SNIFFERS:

ESPÍAS EN LA RED

MODESTO CORDERÍ NÓVOA

OSCAR MALINGRE PÉREZ

Asignatura:
Seguridad en Sistemas de Información
 2

INDICE Pág.
1. INTRODUCCIÓN....................................................................................1

2. ¿QUÉ ES UN SNIFFER? ………………………………………………2

2.1. Funcionamiento de un Sniffer………………………………… 3

2.2 ¿Para qué se usa un sniffer?......................................................... 3
2.3. Pero ¿cómo lo logra un programador?........................................ 3
2.4. Módulos de un sniffer…………………………………………. 4
3. SNIFFERS PARA ATAQUE………………………………………….. 5
3.1. Proteger las contraseñas contra los Sniffers……………………5
3.2. Cuándo una clave puede ser capturada por un sniffer………….5
3.3. ¿Cómo se implantan los sniffers y cómo se capturan las claves? …………. 6
3.4. ¿Por qué robar una clave?...........................................................7

4. ATAQUES PRÁCTICOS DE SNIFFER………………………………. 8

4.1 Linsniffer ………………………………………………………..8

4.2 linux_sniffer……………………………………………………..8
4.3 Hunt…………………………………………………………… 9
4.4 sniffit…………………………………………………………9-10
4.5 Otros sniffers y herramientas de monitorización de redes…11-13

5. SNIFFERS PARA AUDITORÍA………………………………………13

6. DEFENSA CONTRA SNIFFERS……………………………………..14
6.1 ifconfig…………………………………………………………14
6.2 NEPED: Network Promiscuous Ethernet Detector…………….15
6.3. Otros métodos para detectar sniffers………………………15-16
7. PROTECCIÓN AVANZADA CONTRA SNIFFERS……………….. 17
8. APLICACIÓN PRÁCTICA :SNIFFERS EN EL FBI :
¿ESTAMOS SIENDO ESPIADOS?..................................................18-19
9. APLICACIÓN PRÁCTICA - PRUEBAS REALES……………….20-23
10 .DICCIONARIO …………………………………………………. 24-26
11. LIBRO DE DIRECCIONES………………………………………… 27
12. CONCLUSIONES FINALES………………………………………..28
 3

1. INTRODUCCIÓN
A menudo, las cosas no son lo que parecen. Para escuchar a los medios de
comunicación hablar de ello, el peor destino que puede sufrir un administrador es que su
servidor Web sea reventado y que modifiquen su página Web. No es cierto. De hecho,
aunque estos ataques pueden parecer dramáticos y suelen generar grandes titulares, no
son nada si se los compara con un ataque real. Los intrusos reales no suelen anunciar su
presencia ni hacen alarde de lo que consiguen, sino que instalan dispositivos de
monitorización ocultos que furtivamente recogen la información de la red.

Dichas herramientas reciben el nombre de analizadores de protocolos, aunque

también se las conoce como sniffers. El sniffing de paquetes es la práctica de capturar
datos de red que no están destinados a tu máquina, generalmente con el propósito de ver
tráfico confidencial/sensible, como sesiones telnet o gente leyendo su correo. Por
desgracia no existe una forma de detectar un sniffer de paquetes, puesto que es una
actividad pasiva, sin embargo mediante la utilización de switches de red y backbones de
fibra óptica (que son muy difíciles de pinchar) se puede minimizar la amenaza.

Los sniffers representan un alto nivel de riesgo, ya que:

• Pueden capturar contraseñas.
• Pueden capturar información confidencial o patentada.
• Pueden utilizarse para hacer mella en la seguridad de los entornos de red u
obtener acceso por la fuerza.

De hecho, los ataques de sniffers han provocado acuerdos más serios que
cualquier otro tipo de ataque. Para enfatizar este punto, vamos a rememorar rápidamente
el pasado. En 1994, un ataque masivo de sniffers obligó a un centro de investigación
naval a publicar la siguiente nota:

“En febrero de 1994, una persona no identificada instaló un sniffer de red en varios hosts y en varios
elementos de backbones que recopiló más de 100.000 nombres de usuarios y contraseñas válidas a través
de Internet y MiInet. Se considera que todos los equipos del sistema que permitan la existencia de
registros de FTP, Telnet o remotos corren peligro... Hay que comprobar si todos los hosts de la red que
utilicen un sistema operativo derivado de UNIX tienen el controlador de dispositivo específico que
permite instalar el sniffer.
(Extracto de la nota del Naval Computer & Telecomunications Area Master
Station LANT)”

El ataque a MiInet fue tan serio que el asunto fue llevado ante el Subcomité de Ciencia,
Espacio y Tecnología y al Tribunal Supremo de USA.

Ahora veamos un artículo más reciente y cercano a nosotros en Galicia:

“Un «hacker» de Carballo estafa movendo cartos pola Rede.
Axentes da Garda Civil especializados en delictos telemáticos detiveron a un mozo de Carballo como
presuntor autor dunha estafa de 48.000 euros(7,9 millones de pesetas) a unha empresa por Internet.
O sospeitoso pasou os cartos por bancos de varios países”
( Extracto de La Voz de Galicia, Mayo 2002)

Entre ambos artículos, desde Febrero de 1994 hasta Mayo de 2002, vemos la
importancia vital que tienen los sniffers para la seguridad de una red informática.
 4

2. ¿QUÉ ES UN SNIFFER?
De igual manera que los circuitos de teléfono, las redes de ordenadores son
canales de comunicaciones compartidos. Es simplemente demasiado costoso poner un
switch (hub) para cada par de ordenadores implicados en la comunicación. El compartir
significa que las computadoras pueden recibir la información que fue enviada a otras
máquinas. Al capturar la información que pasa la red se llama el sniffing.

Normalmente la manera de conectar varios ordenadores es mediante Ethernet.

El protocolo de Ethernet trabaja enviando la información del paquete a todos los hosts
en el mismo circuito. La cabecera del paquete contiene la dirección apropiada de la
máquina destino. Solamente la máquina con la dirección que va en la cabecera se
supone que aceptar el paquete. Una máquina que está aceptando todos los paquetes, sin
importar lo que ponga en la cabecera del paquete, se dice para estar en modo promiscuo.

Debido a que en un ambiente normal del establecimiento de una red, la cuenta y

la información de la contraseña se pasa a lo largo de Ethernet en texto claro, no es
complicado para un atacante una vez que obtengan el root, poner una máquina en modo
promiscuo (sniffing). Esto compromete todas las máquinas en la red.

Un sniffer de paquetes es un programa de “pinchado” (wiretap), que se instala

en una red y pueden ver todos los paquetes que circulan por ella. Como una línea de
teléfono pinchada permite que el FBI escuche las conversaciones de la gente, un
programa "sniffer" deja escuchar la comunicación entre ordenadores.

