06A - Sniffers v1

Ethical Hacker Security Training – Sniffers
Sniffers
Agenda
Conceptos
Protocolos susceptibles al Sniffing
Sniffing Activo y Pasivo
ARP Poisoning
Capturas de Ethereal y Filtros
MAC Flooding
DNS Spoofing
Contramedidas
Ethical Hacker Security Training – Sniffers 2

Copyright © 2008 SIClabs
Conceptos
Los sniffer son herramientas de software o hardware que

interceptan tráfico en una red y lo muestran en distintos formatos
Pueden capturar paquetes o tramas
Algunos mas sofisticados interpretan los paquetes y pueden
reensamblar flujos
Su utilidad principal es leer el tráfico entre dos sistemas
Con estas herramientas, un atacante puede descubrir nombres de
usuario, passwords, y otra información confidencial
Muchos ataques complejos requieren del uso de técnicas de sniffing
El término “paquete” se refiere a los datos de capa 3 (Red) del
modelo OSI, en tanto que “trama” se refiere al dato de capa 2
(Enlace). Las tramas contienen las direcciones MAC y los paquetes
contienen las direcciones IP

1
Protocolos Susceptibles al Sniffing
Los sniffers de software trabajan capturando paquetes no destinados a

la MAC del sistema donde residen
Normalmente, un sistema responde solamente al tráfico enviado a su
propia dirección MAC
Si una placa de red se encuentra en “modo promiscuo” el sistema lee
todo el tráfico y lo envía al sniffer
Este modo se habilita mediante la instalación de un driver especial,
incluido con muchas herramientas
Cualquier protocolo que no encripte sus datos es susceptible al sniffing
Los protocolos como HTTP, POP3, SNMP y FTP son los mas
comúnmente capturados utilizando sniffing

Sniffing Activo y Pasivo
Sniffing Pasivo
Se refiere a escuchar y capturar tráfico, y es útil en redes
interconectadas por hubs
Sniffing Activo
Se refiere al lanzamiento de ataques de ARP Spoofing o
flooding contra un switch para poder capturar el tráfico

Sniffing Activo y Pasivo (Cont.)
El sniffing activo es detectable porque genera acciones, a diferencia

del pasivo
En redes inalámbricas o que utilizan hubs, el tráfico es visto por

todos los equipos de la red, por lo que puede realizarse un sniffing
pasivo
En caso de redes con switches, la información se transmite

basándose en la dirección MAC y manteniendo una tabla con los
puertos físicos asignados a cada MAC
El uso de switches puede mejorar mucho la seguridad y velocidad

de una red respecto al uso de hubs

2
Detección de Sniffers
Test DNS
Se crean muchas conexiones TCP falsas en nuestro segmento de red,
esperando que un sniffer atrape y las resuelva las IP inexistentes
Test de latencia
Enviar un ping al objetivo y determinar el Round Trip Time (RTT)
Luego crear muchas falsas conexiones TCP en la red en un período de
tiempo corto y esperar que el sniffer lo procese
Enviar otro ping y comparar el RTT con el primero
Test Etherping
Enviar un ping al host a testear con una IP de destino correcta y
dirección MAC falseada
Si responde, su interfaz está en modo promiscuo

Protocolo ARP
El protocolo ARP permite traducir direcciones IP en direcciones

MAC.
Cuando un host en una LAN intenta conectarse con otro, necesita
su dirección MAC.
Primero se fija en su propia cache ARP para ver si ya la ha
necesitado antes, si no es así, envía un pedido de ARP “¿Quién
tiene la dirección IP que busco?
Si el otro host escucha el pedido de ARP, responde con su propia
dirección

ARP Poisoning
La técnica ARP poisoning se utiliza para atacar una red Ethernet y

permitir a un atacante sniffear datos en una red con switcher o
detener un tráfico determinado.
El ARP poisoning usa el spoofing para enviar mensajes de origen

falso por la red.
Estas tramas contienen falsas direcciones MAC que confunden a

los dispositivos de red.
Como resultado, las tramas pueden ser erróneamente enviadas o

reenviadas.
También se utiliza el ARP spoofing para realizar ataques de man-in-

the-middle.
3
ARP Spoofing: Prevención
Utilizar tablas estáticas para las direcciones MAC del gateway en

equipos clientes. Es dificil en entornos grandes.
En Windows: arp –s IPdelGW
Fijar estáticamente los puertos físicos de los switches asociándolos

unívocamente con las direcciones MAC

Arpspoof (Dsniff)

IRS
http://oxid.it
4
Caín: Función de ARP Poisoning
http://oxid.it
Ethereal
Ethereal es un sniffer nacido en 1998 que permite capturar

paquetes de una red cableada o inalámbrica
Posee una interfase de uso intuitiva y amena a pesar de su

complejidad y potencia
El filtrado se basa en una determinada sintaxis
La comprensión de los filtros permite capturar datos de manera más

exacta, por lo que se recomienda familiarizarse con la sintaxis
En el año 2006, el desarrollo cambió su nombre a Wireshark por

problemas con el registro del nombre Ethereal

Wireshark: Características
Utiliza licencia GPL

Trabaja en modo promiscuo y en modo no promiscuo
Puede capturar datos de la red o leer datos almacenados en un
archivo de una captura previa
Está basado en la librería pcap
Tiene una interfaz muy flexible y posee gran capacidad de filtrado
Admite el formato estándar de archivos tcpdump y mas de 20
productos
Puede reconstruir sesiones TCP
Se ejecuta en más de 20 plataformas
Es compatible con más de 480 protocolos

5
Filtros en Wireshark/Ethereal
Ejemplo 1:
ip.dst eq www.sitio.com
Solo muestra los paquetes destinados a www.sitio.com
Ejemplo 2:
ip.src == 192.168.1.1
Solo muestra los paquetes que provienen del host 192.168.1.1
Ejemplo 3:
eth.dst eq ff:ff:ff:ff:ff:ff
Captura solo paquetes de broadcast de capa 2

Wireshark – htttp://www.wireshark.org

Wireshark: Opciones y Estadísticas

6
Wireshark: Filtros

Tcpdump
Herramienta de sniffing que trabaja en línea de comandos.

Escrito por un grupo de investigadores del Laboratorio Lawrence
Berkeley.
Funciona en la mayoría de los sistemas operativos *NIX
Utiliza la librería libpcap para capturar los paquetes.
Existe una adaptación de tcpdump para los sistemas Windows que
se llama WinDump y usa la librería Winpcap.
En los sistemas *NIX se necesitan privilegios de root para utilizarlo
Permite el uso de filtros muy fáciles de entender.

Tcpdump: Filtros
type [host|net|port]
Máquina en particular [host]
Red completa [net]
Puerto concreto [port]
dir [src|dst|src or dst|src and dst]

Especifica desde dónde [src]
Especifica hacia dónde [dst]
proto [tcp|udp|ip|ether]
Protocolo que queremos capturar

7
Tcpdump: Ejemplos
Capturar trafico cuya IP origen sea 192.168.1.1

tcpdump src host 192.168.1.1
Capturar tráfico cuya dirección origen o destino sea 192.168.1.1

tcpdump host 192.168.1.1
Capturar tráfico con destino a la dirección MAC 60:53:E5:2E:34:A1

tcpdump ether dst 60:53:E5:2E:34:A1
Capturar tráfico con red destino 192.168.1.0

tcpdump dst net 192.168.1.0

Tcpdump: Ejemplos (Cont.)
Capturar tráfico con destino el puerto 25

tcpdump dst port 25
Capturar las peticiones de DNS

tcpdump udp and dst port 53
Capturar todo el tráfico excepto el web

tcpdump tcp and not port 80

Tcpdump en Windows

8
Tcpdump en Linux

Windump

Ettercap
Sniffer para sistemas Linux que soporta disección activa y pasiva de varios
protocolos.
Permite inyectar datos en una conexión establecida emulado comandos o
respuestas.
Puede realizar ataques Man-in-the-middle
Compatibilidad con SSH, SSL y HTTPS.
Puede intercepta tráfico de túneles GRE y PPTP.
Propone dos modos de uso: por defecto (interactivo) y bridget (no
interactivo).
Admite plugins, entre los cuales se encuentran:
Recolector de contraseñas de diversos protocolos
Filtrado y sustitución de paquetes
OS fingerprint
Finalizador de conexiones
Escaner de red
Buscador de envenenamientos de LAN
Port Stealing (un tipo de MITM)

9
Ettercap: Logs
-m (message user) : Guarda todos los mensajes que salen al

usuario, en el caso de la interfaz ncurses, es la tabla que aparece
abajo de todo.
-L (log de paquetes) : Guarda todos los paquetes capturados en un

formato binario que se puede abrir con etterlog.
-l (log de paquetes “utiles”): solo guarda paquetes en formato

binario que contengan informacion de usuarios y passwords
-O / -o (solo remotos/solo locales) : guarda paquetes, solo de host

remotos o solo de host locales

Ettercap: Interfase ncurses

Ettercap: Plugins

10
Comentarios en las man pages de EtterpcapS
“Programming today is a race between software

engineers striving to build bigger and better idiot-proof
programs, and the Universe trying to produce bigger
and better idiots. So far, the Universe is winning”
Rich Cook

