SNIFFERS

Elemento de Hardware o Software que permite la captura de tramas de red, para efectos de monitorizacion e igual en manos de un atacante brinda oportunidades de intrusion o gestion maliciosa. Para ejecutar esta accion, la tarjeta de red es puesta en modo promiscuo para capturar todos los paquetes de la capa de enlace en un trafico de red especifico o una red en particular. Permite recopilar: Passwords de(SMB, Ftp, Telnet, Msn, Smtp, Pop, NNTP, Imap, Sql, etc) Transferencia de archivos ( Ftp, Email, Smb) Logeo con Rlogin o Telnet, HTTP

TIPOS DE SNIFFER
Activos. (Switches). Los switches miran la Mac Adress asociada a cada paquete y los datos son enviados solo a su puerto destino correspondiente. Como tecnicas se pueden efectuar un Mac Flooding o un ARP Spoofing. Pasivos (Hub). Dificil de detectar, el atacante conecta su equipo a el Hub e inicia proceso de sniffing de la Red.

PROTOCOLO ARP ( Address Resolution Protocol)

Es un protocolo de capa de red que permite convertir una direccion IP en una direccion fisica (Mac Address). El Host envia un Broadcast de ARP request a la red y el equipo correspondiente a la direccion de la Red IP y este a su vez responde con un ARP Reply envia su direccion fisica (Mac Address). Cada computador mantiene un cache de la tabla de direcciones para evitar el retardo y la carga.

LISTADO DE SNIFFERS
DuDE Look@LAN WireShark Cain y Abel Tcpdump Windump SPAN Port Analyzer Lawful Intercept Network View Wiretap Etherpeak Dsniff EtherDetect Packet Sniffer Ngrep Colasoft MSN EtherScan Analyzer
Hunt Interactive TCP Relay HTTP Pasword Sniffer Ace Password Sniffer Win Sniffer MSN Sniffer Smart sniff SMAC EtherApe Network Probe MaaTec Network Analyzer IP Sniffer Bill Sniffer EffeTech HTTP Sniffer Ipgrab Monitor

CONTRAMEDIDAS PARA SNIF

Instale ARP Watch para monitoreo de las tablas de enrutamiento. Revisar si hay maquinas corriendo en modo promiscuo. Instalar Suite de Gestion de Red como HP Open View o Tivoli de IBM para controlar paquetes extraos en la red y el uso de la misma. Restrinccion de acceso fisico a la estructura de la red, para evitar que sea descargado un codigo malicioso, sniffers o interceptado el cableado de red. Esquemas de encripcion para la informacion. Revision del cache de ARP y adicion de las direcciones del Gateway. Habilitar las caracteristicas de Switch Port Security. En pequeas redes se pueden crear direcciones estaticas en las tablas de enrutamiento.

DETECTAR UN SNIFFER
El metodo Ping IDS El metodo ARP El metodo de Latencia (Ping ICMP) El test DNS El test Etherping Herramientas para detectar Sniffer en la Red
ARP Watch Promiscan Antisniff Prodetect Network Packet Analyzer CAPSA

TIPOS DE ATAQUES POR SNIFFING ARP Spoofing ( ARP Poisoning ) Duplicacion de MAC Mac Flooding Dns Spoofing / Dns Poisoning Ip Spoofing