Sin embargo, las comunicaciones entre ordenadores consisten en datos binarios

aparentemente al azar. Por lo tanto, los sniffers vienen con una característica conocida
como el "análisis del protocolo", que les permite "descifrar" el tráfico del ordenador y
hacer que tengan sentido todos esos datos binarios capturados de los paquetes.
 5

2.1. Funcionamiento de un Sniffer

Un Sniffer funciona cambiando el estado natural de una tarjeta de red a un

estado particular. Cuando se envía una información por la red las tarjetas dejan pasar
todo el trafico de la red que no les pertenece, es decir, todo tráfico que no tenga como
destino el computador en el que está instalada. Sin embargo la tarjeta sabe que esta
pasando tráfico por el cable al que está conectada, por lo tanto haciendo unos sutiles
cambios en el modo de operación podría verse el trafico que pasa por el cable, a estos
cambios se les conoce como modo promiscuo.

2.2 ¿Para qué se usa un sniffer?

Los programas de sniffers han estado ejecutándose por la red durante mucho
tiempo en dos formas. Los programas comerciales de sniffers se usan a menudo para
ayudar en el mantenimiento de las redes. Mientras que sniffers “underground” son
usados por los crackers para introducirse en los ordenadores ajenos.

Algunos usos típicos de estos programas son:

• Captura de passwords y logins que están en texto plano (sin encriptar)

desde la red.

• Conversión de datos a un formato comprensible por los humanos

• Análisis de errores para descubrir problemas en la red.

• Análisis de rendimiento para descubrir posibles cuellos de botella en la red.

• Detección de intrusos en la red para hackers/crackers potenciales

Un Sniffer más que una herramienta de ataque en manos de un administrador de
red puede ser una valiosa arma para la auditoría de seguridad en la red. Puesto que el
acceso a la red externa debe estar limitado a un único punto. Un Sniffer puede ser la
herramienta ideal para verificar como se está comportando la red.
 6

La definición, aunque simple, le puede ayudar bastante a entender cómo es que

este dispositivo trabaja, sin embargo más adelante daremos una breve mirada al
funcionamiento de un Sniffer y además una lista de las herramientas disponibles para
realizar esta actividad en la red.

2.3. Pero ¿cómo lo logra un programador?

La respuesta a esta pregunta puede ser bastante larga, pero en resumidas cuentas
es posible principalmente por medio de PERL o C. Los archivos que se utilizan para la
construcción de este tipo de herramientas son las librerías:
linux/if.h, linux/if_ether.h, linux/ip.h, linux/socket.h, linux/tcp.h, linux/in.h, netinet/in.h,
signal.h, stido.h, sys/socket.h, sys/time.h, sys/types.h
Como se puede ver en el listado anterior este sistema usa para la creación del
Sniffer las fuentes del sistema operativo. Para obtener más información sobre dichas
fuentes puedes dirigirse a http://lxr.linux.no/

Como el programa puede guardar un registro el mismo también e ser consultado

o enviado vía cualquier medio a una ubicación específica como otro servidor o alguna
maquina fuera de la red interna. Precisamente en este último punto es donde están los
riesgos de seguridad porque como ya se menciono el programa usa una librería de
socket.h que permite crear su propio cliente de envió de mensajes a la maquina que se
desee; por lo tanto es mucho mas que recomendable verificar que maquinas no
autorizadas tengan las tarjetas de red en modo promiscuo.

2.4. Módulos de un sniffer

• El hardware
La mayoría de los productos trabajan con las tarjetas de red standard, aunque
algunos requieren un hardware especial. Si se usa algún tipo de hardware especial,
se puede analizar fallos como errores CRC, problemas de voltaje, programas de
cable, etc.

• Driver de captura
Ésta es la parte más importante. Captura el tráfico de la red desde el cable, lo filtra
según se desee y luego almacena los datos en el buffer.

• Buffer
Una vez que los paquetes son capturados desde la red, se almacenan en un buffer.
Hay dos modos de captura distintos: captura hasta que el buffer se llene o usar el
buffer como un “round robin” donde los datos más recientes reemplazan a los más
antiguos. Algunos programas como “BlackICE Sentry IDS” de Network ICE
pueden operar en modo “round-robin”, capturando los datos a velocidades de 100-
mbps y generando un buffer que puede tener varios gigabytes de información.
 7

• Análisis de Tiempo - Real

El programa pionero fue el “Network General Sniffer”; esta opción hace un análisis
al por menor a nivel de bits de los frames mientras van por la red. Esto es capaz de
encontrar una medida de la calidad de la red y de posibles fallos mientras a la vez
captura la información. Por ejemplo: Network intrusion detection systems hace esto
e incluso incorpora detección de posibles hackers.

• Decodificar
Esta opción muestra el contenido del tráfico de la red con un texto descriptivo para
que el analista sepa qué está pasando.

• Edición / Transmisión de Paquetes

Algunos programas contienen opciones que te permiten editar tus propios paquetes
de red y transmitirlos luego a la red.

3. SNIFFERS PARA ATAQUE

3.1. Proteger las contraseñas contra los Sniffers

Una contraseña es difícil de ser capturada. Los sniffers son programas que
permiten a un atacante robar una clave y hacerse pasar por nosotros. Estos tipos de
ataques son comunes. Es muy importante, como usuarios de Internet, tener conciencia
de cómo sus claves son vulnerables y de como tomar medidas apropiadas para tener una
"cuenta" más segura.

Seleccionar una buena clave ayuda mucho, pero también es muy importante
saber cuando se es vulnerable a los sniffers y como lidiar con ellos.

3.2. Cuándo una clave puede ser capturada por un sniffer

 8

Muchas redes locales (LANs) son configuradas compartiendo un mismo

segmento de red Ethernet. Prácticamente cualquier ordenador de esta red puede ejecutar
un programa sniffer para robar las claves de los usuarios.

Los sniffers actúan monitorizando el flujo de comunicación entre las maquinas

de la red para descubrir cuando alguien utiliza los servicios de la red mencionada
anteriormente. Cada uno de estos servicios utiliza un protocolo que define como una
sesión se establece, como se identifica y autentifica una cuente y de como los servicios
son utilizados.

Para tener acceso a uno de estos servicios, primero tiene que efectuar un “Log
in”. Es en la secuencia de login (parte de autenticación de los protocolos, que tiene
lugar al comienzo de cada sesión) en la que los sniffers están interesados, porque es aquí
donde se encuentra su clave. Por lo tanto solo hay que filtrar las cadenas claves para
obtener la contraseña.

En la siguiente figura se muestra el proceso de conversación entre dos máquinas

remotas, donde la identificación del usuario pasa abiertamente por la red de una
máquina a otra. Este ejemplo es de transferencia de archivos vía FTP: (La máquina A
inicia la conexión con la máquina B, que solicita la identificación del usuario. Al
autenticarse en la maquina remota B el sniffer captura la clave.)
 9

3.3. ¿Cómo se implantan los sniffers y cómo se capturan las claves?

Para saber cómo funciona un sniffer, necesita saber que cada ordenador de un
LAN puede “ver” todos los paquetes de datos que son transmitidos dentro de la red. Así
cada ordenador de la red puede ejecutar un programa sniffer para ver todos los paquetes
y guardar una copia. Básicamente, los pasos seguidos por los atacantes son los
siguientes (ver ilustración):

(1) El atacante penetra en su red, rompiendo una determinada máquina.

