de una red dada usando herramientas de sniffing. Es una forma de “pinchar cables telefónicos” y conocer la conversación. También se les llama interceptación telefónica aplicada a las redes de computadoras.


Hay tanta posibilidad de que, si un conjunto de puertos de conmutación de la empresa está abierto, entonces uno de sus empleados puede rastrear todo el tráfico de la red. Cualquiera en la misma ubicación física puede conectarse a la red utilizando un cable Ethernet o conectarse de forma inalámbrica a esa red y espiar el tráfico total.

En otras palabras, el sniffing le permite ver todo tipo de tráfico, tanto protegido como desprotegido. En las condiciones adecuadas y con los protocolos adecuados, el atacante puede ser capaz de recopilar información que se pueda utilizar para otros ataques o para causar otros problemas al propietario de la red o del sistema.

¿Qué se puede rastrear?

Uno puede rastrear la siguiente información confidencial de una red:

  • Tráfico de correo electrónico
  • Contraseñas FTP
  • Tráfico web
  • Contraseñas de Telnet
  • Configuración del router
  • Sesiones de chat
  • Tráfico DNS

¿Cómo funciona?

Un sniffer normalmente convierte el NIC del sistema al modo promiscuo para que escuche todos los datos transmitidos en su segmento.

El modo promiscuo se refiere a la forma única de hardware Ethernet, en particular, las tarjetas de interfaz de red (NIC), que permite a un NIC recibir todo el tráfico de la red, incluso si no está dirigido a este NIC. De forma predeterminada, un NIC ignora todo el tráfico que no está dirigido a él, lo cual se hace comparando la dirección de destino del paquete Ethernet con la dirección de hardware (también conocida como a. k. a. MAC) del dispositivo. Mientras que esto tiene sentido para la conexión en red, el modo no promiscuo dificulta el uso de software de monitoreo y análisis de red para diagnosticar problemas de conectividad o contabilidad de tráfico.

rastreando redes

Un sniffer puede monitorear continuamente todo el tráfico a una computadora a través del NIC descodificando la información encapsulada en los paquetes de datos.

Tipos de sniffing

El sniffer puede ser de naturaleza activa o pasiva.

Sniffing pasivo

En el sniffing pasivo, el tráfico está bloqueado, pero no se altera de ninguna manera. El sniffer pasivo sólo permite escuchar. Funciona con dispositivos Hub. En un dispositivo hub, el tráfico se envía a todos los puertos. En una red que utiliza hubs para conectar sistemas, todos los hosts de la red pueden ver el tráfico. Por lo tanto, un atacante puede capturar fácilmente el tráfico que atraviesa.

La buena noticia es que los hubs están casi obsoletos hoy en día. La mayoría de las redes modernas utilizan conmutadores. Por lo tanto, el sniffer pasivo no es efectivo.

Sniffing activo

En el sniffing activo, el tráfico no sólo se bloquea y supervisa, sino que también puede ser alterado de alguna manera según lo determine el ataque. El sniffer activo se utiliza para rastrear una red basada en conmutadores. Implica la inyección de paquetes de resolución de dirección (ARP) en una red de destino para inundar la tabla de la memoria direccionable de contenido (CAM) del conmutador. La CAM realiza un seguimiento de qué host está conectado a qué puerto.

Las siguientes son las Técnicas que se usan en el Sniffing Activo:

  • Inundaciones MAC
  • Ataques DHCP
  • Envenenamiento por DNS
  • Ataques de Spoofing
  • Envenenamiento por ARP

Protocolos afectados

Protocolos como el TCP/IP no fueron diseñados con pensando en la seguridad y por lo tanto no ofrecen mucha resistencia a posibles intrusos. Varias reglas se prestan para rastrearlos fácilmente:

  • HTTP: Se utiliza para enviar información en el texto claro sin ninguna encriptación y por lo tanto un objetivo real.
  • SMTP (Protocolo Simple de Transferencia de Correo): SMTP se utiliza básicamente en la transferencia de correos electrónicos. Este protocolo es eficiente, pero no incluye ninguna protección contra el olfateo.
  • NNTP (Network News Transfer Protocol): Se utiliza para todo tipo de comunicaciones, pero su principal inconveniente es que los datos e incluso las contraseñas se envían a través de la red como texto claro.
  • POP (Protocolo de Oficina Postal): POP se utiliza estrictamente para recibir correos electrónicos de los servidores. Este protocolo no incluye la protección contra el olfateo porque puede quedar atrapado.
  • FTP (Protocolo de transferencia de archivos): FTP se utiliza para enviar y recibir archivos, pero no ofrece ninguna característica de seguridad. Todos los datos se envían como texto claro que se puede olfatear fácilmente.
  • IMAP (Internet Message Access Protocol): IMAP es igual que SMTP en sus funciones, pero es altamente vulnerable a la inhalación.
  • Telnet: Telnet envía todo (nombres de usuario, contraseñas, pulsaciones de teclas) a través de la red como texto claro y, por lo tanto, puede ser fácilmente olfateado.

