Elemento de Hardware o Software que permite la captura de tramas de red, para efectos de monitorizacion e igual en manos de un atacante brinda oportunidades de intrusion o gestion maliciosa. Para ejecutar esta accion, la tarjeta de red es puesta en modo promiscuo para capturar todos los paquetes de la capa de enlace en un trafico de red especifico o una red en particular. Permite recopilar: Passwords de(SMB, Ftp, Telnet, Msn, Smtp, Pop, NNTP, Imap, Sql, etc) Transferencia de archivos ( Ftp, Email, Smb) Logeo con Rlogin o Telnet, HTTP
TIPOS DE SNIFFER
Activos. (Switches). Los switches miran la Mac Adress asociada a cada paquete y los datos son enviados solo a su puerto destino correspondiente. Como tecnicas se pueden efectuar un Mac Flooding o un ARP Spoofing. Pasivos (Hub). Dificil de detectar, el atacante conecta su equipo a el Hub e inicia proceso de sniffing de la Red.
LISTADO DE SNIFFERS
DuDE Look@LAN WireShark Cain y Abel Tcpdump Windump SPAN Port Analyzer Lawful Intercept Network View Wiretap Etherpeak Dsniff EtherDetect Packet Sniffer Ngrep Colasoft MSN EtherScan Analyzer
Hunt Interactive TCP Relay HTTP Pasword Sniffer Ace Password Sniffer Win Sniffer MSN Sniffer Smart sniff SMAC EtherApe Network Probe MaaTec Network Analyzer IP Sniffer Bill Sniffer EffeTech HTTP Sniffer Ipgrab Monitor
DETECTAR UN SNIFFER
El metodo Ping IDS El metodo ARP El metodo de Latencia (Ping ICMP) El test DNS El test Etherping Herramientas para detectar Sniffer en la Red
ARP Watch Promiscan Antisniff Prodetect Network Packet Analyzer CAPSA
TIPOS DE ATAQUES POR SNIFFING ARP Spoofing ( ARP Poisoning ) Duplicacion de MAC Mac Flooding Dns Spoofing / Dns Poisoning Ip Spoofing