(2) Instala un programa sniffer.
(3) Este programa monitoriza la red en busca de acceso a servicios de red, las
capturas son realizadas y registradas en un Log.
(4) El archivo de logs es recuperado por el atacante.

3.4. ¿Por qué robar una clave?

En todo el mundo de la Seguridad Informática, también hay que tener en cuenta la

Psicología de los atacantes potenciales, para construir los sistemas de defensa adecuados
a dichos perfiles.

Existen diversas razones que llevan a las personas a robar las claves, desde
simplemente molestar a alguien (enviar un mail haciéndose pasar por ti) hasta practicar
actividades ilegales (invadir otros ordenadores, robar otras informaciones, etc.). Un
atractivo para los hackers es la capacidad de utilizar la identidad de terceros en estas
actividades.
 10

Una de las principales razones por la que los atacantes intentan romper sistemas
e instalar sniffers es poder capturar rápidamente el máximo número de cuentas posibles,
así cuantas más cuentas posea el atacante más fácil tiene el mantenerse escondido.
Porque puede hacerse pasar por otros usuarios “inocentes”.

4. ATAQUES PRÁCTICOS DE SNIFFER

Este apartado del trabajo está dirigido a aquellos usuarios con conocimientos
avanzados de C y Linux; con los que se puede comenzar a utilizar sniffers en casos
reales. Los distintos sniffers realizan tareas diferentes, que oscilan entre las sencillas
(capturar nombres de usuarios y contraseñas) y las extremas (grabar todo el trafico de la
interfaz de red). Entre los que se incluyen:
• Linsniffer
• Linuxsniffer.
• Hunt
• Sniffit.

4.1 Linsniffer
Linsniffer es sencillo y directo. Su propósito principal es capturar nombres de
usuarios y contraseñas, y esta es una función en la que sobresale
Aplicación creada por Mike Edulla
Necesita: Archivos de cabecera C e IP.
Archivos de configuración: ninguno.
Ubicación: http://agape.trilidun.org/hack/network-sniffers/linsnifferc.
Historial de seguridad: linsniffer no tiene un historial de seguridad importante.
Notas: linsniffer es fácil de utilizar. Sin embargo, éstas son algunas notas sobre
la instalación: se necesita todo el complemento de los archivos de cabecera de IP
incluyendo aquellos que suelen almacenarse en /usr/include/net y en
/usr/include/netinet. Además, asegúrese de que la variable PATH incluye
/usr/include.

Para compilar linsniffer, introduzca el siguiente comando:

$cc linsniffer.c -o linsniffer
Para ejecutar 1insniíier, escriba el comando 1insniffer en un indicativo:
Linsniffer
En este momento, linsniffer crea un archivo vacío llamado tcp.log, donde escribe
su salida. .

4.2 linux_sniffer
linux_sniffer ofrece una vista algo más detallada.
Aplicación: linux_sniffer por loq.
Necesita: archivos de cabecera C e IP
Archivos de configuración: ninguno.
Ubicación: http://www.ryanspc.com/sniffers/linux_sniffer.c.
 11

Historial de seguridad: linux_sniffer no tiene un historial de seguridad

importante.
Notas: linux_sniffer es fácil de utilizar. Sin embargo, es necesario todo el
complemento de los archivos de cabecera de IR
Para linux_sniffer, introduzca el siguiente comando:
$cc linux_sniffer.c -o linuxsniff

4.3 Hunt
hunt es otra opción útil cuando se necesita una salida menos compleja y más
fácil de leer, un seguimiento de comandos más sencillo y snooping de sesiones.
Aplicación: hunt de Pavel Krauz.
Necesita: cabeceras de C e IP y Linux 2.0.35+, Glibc 2.0.7 con linuxThreads (o
no).
Archivos de configuración: ninguno.
Ubicación: http://www.cri.cz/kra/index.html.
Historial de seguridad: hunt no tiene un historial de seguridad importante.
Notas: el creador de hunt ha proporcionado archivos binados enlazados dinámica
y estáticamente a aquellos usuarios que no tengan tiempo
(o ganas) de compilar el paquete.
hunt viene comprimido en formato tar y zip. La versión
actual y el nombre del archivo es hunt-1_3bin.tgz. Para
empezar, descomprime el archivo comprimido con
formato zip de la siguiente forma:
$ gunzip hunt*tgz
El archivo que aparece al descomprimir se llama
hunt-1_3bin.tar. Descomprímelo de la siguiente forma:
$tar -xvf hunt-1_3bin.tar
hunt se descomprimirá en el directorio /root/hunt-1.3,
Permite especificar las conexiones determinadas en las que se esté interesado, en
lugar de tener que vigilar y registrar todo.
Detecta conexiones ya establecidas, no solamente las iniciadas en SYN o las que
se acaban de iniciar.
Cuenta con herramientas de spooying.
Ofrece control activo de las sesiones.
Estas características, junto con su sencilla interfaz, hacen de hunt una buena
opción para los principiantes en Linux, ya que es una magnifica herramienta
para el aprendizaje.

4.4 sniffit
Sniffit es para aquellos usuarios que necesiten algo más.
Aplicación: Sniffit de Brecht Claerhout.
Necesita: cabeceras de C y de IR
Archivos de configuración: consulte la siguiente sección.
Ubicación: http://reptile.rug.ac.be/~coder/sniffit/sniffit.html.
Historial de seguridad: Sniffit no tiene un historial de seguridad importante.
Notas: Sniffit es realmente potente. Su capacidad de configuración es tremenda,
pero ten en cuenta que su proceso de aprendizaje es laborioso.
 12

sniffit viene comprimido en formato tar y zip (en estos momentos, la versión
actual es sniffit_0_3_0_tar.gz). Para descomprimirlo, utiliza este comando:
$gunzip sniffit*gz
Tras descomprimirlo, el archivo que aparece es sniffit_0_3_0_tar.
Descomprímelo de la siguiente forma:
Star -xvf sniffit_0_3_0_lar
sniffit se descomprimirá en sniffit.0.3.5/. Cambie a dicho directorio (cd
sniffit.0.3.5) y ejecute el script configure: $ ./configure
Verá en la pantalla una gran cantidad de mensajes. Ello se debe a que Sniffit está
utilizando autoconf para probar si el sistema cumple los requisitos mínimos.
Cuando acabe el script configure, introduzca el siguiente comando:$make
Es en este momento cuando Linux crea sniffit. Este proceso puede durar varios minutos
dependiendo de la máquina, de la velocidad de su procesador y de la memoria
disponible. Finalmente, el proceso acabará y verá este mensaje: Strip sniffit

Funcionamiento y configuración de sniffit

Si sniffit se ejecuta desde la línea de comandos, hay que definir de forma explícita
varias opciones, entre las que se incluyen las direcciones de origen y destino, el formato
de salida, etc.
-c [archivo de configuración] Se utiliza para especificar un archivo de configuración.
-D [dispositivo] Se utiliza para dirigir la salida a un dispositivo determinado. El
creador, Brecht Claerhout, señala que, por ejemplo, es posible capturar la sesión de IRC
de otro usuario en su propio terminal.
-d Se utiliza para cambiar sniffit al modo dump. Muestra los paquetes en formato byte
en STDOUT.
-1 [longitud] Se utiliza para especificar la longitud. De forma predeterminada, sniffit
captura los 300 primeros bytes.
-L [nivel] Se utiliza para establecer el nivel de profundidad del registro.
-P Se utiliza para especificar un lugar determinado para monitorizar.
-s [ip_origen] Se utiliza para especificar la dirección de origen. Sniffit captura
aquellos paquetes que provienen de ip de origen.
-t [ip_destino] Se utiliza para especificar la dirección de destino. Sniffit captura
aquellos paquetes que van al ip de destino.
-v Muestra la versión actual de sniffit.
-x Se utiliza para ampliar la información que proporciona sniffit en paquetes TCfI con
lo que capturará los números de secuencia, etc.