Los sniffer no son las utilidades tontas que le permiten ver sólo el tráfico en vivo. Si realmente analizan cada paquete, guarde la captura y revísela siempre que sea posible.

Hardware Analizadores de protocolos

Antes de entrar en más detalles de los sniffers, es importante que discutamos acerca de los hardware analizadores de protocolos. Estos dispositivos se conectan a la red a nivel de hardware y pueden monitorear el tráfico sin necesidad de manipularlo.

  • Los analizadores de protocolo se utilizan para monitorear e identificar el tráfico de red malicioso generado por el software de hacking instalado en el sistema.
  • Capturan un paquete de datos, lo decodifican y analizan su contenido de acuerdo con ciertas reglas.
  • Los Hardware analizadores de protocolo permiten a los atacantes ver los bytes de datos individuales de cada paquete que pasa por el cable.

Estos dispositivos de hardware no están disponibles fácilmente para la mayoría de los hackers éticos debido a su enorme costo.

Interceptación legal

Interceptación Legal (LI) se define como el acceso legalmente sancionado a los datos de la red de comunicaciones tales como llamadas telefónicas o mensajes de correo electrónico. LI debe estar siempre en el ejercicio de una autoridad legal a los efectos de análisis o pruebas. Por lo tanto, LI es un proceso de seguridad en el que un operador de red o proveedor de servicios da permiso a los funcionarios encargados de hacer cumplir la ley para acceder a las comunicaciones privadas de individuos u organizaciones.

Casi todos los países han redactado y promulgado legislación para regular los procedimientos legales de interceptación; los grupos de normalización están creando especificaciones de tecnología LI. Por lo general, las actividades de LI se llevan a cabo con el propósito de proteger la infraestructura y la seguridad cibernética. Sin embargo, los operadores de infraestructuras de redes privadas pueden mantener las capacidades de LI dentro de sus propias redes como un derecho inherente, a menos que se prohíba de otro modo.

LI se conocía anteriormente como interceptación telefónica y ha existido desde el inicio de las comunicaciones electrónicas.

Herramientas de Sniffing

Hay tantas herramientas disponibles para realizar sniffing a través de una red, y todas tienen sus propias características para ayudar a un hacker a analizar el tráfico y diseccionar la información. Las herramientas de rastreo son aplicaciones extremadamente comunes. Hemos enumerado aquí algunas:

  • BetterCAP: Es una herramienta potente, flexible y portátil creada para realizar varios tipos de ataques MITM contra una red, manipular tráfico HTTP, HTTPS y TCP en tiempo real, rastrear credenciales y mucho más.
  • Ettercap: Es una suite completa para ataques de hombre en el medio. Ofrece rastreo de conexiones en vivo, filtrado de contenido sobre la marcha y muchos otros trucos interesantes. Soporta la disección activa y pasiva de muchos protocolos e incluye muchas características para el análisis de red y host.
  • Wireshark: Es uno de los más conocidos y usados rastreo de paquetes. Ofrece un gran número de características diseñadas para ayudar en la disección y análisis del tráfico.
  • Tcpdump: Es un analizador de paquetes de línea de comandos muy conocido. Proporciona la capacidad de interceptar y observar TCP/IP y otros paquetes durante la transmisión a través de la red. Disponible en tcpdump.org.
  • WinDump: Un puerto de Windows del popular sniffer de paquetes Linux tcpdump, que es una herramienta de línea de comandos perfecta para mostrar información de encabezado.
  • OmniPeek: Fabricado por WildPackets, OmniPeek es un producto comercial que es la evolución del producto EtherPeek.
  • Dsniff: Un conjunto de herramientas diseñadas para realizar rastreo con diferentes protocolos con la intención de interceptar y revelar contraseñas. Dsniff está diseñado para plataformas Unix y Linux y no tiene un equivalente completo en la plataforma Windows.
  • EtherApe: Es una herramienta Linux/Unix diseñada para mostrar gráficamente las conexiones entrantes y salientes de un sistema.
  • MSN Sniffer: Es una utilidad de sniffing específicamente diseñada para rastrear el tráfico generado por la aplicación MSN Messenger.
  • NetWitness NextGen: Incluye un sniffer basado en hardware, junto con otras características, diseñado para monitorear y analizar todo el tráfico en una red. Esta herramienta es utilizada por el FBI y otras agencias de aplicación de la ley.

Un hacker potencial puede utilizar cualquiera de estas herramientas de sniffing para analizar el tráfico en una red y diseccionar la información.

Septima Lección: Envenenamiento por ARP

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *