Cómo funciona un Sniffer

Un programa Sniffer funciona mediante la captura de paquetes no destinados a la dirección MAC del sistema sniffer, sino más bien para la dirección MAC de destino de un sistema objetivo. Muchas herramientas de hacking cambian la NIC del sistema a modo promiscuo.

El modo promiscuo se habilita en una tarjeta de red con la instalación de un controlador especial de software. Muchas de las herramientas de hacking para Sniffing incluyen un controlador de modo promiscuo para facilitar este proceso.

Cualquier protocolo que no cifre los datos es susceptible de ser sniffeado por un hacker para recopilar información valiosa tales como nombres de usuario y contraseñas.

Hay dos tipos diferentes de sniffer: Pasivo y activo.  El sniffing activo implica el lanzamiento de una suplantación de Protocolo de resolución de direcciones (ARP) o de un ataque por inundación de tráfico (flooding) contra un Switch para capturar el tráfico.

En las redes que utilizan hubs o medios inalámbricos para conectar sistemas, todos los hosts de la red pueden ver todo el tráfico; Una red conmutada mejora el rendimiento y es más seguro que una red compartida conectada a través de hubs.

Otra forma de Sniffear datos a través de un Switch es usar un puerto espejo (también conocido como puerto SPAN) para permitir que todos los datos enviados a un puerto de un Switch físico se dupliquen a otro puerto. En muchos casos, los puertos SPAN son utilizados por los administradores de la  red para supervisar el tráfico con propósitos legítimos.

Contramedidas para el Sniffing

La mejor defensa de seguridad contra un sniffer en la red es el cifrado. Aunque el cifrado no impedirá el Siniffing, hace que los datos capturados durante el ataque de Sniffing  sean inútiles porque los hackers no podrán interpretar la información.

Omitir las limitaciones de los Switches

Debido a la forma en que funcionan los switches Ethernet, es más difícil reunir información útil cuando se Sniffea en una red con switch. Como la mayoría de las redes modernas utilizan switches, se necesita un poco más de esfuerzo para Sniffear en una red conmutada.

Cómo funciona ARP

ARP permite a la red traducir direcciones IP a direcciones MAC. Cuando un  host que utiliza TCP/IP en una LAN intenta ponerse en contacto con otro, necesita la dirección MAC o dirección de hardware del host que está tratando de alcanzar.

El envenenamiento ARP es una técnica que se utiliza para atacar a una red Ethernet para que esta permita a un atacante sniffear la trama de datos en una LAN conmutada o detener el tráfico por completo. El ARP spoofing también puede ser utilizado en un ataque de hombre en el medio, en el que todo el tráfico se transmite a través de un host mediante ARP spoofing y se analiza para obtener contraseñas y otra información.

 

Contramedidas contra la suplantación y envenenamiento ARP

Para evitar la suplantación de ARP, añade permanentemente la dirección MAC de la puerta de enlace al caché ARP en un sistema. En un entorno empresarial, la seguridad basada en puertos se puede activar en un Switch para permitir la dirección MAC por puerto de Switch. En el ejercicio 6.1, se usará Wireshark para sniffear el tráfico.

Comentarios de Facebook

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.