Los archivos de configuración proporcionan mucho control sobre la sesión sniffit (y

ayudan a evitar Eneas de comando de 200 caracteres). Los formatos del archivo de
configuración constan de cinco posibles campos:
. Campo 1: select y deselect. Aquí se indica a Sniffit que capture los paquetes de los
siguientes hosts (select) o no (deselect).
. Campo 2: from, to o both. Aquí se indica a Sniffit que capture los paquetes que
provengan o se dirijan al host especificado (o ambas cosas).
. Campo 3: host, port o multiple-hosts. Aquí se especifican un solo host de destino o
varios. La opción multiple-hosts admite comodines estándar.
. Campo 4: listado de hostname, portnumber o multiple-hosts.
. Campo 5: portnumber.
Éste es un ejemplo:
 13

select from host 172.16.0.1

select from host 172.16.0.1 80
select both port 23
Con él se capturaría todo el tráfico de telnet y de la Web enviado desde ambos hosts.
Nota: Ten en cuenta que los parámetros del archivo de configuración sólo se aplican a
lascomunicaciones que utilizan TCP.
sniffit permite monitorizar varios hosts en diferentes puertos y para distintos paquetes.
En todas las páginas se nos dice que es una excelente herramienta.

4.5 Otros sniffers y herramientas de monitorización de redes

Una vez que hemos visto cómo funcionan los sniffers y lo que pueden hacer.
vamos a ampliar el espectro. Existen muchos otros sniffers, monitores de red y
analizadores de protocolos. Algunos realizan las mismas tareas esenciales que los ya
mencionados, mientras que otros llevan a cabo tareas adicionales o más especializadas.

ANM Angel Network Monitor no es en sí un analizador de protocolos, sino un

monitor de sistemas. ANM monitorizará los tiempos de espera de las conexiones, los
mensajes de conexión rechazada, etc. de todos los servicios estándar (FTP, HTTP,
SMTP etc.). También monitoriza el uso del disco. La salida está en HTML y tiene
código de colores para resaltar las alertas. Este paquete requiere Perl. Para obtener más
información, véase la página Web http://www.ism.com.br/~ paganini//angel/.

Ethereal Es un sniffer para Linux (y UNIX en general) que utiliza GUI y que
ofrece algunos servicios interesantes. Uno de ellos es que la GUI de Ethereal permite
examinar fácilmente los datos del sniffer, bien desde una captura en tiempo real bien
desde archivos de capturas tcpdump previamente generados. Todo ello, unido al
continuo filtro para obtener una mejor exploración, así como la compatibilidad con
 14

SNMP y la capacidad para realizar capturas sobre Ethernet, FDDI, PPP y Token Ring
estándar, hace que Ethereal sea una buena opción. Sin embargo, sus creadores dejan
bien claro que Ethereal es un proyecto en marcha. Tenga en cuenta que es necesario
instalar tanto GTK como libpcap. Puede encontrar Ethereal en http://ethereal.zing.org/.

Icmpinfo Examina el tráfico de ICMP y es útil para detectar ataques de bombas

en ICMP. Los informes de icmpinfo incluyen la fecha y hora, el tipo de paquete, el IP
de origen, IP ofrecido difícil de leer, puerto de origen, puerto de destino, secuencia y
tamaño de los paquetes.icmpinfo se puede obtener en:
ftp://ftp.cc.gatech.edu/pub/linux/system/network/admin/icmpinfo-1.11.tar.gz

IPAC IP Accounting Package es un monitor de IP para Linux. IPAC funciona

encima de ipfwadm o ipchains, y genera gráficos detallados de tráfico de IP (generando
informes de bytes por segundo, por hora, etc.). IPAC puede obtenerse en :
http://comlink.apc.org/~moritz/ipac.html.

Iptraf Es una utilidad que utiliza una consola para ver las estadísticas de la red y
que recopila recuentos de bytes y paquetes de las conexiones TCP indicadores de
actividad y estadísticas de la interfaz, interrupciones del tráfico de TCP/UDP y
recuentos de bytes paquetes de las estaciones de LAN. Además de las interfaces
estándar (FDDI/Ethernet), puede monitorizar el tráfico de SLIP PPP y RDSI. Si utiliza
Trinux, SUSE o Debían, es muy probable que Iptraf ya esté instalado. En caso
contrario, puede obtenerlo en http://cebu.mozcom.com/riker/iptraf/about.html.

Ksniffer También se lo conoce como utilidad para estadísticas de redes KDE y

es una herramienta de monitorización de redes que funciona en K Desktop Enviroment.
Ksniffer monitoriza todo el tráfico estándar de la red, incluyendo TCP, IP, UDP, ICMP,
ARP, RARP y una parte de IPX. Dado que actualmente se está trabajando en el ,
Ksniffer aun no ofrece posibilidades de registro, pero es muy útil para vigilar la
actividad de la red mientras se esta en KDE. Puede encontrar Ksniffer en
http://ksniffer.veracity.nu/.

Isof List Open Files (de Vic Abell) es una herramienta que proporciona
información sobre los archivos que abren los procesos que se están ejecutando en cada
momento. Si tiene SUSE, Debían GNL/Linux 2.0 o Red Hat Linux 5.2, tiene lsof, pero
es necesario actualizarlo (la versión 4.40 tenía un desbordamiento de buffer). Entre los
archivos de los que lsof ofrece información se incluyen los archivos normales, los
directorios, los dispositivos de bloqueo, los archivos con caracteres especiales, las
bibliotecas, etc. Por consiguiente, lsof es muy útil para detectar aquellas act1i7idades no
autorizadas que puedan no aparecer en consultas ps estándar. Si aún no tiene lsof, es
aconsejable descargarlo de ftp://vic.cc.purdue.edu/pub/tools/unix/lsof/.
 15

Ntop Network top está basado en libpcap y muestra las estadísticas actuales de
uso de la red. Utiliza todos los protocolos estándar e incluso algunos que no admiten
otras herramientas de monitorización de redes, entre los que se incluyen DNS, X, NFS,
NetBioS y AppleTalk. Además, ntop tiene una función digna de mención que convierte
los exploradores Web en consolas en las que se pueden ver y controlar las estadísticas
de la red. ntop se encuentra en http://wvww-serra.unipi..it/-ntop/.