Etherpeek
http://www.wildpackets.com/
IRIS
http://www.eeye.com
11
HTTPDetect
http://httpdetecteffetechhttpsniffer.say-it-now.com/
IPTraf
http://iptraf.seul.org/
L0pht Antisniff

12
Promiscdetect
http://www.securityfriday.com

Sniffdet
http://sniffdet.sourceforge.net
MAC Flooding
Un sniffer en una red switcheada no puede capturar todo el tráfico

como ocurre en una red con hubs.
Es necesario utilizar herramientas adicionales, una es la que ya

mencionamos: ARP spoofing. La otra es el MAC Flooding.
El MAC Flooding consiste en enviar masivamente paquetes a un

switch para que deje de comportarse como tal y comience a
reenviar el tráfico hacia todos los puertos.

13
SMAC
http://www.klcconsulting.net/smac/
Macof (Dsniff)

Etherflood
http://ntsecurity.nu/toolbox/etherflood

14
DNS Spoofing
DNS spoofing (o DNS poisoning) es una técnica para engañar a un DNS

server para hacerle creer que ha recibido información auténtica cuando en
realidad no fue asi
Una vez que ha sido “envenenado” el DNS server, la información es
cacheada por un tiempo, y distribuida a los clientes del DNS
Cuando un usuario requiere una URL, el DNS busca su IP, que en este
caso por estar envenenado podrá hacer que se dirija a un sitio falso
Para realizar un ataque a los DNS, se debe explotar una falla en el software
del servidor
Si el server no valida correctamente las respuestas de DNS para asegurar
que vienen de una fuente confiable, podria “cachear” entradas falsas
Un atacante podrá alterar la información de un sitio en particular
reemplazando su dirección en la tabla, para capturar usuarios que confían
en dicho DNS

DNS Spoofing: Tipos
Intranet spoofing
Actuar como dispositivo en la misma red interna
Internet spoofing
Actuar como dispositivo de Internet
Proxy server DNS poisoning

Modificar las entradas DNS de un servidor proxy
DNS cache poisoning

Modificar las entradas DNS de cualquier sistema

Dan Kaminsky y los DNSs
A principios del 2008 se descubrió una importante brecha de

seguridad en DNS que afectó a toda Internet.
Desde entonces, varias de las grandes compañías de software se

han unido para encontrar una solución.
Esta vulnerabilidad merece la lectura de sus detalles, debido a que

fue un caso nunca antes ocurrido en tales dimensiones.
http://www.kb.cert.org/vuls/id/800113

15
Packets Crafters
Los Packet Crafters son herramientas que permiten crear paquetes

TCP/IP/UDP personalizados
Estos pueden realizar cambios en las direcciones de un paquete

para hacer spoofing
Tambien pueden modificar los flags de estado de TCP, número de

secuencia, etc.

PackETH
http://packeth.sourceforge.net
Komodia
http://komodia.com
16
Yersinia
http://www.yersinia.net
Nemesis
http://nemesis.sourceforge.net

Dsniff
Colección de herramientas de ataque que incluye:

filesnarf, mailsnarf, msgsnarf, urlsnarf, y webspy
Herramientas de sniffing
sshmitm, webmitm
Ataques de man-in-the-middle contra SSH y HTTPS
arpspoof, dnsspoof, macof
Herramientas de spoofing
Website: http://monkey.org/~dugsong/dsniff

17
Otras Herramientas
WinSniffer
Password sniffer
WinTCPKill
Terminador de conexiones para Windows. Puede realizar ARP spoofing
MAC Changer
Cambiar la MAC a una dirección específica, a una aleatoria, a una
especial, o a una de cierto fabricante.
WinDNSSpoof
Spoofing de DNS para Windows

Contramedidas
La mejor defensa contra el sniffing es sin duda la encriptación
Sin embargo, esto no previene el sniffing, pero hace que los datos
capturados no puedan ser interpretados fácilmente
En la práctica se suele utilizar cifrado simétrico (AES, 3DES, RC5)

