LOGO

Funcionamiento de
los Sniffer

Grupo #1

Sniffers
Definicin
Comenzaremos con explicar que es un Sniffer
(Sniff: olfatear, rastrear) o analizador de paquetes.
Un Sniffer es un software que se encarga de capturar
paquetes en trnsito (entrada y salida) en una cierta
red y analizarlos.
Tcnicamente un sniffer es un programa informtico
que registra la informacin que envan los
perifricos de una red para poder monitorear la
actividad de un determinado ordenador.

Sniffers
Funcionamiento
La funcin principal que realiza un sniffer dentro de
un ordenador es la de obtener cualquier tipos de
informacin de la red, tal como: cuentas, password,
IP, MAC, etc.
Este programa les ordena a un computador,
especficamente a su tarjeta de red (NIC, Network
Interface Card), que deje de ignorar a todo el trfico
dirigido a otros equipos y preste atencin a ellos.
Para esto, se coloca a la NIC en un estado conocido
como modo promiscuo, el cual no descarta los
paquetes que no son para su direccin MAC, sino que

Sniffers
Uso
Para el uso adecuado de un sniffer es primordial
dejar a la NIC en un estado promiscuo; es decir, que
la NIC va a capturar todo el trfico que existe en la
red, sea este deseado o no deseado. Una vez
realizado esto, la NIC podr capturar todo tipo de
informacin que este en la red, inclusive aquella que
no es de su incumbencia.
Los Sniffers son una herramienta til a la hora de
administrar y optimizar redes, ya que con estos
puedes ver todos los paquetes en trnsito, sus IPs
destino y origen, puertos, direcciones MAC (en

Sniffers
Uso
Utilidades
Son muchas las utilidades que se dan a los sniffers,
los ms importantes son:
Captura de contraseas.
Anlisis de fallos.
Medicin de trfico.
Anlisis de informacin.

Sniffers
Uso
Utilidad como captura de contraseas.
Un sniffer realiza la captura de contraseas que no
estn cifradas, las cuales viajan en el flujo de red.
Este uso es el ms popular que lo realizan los
atacantes informticos (hackers).
Utilidad como anlisis de fallos.
Permiten descubrir problemas existentes en una red,
tales como, el porque un host A no puede establecer
comunicacin con un host B.

Sniffers
Uso
Utilidad como medicin de trfico.
Permiten descubrir la existencia de cuellos de
botella en algn lugar de la red. Como su nombre lo
dice un cuello de botella es aquel lugar de la red
donde existe una disminucin de trfico de
informacin.
Utilidad como anlisis de informacin.
Este uso es de mucha importancia por los
desarrolladores de aplicaciones cliente-servidor, ya
que de esta forma es posible conocer el tipo de
informacin real que se transmite por la red.

Sniffers
Existen dos tipos de sniffers:
a) Sniffers comerciales
Son usados con fines de monitoreo y control para tomar
medidas de seguridad en una red.
Algunos de los ms conocidos son:
o Ettercap.
o Kismet.
o Tcpdump.
o Wireshark
b) Sniffers underground.
Son usados con fines
informacin.

delictivos;

es

decir,

robo

de

Sniffers
Ettercap.
Es un interceptor, sniffer y registrador para redes
LAN con switch.
Soporta las direcciones activas y pasivas de
varios protocolos incluyendo a los protocolos
cifrados como: SSH.
Permite identificar ataques de spoofing (robo de
identidad)

Sniffers
Kismet.
Es un husmeador de paquetes y un sistema de
deteccin de intrusos para redes inalmbricas.
Kismet funciona con cualquier tarjet inalmbrica
que soporte el modo de monitorizacin raw.

Sniffers
Tcpdump.
Es una herramienta de consola cuya utilidad
principal es analizar el trfico de informacin que
existe en una red.
Permite capturar y mostrar a tiempo real los
paquetes transmitidos y recibidos en la red.

Sniffers
Wireshark.
-Conocido como Ethereal, es un analizador de
protocolos utilizado para realizar el anlisis y
solucionar problemas de red, es una herramienta
desarrollada con fines educativos.

Sniffers
Formas de Protegerse
Los Sniffers son difciles de detectar, ya que al ser
atacantes pasivos, dejan pocos rastros de su
intromisin. Una forma de identificarlos es ver si
existe alguna tarjeta de red en modo promiscuo
con la herramienta ifconfig nativa de Linux.
Uno de los mtodos ms eficaces es el uso de
encriptacin de los datos, que consiste en cifrar los
datos bajo una serie de cdigos que solo pueden
ser ledos con una llave que solo posee el receptor.
Este mtodo es usado en la mayora de las pginas
web donde se requieren datos o contraseas, ya
que estas son de suma importancia y nadie ms

Sniffers
Como detectar un atacante de un Sniffer
Para detectar un dispositivo sniffer que solamente
toma datos y no responde a ninguna solicitacin, es
necesario un examen fsico de las conexiones
Ethernet y la verificacin individual de las
interfases.
Un sniffer corriendo en una mquina coloca a la
interfase de red en modo promiscuo con la
intencin de capturar todos los paquetes de un
determinado segmento.

Sniffers
Como detectar un atacante de un Sniffer
Para otros sistemas operativos tales como SunOs,
NetBSD, y derivados de BSD Unix sistems , el
comando # ifconfig -a nos mostrar informacin
relativa de todas las interfases.

Sniffers
Bloqueo de ataque de Sniffer
Hubs activos y switches.
Una de las formas de bloquear ataques de sniffer es
a travs de Hubs activos o switches quienes solo
reconoce direcciones propias (enviando el paquete
solamente a la mquina destino), las dems no las
deja pasar. De esta manera deja sin efecto el
ataque del sniffer. Esto solo funciona en circuitos
10 base T. Tener en cuenta que esta no es la
principal funcin del Hub activo.

Sniffers
Bloqueo de ataque de Sniffer
Criptografa.
Otra manera de bloquear ataques de sniffer es por
medio del uso de la criptografa entre las
conexiones, si bien es posible capturar dichos
paquetes, stos no pueden ser descifrados. Existen
en E.E.U.U., actualmente, leyes que prohben la
exportacin de algoritmos de criptografa y
restringen a 40 bits el tamao de las claves para
software exportados.

Sniffers
Bloqueo de ataque de Sniffer
Tecnologas de one - time password.
S/key y otras tecnologas de one-time password
tornan sin efecto el ataque del sniffer, ya que a
cada conexin una nueva password debe ser
informada. El uso de esta tecnologa permite usar
un canal inseguro porque no existe reutilizacin de
una misma password.