Tcpdump Imprime las cabeceras de los paquetes de una interfaz de red que
coincida con una expresión booleana suministrada por el usuario. tcpdump es útil para
diagnosticar los problemas de la red y examinar minuciosamente los ataques a la red.
Puede configurarse hasta el más mínimo detalle: se pueden especificar los hosts, los
servicios y el tipo de tráfico que se van a monitorizar. Al igual que sniffit, tcpdump
permite que la red, el host, el puerto y el protocolo lleven a cabo capturas de paquetes.
tcpdump es compatible con ARP, Ethernet, IP, RARP, TCP y UDP. Algunas
distribuciones recientes de Linux traen tcpdump instalado. Si no lo tiene, puede
conseguirlo en http//sunsite.auc.dk/li-nux/RPM/tcpdump.html.

tráffic-vis Monitoriza el tráfico TCP/IP y convierte esta información en gráficos

en ASCII, HTML o Postscript. traffic-vis también permite analizar el tráfico entre hosts
para determinar qué hosts han comunicado y el volumen de su intercambio (tenga en
cuenta que necesita libpcap. traffic-vis puede obtenerse en
http://www.ilogic.com.au/~dmiller/traffic-vis. html.

Ttysnoop Es una herramienta que permite monitorizar las conexiones serie y

telnet. ttysnoop se utiliza para fisgonear en el tty, actual de otro usuario. Linux incluye
este paquete. Para obtener más información, consulte la página man correspondiente.

Entorno de un programa sniffer típico

5. SNIFFERS PARA AUDITORÍA

El uso en auditorÍa de una Sniffer es básicamente como paso de información
aunque existen múltiples herramientas mucho más complejas, los Sniffers son un buen
 16

comienzo para controlar el tipo de conexiones que se realizan en el sistema. Teniendo

en cuenta que ésta es la forma básica que utilizan la mayoría de herramientas de
seguridad, existen dos tipos de estas herramientas de Host y de red, los Sniffer de host
se caracterizan por monitorear todo el tráfico que pasa por el computador donde están
instalados. Mientras que los de Red se instalan en el punto de acceso de la red y
verifican todo el trafico que pasa dentro y hacia fuera de la red.
Como ya dijimos, la salida de un Sniffer se puede redirigir para que lleve un
registro del tráfico en un archivo en el disco duro o en cualquier otro medio para
posterior análisis. Por ser la base de las herramientas de detección de intrusos (IDS) un
conocimiento de estos sistemas le brindara una perspectiva de lo que pueden y no
pueden hacer este tipo de herramientas.
Cuando se instale un Sniffer deberá llevar control de la información por medios
automáticos ya que por el volumen que estar manejando es humanamente imposible su
análisis es recomendable usar una herramienta como una base de datos y un sistema de
reportes construido en PERL. Esto en esencia es lo que es un IDS.
Sin embargo si se inicia en el uso de esta herramienta se le hará un tanto
complicado el uso de todos estos adicionales para una introducción rápida en el uso de
esta herramienta es recomendable comenzar por una herramienta simple y bastante
poderosa como es HUNT esta herramienta ofrece una interfaz de texto bastante cómoda
e intuitiva que permite seguir lo que esta ejecutándose en un omento dado en el sistema.
Esta herramienta en particular permite dos tipos de instalación compilando el código
fuente o desde binarios que se ejecutan directamente en la maquina.

6. DEFENSA CONTRA SNIFFERS

Los ataques de sniffers son difíciles de detectar y combatir, ya que
son programas pasivos. No generan rastros (registros) y, cuando se
utilizan correctamente, no utilizan muchos recursos de disco y de
memoria. .

La respuesta es ir directamente al origen. Por consiguiente, la sabiduría

convencional indica que para detectar un sniffer, hay que averiguar si alguna de las
interfaces de la red se encuentra en modo promiscuo, para lo que pueden utilizarse estas
herramientas:
. ifconfig.
. ifstatus
6.1 ifconfig

Con ifconfig es posible detectar rápidamente cualquier interfaz del host local que
se encuentre en modo promiscuo. lfconfig es una herramienta para configurar los
parámetros de las interfaces de las redes. Para ejecutarlo, escriba el comando ifconfg en
un indicativo:

$ifconfig
 17

ifconfig informará del estado de todas las interfaces. Por ejemplo, al iniciar Sniffit y
ejecutar ifconfig, éste es el informe que aparece:

lo
Link encap:Local Loopback
inet addr:127.0.0,1 Bcast:127.255.255.255 Mask:255.0.0.0
UP BROADCAST LOOPBACK RUNNING MTU:3584 Metric:1
Rx packets:40 errors:0 dropped:0 overruns:0
TX packets:40 errors:0 dropped:0 overruns:0

Link encap:Ethernet Hwaddr 00:E0:29:19:4A:68

inet addr:172.16.0.2 Bcast:172.16.255.255 Mask:255.255.0.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:22 errors:0 dropped:0 overruns:0
TX packets:23 errors:0 dropped:0 overruns:0
Interrupt:3 Base address:0x300

Aquí se ve como ifconfig ha detectado la interfaz Ethernet en modo promiscuo:

“RUNNING PROMISC MULTICAST”

ifconfig es magnífico para un apuro y es una utilidad nativa de Linux

6.2 NEPED: Network Promiscuous Ethernet Detector

Esta es otra herramienta muy útil para detectar sniffers latentes. NEPED puede
detectar actividad de sniffers en una subred. Se puede bajar de:
http://metalab.unc.edu/pub/Linux/distributions/trinux/src/netmap/NEPED.c.

NEPED rastrea subredes en busca de interfaces en modo promiscuo. En los

kernels de Linux anteriores ala 2.0.36, NEPED descubre estas interfaces explotando un
error en la implementación arp de linux (en arp.c, que se encuentra en el motor LXR en
http://lxr.Íinux.no/source/net/ipv4/arp.c). NEPED envía una solicitud a arp y provoca
una respuesta de la estación de trabajo afectada.

Desgraciadamente, NEPED tiene sus limitaciones. En primer lugar, en los

kernels posteriores, se actualizó la implementación arp de Linux, con lo que las
estaciones de trabajo afectadas dejarán de responder a las errantes solicitudes de arp.
Además, el investigador independiente Seth M. McGann ha señalado que es posible
configurar el sistema para ignorar solicitudes de arp y, en este estado, ignorada un
rastreo de NEPED. Sin embargo, dejando aparte estos detalles, NEPED sigue siendo
una herramienta muy útil.

6.3. Otros métodos para detectar sniffers

• DNS test:
 18

En el segmento de la máquina a testear, creamos falsas conexiones TCP contra hosts

inexistentes. Un sniffer activo mandará peticiones a la DNS para resolver el nombre del
host. Interceptando estas peticiones sabremos si existe o no un sniffer activo en nuestra
red.

• ETHERPING TEST:
Se basa en las imperfecciones del Kernel de algunos sistemas (algunos Linux, NetBSD,
NT). Mandamos a la máquina a testear un “ping echo” con destino IP correcto y
dirección MAC falsa. Si la máquina responde, es que su interfaz está en modo
promiscuo y hay un sniffer activo.