Sniffers
Referencias y Lecturas
Complementarias
18
Links
http://www.doxpara.com/
http://www.unixwiz.net/techtips/iguide-kaminsky-dns-vuln.html
http://sectools.org
http://www.irongeek.com/i.php?page=security/AQuickIntrotoSniffers
http://security-freak.net/raw-sockets/raw-sockets.html
http://www.grc.com/oo/packetsniff.htm
http://www.cafeconf.org/2007/slides/pablo_bullian_ataques_mim2.pdf

Referencias y Lecturas Complementarias
CEH Official Certified Ethical Hacker Review Guide

By Kimberly Graves
(Sybex) ISBN: 0782144373
Certified Ethical Hacker Exam Prep
By Michael Gregg
(Que) ISBN: 0789735318
Hacking Exposed, Fifth Edition
By S.McClure, J.Scambray, and G.Kurtz
(McGraw-Hill Osborne Media) ISBN: 0072260815
Gray Hat Hacking, Second Edition
By S.Harris, A.Harper, C.Eagle, J.Ness
(McGraw-Hill Osborne Media) ISBN: 0071495681

Sniffers
Preguntas?
19

06A - Sniffers v1

Cargado por

Copyright:

Formatos disponibles

06A - Sniffers v1

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

06A - Sniffers v1

Cargado por

Copyright:

Formatos disponibles

Ethical Hacker Security Training – Sniffers

Ethical Hacker Security Training – Sniffers 2

Los sniffer son herramientas de software o hardware que

Ethical Hacker Security Training – Sniffers 3

Protocolos Susceptibles al Sniffing

Los sniffers de software trabajan capturando paquetes no destinados a

Ethical Hacker Security Training – Sniffers 4

Sniffing Activo y Pasivo

Ethical Hacker Security Training – Sniffers 5

Sniffing Activo y Pasivo (Cont.)

El sniffing activo es detectable porque genera acciones, a diferencia

En redes inalámbricas o que utilizan hubs, el tráfico es visto por

En caso de redes con switches, la información se transmite

El uso de switches puede mejorar mucho la seguridad y velocidad

Ethical Hacker Security Training – Sniffers 6

Ethical Hacker Security Training – Sniffers 7

El protocolo ARP permite traducir direcciones IP en direcciones

Ethical Hacker Security Training – Sniffers 8

La técnica ARP poisoning se utiliza para atacar una red Ethernet y

El ARP poisoning usa el spoofing para enviar mensajes de origen

Estas tramas contienen falsas direcciones MAC que confunden a

Como resultado, las tramas pueden ser erróneamente enviadas o

También se utiliza el ARP spoofing para realizar ataques de man-in-

ARP Spoofing: Prevención

Utilizar tablas estáticas para las direcciones MAC del gateway en

Fijar estáticamente los puertos físicos de los switches asociándolos

Ethical Hacker Security Training – Sniffers 10

Ethical Hacker Security Training – Sniffers 11

Caín: Función de ARP Poisoning

Ethereal es un sniffer nacido en 1998 que permite capturar

Posee una interfase de uso intuitiva y amena a pesar de su

El filtrado se basa en una determinada sintaxis

La comprensión de los filtros permite capturar datos de manera más

En el año 2006, el desarrollo cambió su nombre a Wireshark por

Ethical Hacker Security Training – Sniffers 14

Utiliza licencia GPL

Ethical Hacker Security Training – Sniffers 15

Ethical Hacker Security Training – Sniffers 16

Ethical Hacker Security Training – Sniffers 17

Wireshark: Opciones y Estadísticas

Ethical Hacker Security Training – Sniffers 18

Ethical Hacker Security Training – Sniffers 19

Herramienta de sniffing que trabaja en línea de comandos.

Ethical Hacker Security Training – Sniffers 20

dir [src|dst|src or dst|src and dst]

Ethical Hacker Security Training – Sniffers 21

Capturar trafico cuya IP origen sea 192.168.1.1

Capturar tráfico cuya dirección origen o destino sea 192.168.1.1

Capturar tráfico con destino a la dirección MAC 60:53:E5:2E:34:A1

Capturar tráfico con red destino 192.168.1.0

Ethical Hacker Security Training – Sniffers 22

Tcpdump: Ejemplos (Cont.)

Capturar tráfico con destino el puerto 25

Capturar las peticiones de DNS

Capturar todo el tráfico excepto el web

Ethical Hacker Security Training – Sniffers 23

Ethical Hacker Security Training – Sniffers 24

Ethical Hacker Security Training – Sniffers 25

Ethical Hacker Security Training – Sniffers 26

Ethical Hacker Security Training – Sniffers 27