• ARP TEST:
También aprovecha vulnerabilidades del Kernel de algunos Sistemas Operativos.
Mandamos por la red una petición de “arp” con la IP de la máquina a testear. La
petición es correcta pero se envía a una dirección MAC inexistente. Si obtengo
respuesta, es que la máquina a testear está en modo promiscuo.

• TEST ICMP Ping de Latencia

Mido el tiempo de respuesta al ping (RTT) de la máquina a testear. Creo numerosas
falsas conexiones TCP en el segmento de la máquina. Si la máquina está en modo
promiscuo tiene que procesar estas peticiones.

Hay que “blindar” el PC ante ataques sniffer

 19

7. PROTECCIÓN AVANZADA CONTRA SNIFFERS

Mientras que puedes configurar tu LAN para hacer que los sniffers tengan
mayores dificultades para entrar, estás más bien indefenso a la hora de evitar que
cualquiera en Internet vea información importante. La mejor defensa en este caso es
encriptar los datos, de esta forma, aunque los intercepten, no podrán entender a priori lo
que dicen los paquetes. Algunas técnicas son:

SSL
"Secure Sockets Layer", SSL está disponible ampliamente en bastantes
servidores y navegadores Web. Permite navegación Web encriptada, y casi siempre se
usa en e-commerce cuando los usuarios introducen datos sobre tarjetas de crédito. Esta
página Web muy buena nos habla sobre Apache SSL http://www.modssl.org/

PGP y S/MIME
El E-mail puede ser interceptado de muchas formas. Pasa a través de firewalls,
que puede que monitoricen el tráfico. A menudo queda registrado y almacenado por
períodos de tiempo largos. Puede quedar mal encaminado y acabar en el buzón de otra
persona. La mejor manera de mantener estos e-mails seguros es encriptándolos. Las dos
maneras más comunes de hacer esto es con PGP (Pretty Good Privacy) y S/MIME
(Secure MIME).

SSH
"Secure Shell", ssh se ha convertido en el standard para entrar en máquinas
UNIX desde Internet. Deberíamos reemplazar el inseguro telnet por este servicio. Otros
numerosos protocolos pueden usarse empleando ssh por debajo (por ejemplo, copia de
ficheros. Este producto fue desarrollado por una compañía Finlandesa,
http://www.ssh.fi/ , pero existen muchas implementaciones freeware disponibles.
Las soluciones de encriptado de datos arriba descritas también proporcionan
métodos de autenticación de usuarios. Existen además otras alternativas, como las
siguientes.
• SMB/CIFS

• Kerberos v5

• Tarjetas inteligentes (“smart cards”)

• Stanford SRP (Secure Remote Password)

Como resumen a estas menciones criptográficas, decir que si encuentra algún
sniffer en una red, tiene un serio problema, ira que si está allí significará que la red ya
está en peligro. Pero no es necesario que espere hasta que ello ocurra para combatir los
ataques de los sniffers. De hecho, es posible tomar una medida preventiva muy eficaz
desde el principio, cuando establezca la red: emplear el cifrado.
 20

Las sesiones cifradas reducen considerablemente el riesgo. En lugar de

preocuparse por los datos que se están atacando, es mejor desordenarlos para que no se
puedan reconocer. Las ventajas de este método son obvias: aun cuando un atacante
espié datos, no podrá utilizarlos. Sin embargo, este método también tiene desventajas. .

8. APLICACIÓN PRÁCTICA :SNIFFERS

EN EL FBI :
¿ESTAMOS SIENDO ESPIADOS?
Mucha gente no sabe que el mismísimo FBI americano utilizaba, y
probablemente siga utilizando, aunque no lo reconozca públicamente, un sniffer
llamado “Carnivore”. ¿Es esto legal? En teoría, sí. Para buscar información sobre esta
artículo pensamos primero ir a la página web del FBI: www.fbi.gov . Pero la verdad es
que allí casi no se hablaba nada de este sniffer. Entonces empezamos a buscar en
páginas hacker underground, donde se hablaba más de cómo crackear programas y
poner sniffers que de otra cosa. Al final lo encontramos en una página de noticias
informáticas llamada Canal Sofware: www.canalsw.com
Carnivore es un software diseñado por el FBI que se instala en los ISPs (Internet
Service Provider`s) para interceptar en tiempo real los contenidos de las
comunicaciones individuales. Pero como vimos anteriormente, en realidad, este sistema
uno sólo: el Sistema Global UE-FBI para la Vigilancia de las Telecomunicaciones. Lo
cierto es que para todos y para la prensa son dos sistemas diferentes. Veamos que se
dice de Carnivore en particular o de la parte del sistema UE-FBI que depende del FBI
norteamericano.
De acuerdo a un informe especial realizado por Canal Software que aparece en
la página cuya dirección mencionamos antes, Carnivore es un sistema de software y
hardware que tiene capacidad tecnológica para localizar y perseguir las comunicaciones
de un usuario en Internet. De cualquiera. Sin que él o ella tengan conocimiento de ello.
Ya sea en sus visitas por páginas de la Web, ya sea en sus participaciones en grupos de
discusión, en foros o, sobre todo, ya sea en los mensajes de correo electrónico que envía
o recibe. Carnivore, ya rebautizado oficialmente como DCS1000, fue creado para no
tener límites de capacidad.
El sistema es, creando un paralelismo básico, como una caja negra (tipo plug and
play); un baúl que recoge toda la información deseable. El FBI lo instala en los
Proveedores de Acceso a Internet (ISP), directamente en los servidores que todos los
usuarios de Internet en el mundo utilizamos para lograr la conexión a la Web. A través
de ellos pasa toda la información que nosotros enviamos a Internet: las visitas a
determinadas páginas, los correos electrónicos, sean del software que sean, nuestras
frases en foros de discusión, la plática en chats privados o públicos. Cada palabra que
escribimos o ejecutamos, siempre es recogida por el ISP que nos proporciona acceso a
la Red. Además de software, el FBI incluye el hardware compuesto por un PC
ensamblado en una caja modelo rack para que pueda incorporarse fácilmente en las
redes de los ISP, como si fuera un concentrador o un router más, y no tiene necesidad de
 21

dispositivos externos como un mouse o un teclado.

El FBI, de esta manera, se asegura poseer toda la información que desee.
El Carnivore es un sniffer, un rastreador, uno de esos programas que están disponibles
en la Red desde hace bastante tiempo y que tienen como misión vigilar y analizar el
tráfico que se produce en Internet y que ayudan a los administradores en su tarea, por
ejemplo, de evitar aglomeraciones tales como cuellos de botella. Sin embargo, su uso
resulta desviado en algunas ocasiones y llegan a ser, los sniffers, espías de las
comunicaciones.
Cierto que existe software de codificación (el cual impide que sean leídos ciertos
mensajes) bastante extendidos, pero aún así, Carnivore permite al FBI registrar
direcciones e identificar redes de comunicación. Va más allá. Los supera.
Técnicamente, puede llegar a controlar todo el tráfico que circula por cualquiera de los
protocolos utilizados en Internet.
Poco más se sabe de Carnivore, o DCS1000. Y ello no ayuda en la polémica
creada. No se sabe cómo funciona, cómo restringe, como no investiga ni almacena la
información de otros usuarios que no necesita para su investigación. Por ejemplo, en el
medio de la polémica que este sistema ha creado, casi todos los grupos políticos y
sociales han pedido que se dé luz pública a su modo completo de actuación y, sobre
todo, a su código fuente: para examinar a fondo si viola la intimidad o no. El FBI se ha
negado a publicar el código fuente: cualquiera podría utilizarlo para fines no lícitos ni
legales, afirma, y permitiría a los criminales estudiar y crear fórmulas para evitar la
captura de sus comunicaciones.

Funcionamiento del sniffer “Carnivore” usado por el FBI

 22

9. APLICACIÓN PRÁCTICA – PRUEBAS REALES

Una vez que hemos aprendido los fundamentos teóricos de los sniffers, hemos
pensado que era necesario realizar una serie de pruebas reales, para ver el
funcionamiento “en directo” de algunos sniffers. Creemos que es muy necesario el
realizar dichas pruebas, porque hemos aprendido los conceptos básicos para poder luego
ampliar la información sobre sniffers.

Antes de realizar las pruebas, nos hemos bajado de Internet las librerías
necesarias para que funcionen dichos programas. Como en Windows sólo era necesaria
una librería (WinPcap), hemos optado por realizar las pruebas bajo este sistema
operativo, ya que en Linux Red Hat la configuración de dichas librerías era mucho más
complicada y nos superaba.

Los programas utilizados fueron el Ethereal para Windows versión 0.9.3. y el

Win Analyzer y WinDump (versión basada en el TCPDump, “padre” de todos los
sniffers) En las pruebas realizadas en casa, teníamos el Sistema Operativo Windows
XP, mientras que en los laboratorios de ordenadores de la Facultad, estaba instalado el
Windows NT.

Todos los programas utilizados para estas pruebas, y las librerías necesarias para
Windows, hemos decidido incluirlos en un CD que acompaña al trabajo. Las
direcciones Web donde nos hemos bajado los programas para las pruebas son las
siguientes:

LIBRERÍAS WINPCAP http://winpcap.polito.it/install/

ETHEREAL SNIFFER http://www.ethereal.com/

WIN ANALYZER SNIFFER http://analyzer.polito.it/install/default.htm

ESQUEMA DE LAS PRUEBAS

• Prueba 0 – Captura en el Laboratorio de Libre Acceso

• Prueba 1 – ISP Begin Captura de paquetes enviados por un MODEM al inicio

de una conexión a Internet

• Prueba 2 – HTTP E-MAIL Captura del login y password de una cuenta de

correo privada de Yahoo

• Prueba 3 – FTP Captura del login y password de una sesión de FTP

• Prueba 4 – TELNET Captura del login y password de una sesión de Telnet

 23

Prueba 0 – Captura en el Laboratorio de Libre Acceso

Para realizar esta prueba nos fuimos al Laboratorio de Libre Acceso de la
Facultad y nos bajamos de Internet las librerías WinPCap, para poder capturar paquetes,
y los programas Win Analyzer y WinDump. Los instalamos y configuramos.
Capturamos algunos paquetes que estaban en la Red del Laboratorio, sin especificar
ningún ordenador en particular, con lo que teníamos mucha información, que llevaría
mucho tiempo analizar.

De ahí nos dimos cuenta de la importancia de filtrar los paquetes que queremos
capturar, seleccionado el protocolo a captuar e incluso el ordenador objetivo. Hay que
acotar lo máximo posible la captura, para no tener demasiada información no relevante.
Todos esos paquetes los fuimos logeando en archivos de texto, que al final destruimos,
ya que esto era solo una prueba inicial de manejo de sniffers.

Prueba 1 – ISP Begin

Esta prueba consistia en capturar todos los paquetes que envia un MODEM a la
hora de iniciar una conexión a internet. La realizamos desde casa de uno de los
componentes del grupo, que tenían un módem a 56 K.
Los paquetes que se capturan son los que se mandan (y se reciben) del ISP. En
estos paquetes solo se puede ver en texto plano la dirección que te asigna el ISP y la del
nodo a la que te conectas.
La información relativa al nombre de usuario y clave no son reconocibles, por lo
que suponemos que se encriptarán de alguna manera.
El analizador de protocolos que utilizamos fue el Ethereal (para Windows)
versión 0.9.3.
 24

Prueba 2 – HTTP E-MAIL

La segunda prueba consistia en averiguar los paquetes que se enviaban en el
momento de mirar nuestra dirección de correo. Esta prueba también fue realizada desde
casa, y con nuestra propia cuenta de correo, porque así ya sabemos nuestro login y
password y podemos compararlos con los capturados mediante el sniffer.
El proveedor de servicios de correo elegido fue Yahoo (www.yahoo.es). Los
resultados fueron los siguientes:

- A pesar de que no utilizan una conexión segura para el envio de información,

los datos de nombre de usuario y clave van encriptados. Por ejemplo, para el nombre de
usuario que nosotros le pusimos: “omp_soy” se envia la siguiente información:
“B8j3j9p0uf1nl0”.
- El mecanismo de encriptación lo consiguen mediante la implementación de un
algoritmo en JavaScript. Un método posible sería que Yahoo encriptase nuestro
password junto con la clave pública de Yahoo y mezclase ambos de alguna forma
mediante un algoritmo, para luego enviarlo al servidor de Yahoo. No sabemos qué
mecanismo utiliza Yahoo exactamente, pero el anterior sería bastante seguro, a nuestro
juicio.
- A la hora de ver el correo tampoco utilizan una conexión segura, por lo que
suponemos que utilizan el mismo método que para enviar el nombre de usuario y clave.
De igual manera que antes se que se pueden ver todos los datos encriptados.
 25

- Hay una opción en Yahoo Mail que permite utilizar una conexión segura,
mediante HTTPS, con lo que los datos se envían cifrados. Esta opción la recomendamos
a todos, porque es una forma de protegerse contra los sniffers.

Prueba 3 - FTP
En esta prueba lo que pretendíamos era ver como se enviaban los datos por
medio de una conexión por FTP.
En un principio se ven todos los paquetes necesarios para iniciar la conexión y a
la hora de enviar los datos de usuario se mandan sin encriptar. Son reconocibles sin
ningun tipo de complicación, tanto el nombre de usuario como la clave.
Otra cosa que aprendimos con esta prueba es que el nombre de usuario y clave
siempre se mandan en los 300 primeros bytes. Esto es importante, ya que los sniffers se
pueden configurar para que capturen un determinado volumen de datos, por lo que si
solo nos interesa los datos del usuario (nombre y clave) ahorramos tiempo en la captura.
Esto ocurre en todas las conexiones. Esta prueba la realizamos en el Laboratorio

Prueba 4 - TELNET
Realizamos la misma prueba que la anterior en el Laboratorio del piso 3 en
clases de Prácticas de la Asignatura SSI, pero esta vez con una conexión por TELNET.
Los resultados obtenidos son iguales que en la anterior de FTP, es decir, se ve
sin ningun tipo de impedimento el nombre de usuario y clave.

CONCLUSIÓN Y VALORACIÓN DE LAS PRUEBAS.

Una vez realizadas las pruebas prácticas, nos hemos dado cuenta de la gran
vulnerabilidad que presentan sistemas como telnet, e incluso ftp o http; ya que envían
los logins y passwords sin cifrar, en texto claro, a través de la Red. Si un hacker o
atacante en general, colocase un sniffer en el lugar adecuado, lo cual no es tan
complicado, como se ve a lo largo de todo este trabajo, la seguridad se pone en peligro.

Si tuviésemos que implementar sistemas seguros, como alternativa es mejor utilizar el

cifrado siempre que sea posible, ya que, aunque el password sea interceptado, el
atacante no lo entenderá a primera vista, y nuestra seguridad será mucho mayor.

Tenemos que tener cuidado con la información importante que mandamos a través de
Internet, porque existen programas que se infiltran y espían nuestras comunicaciones.
 26

10 .DICCIONARIO

Hemos pensado crear un diccionario con términos necesarios para comprender muchas
partes del trabajo, ya que puede ser de gran ayuda para aquellas personas que sean
nuevas en el tema e incluso para las que tengan pocos conocimientos informáticos.

ASCII: se trata de un código con el que se codifican los caracteres (texto, números,
signos de puntuación,...etc). Cada uno de ellos tendrá asignado un código de 8 bits (bit:
unidad mínima de información, 0 o 1)

CADENA: es una consecución de caracteres de texto, dígitos numéricos, signos de

puntuación o espacios en blanco consecutivos.

CHAT: se trata de conversaciones escritas en Internet. Mediante una conexión a la red

y un programa especial, es posible conversar (mediante texto escrito) con un conjunto
ilimitado de personas, al mismo tiempo

CLAVE (del Registro): el Registro de Windows (Registry) es un elemento en el que se

guardan las especificaciones de configuración del ordenador, mediante valores o claves.
Estas claves cambiarán de valor, y/o se crearán, cuando se instalen nuevos programas o
se altere la configuración del sistema. Los virus pueden modificar estas claves para
producir efectos dañinos.

CLICK RATE
Frecuencia con la que los visitantes de un sitio web pulsan sobre un anuncio,
normalmente un banner, mostrado en una página.
COOKIES
Archivo de texto en la memoria del cliente del cual se sirven los servidores Web para
guardar información acerca del visitante de un sitio. La información relativa a
determinado sitio sólo la puede leer quien escribió la informació. Sirve para identificar a
visitantes recurrentes. Es un archivo de texto que se introduce en el disco duro al visitar
un sitio web. La próxima vez que volvamos a visitar ese mismo sitio, él buscará la web
que le ayudará a recordar quien eres tú, cuales son tus preferencias, que has hecho otras
veces que has visitado la web, que habías comprado, etc...

CYBERSQUATTING
Es el término utilizado en Internet para referirse a la acción de registrar un dominio
basándose en un nombre del cual no se tiene ningún derecho, como en el caso de una
marca registrada o del nombre artístico de una figura popular. En la mayoría de los
casos, estos dominios son registrados con el único fin de ser revendidos a las personas o
empresas que realmente tienen derechos sobre los mismos.
DEBUG: programa que permite la edición y creación de otros programas escritos en
lenguajes como Ensamblador (no lenguajes de alto nivel). También hace posible la
investigación del código interno en cualquier fichero.
 27

DIRECTORIO, CARPETA: estos dos términos hacen referencia al mismo concepto. Se

trata de divisiones (no físicas) en cualquier tipo de disco donde son almacenamos
determinados ficheros. Forman parte de una manera de organizar la información del
disco, guardando los documentos como si de una carpeta clasificadora se tratase.

FICHEROS SCR: son los denominados ficheros de Script. Su extensión es SCR y

sirven para determinar los parámetros ("condiciones") con los que se deben ejecutar
unos determinados programas. Permiten iniciar un programa con unas pautas fijadas de
antemano.

FIREWALL Cortafuegos.
Programa que sirve para filtrar lo que entra y sale de un sistema conectado a una red.
Los filtros se pueden hacer por: contenido, es decir, por cantidad de información; por
origen: impidiendo lo que llega desde direcciones IP desconocidas o no autorizadas y
por tipo de archivos, rechazando los de determinadas extensiones, por tener estas, por
ejemplo, la posibilidad de transmitir virus.

GUSANO: es programa similar a un virus que se diferencia de éste en su forma de

realizar las infecciones. Mientras que los virus intentan infectar a otros programas
copiándose dentro de ellos, los gusanos solamente realizan copias de ellos mismos.

INTERRUPCION: es una señal mediante la cual se consigue hacer una pausa

momentánea en las labores que se encuentra ejecutando el cerebro del ordenador (el
microprocesador). Cuando ésta tiene lugar el micro abandona las operaciones que estaba
realizando y pasa a ejecutar las acciones u operaciones que requiere el tipo de
interrupción requerida. Respecto a cada una de ellas, existe un nivel de jerarquías para
aceptar unas antes que otras o para que unas permitan interrumpir a las otras. Cuando se
han realizado las acciones correspondientes a un tipo de interrupción aceptada, el
microprocesador continúa con la tarea que abandonó en su momento.

IRC: es una de las posibilidades que permite Internet. Mediante el IRC se pueden
mantener conversaciones escritas, en tiempo real, entre varios usuarios conectados a un
canal de comunicaciones disponible en Internet.

JAVA: se trata de uno de los lenguajes de programación con el que se pueden crear
páginas Web.

NETIQUETTE
Conjunto de normas de comportamiento que rigen una conducto adecuada en Internet.

Rastreadores con topología de red HUB

Capturar el tráfico de una red mediante la instalación de un rastreador (sniffer) genérico,
Iris. Posteriormente se utilizarán rastreadores especializados en contraseñas y en
espionaje de actividad (dsniff, webspy, urlsnarf). Finalmente, se comprobará la
detección de los rastreadores funcionando en la red mediante el uso de técnicas de anti-
sniff (AntiSniff).
Rastreadores con topología de red SWITCH
Secuestro de sesiones y captura de tráfico entre dos estaciones en una topología
 28

REFERENCIAS, ENLACES, SALTOS, LINKS: cada uno de estos cuatro conceptos se

puede definir también como un hiperenlace. Con ello nos referimos a determinados
elementos (texto, imágenes, botones) y/o secciones de un documento HTML (una
página Web). Pinchando en ellos con el puntero del ratón, el usuario se conectará
(saltará o accederá) a otra página diferente o a una sección de la misma página en la que
ya se encontraba.

SISTEMA OPERATIVO (S.O.): existen dos términos muy utilizados en informática.

Estos son los conceptos de hardware y software. El primero de ellos se refiere a todo lo
que es físico y tangible en el ordenador, como unidades de disco, tarjetas gráficas,
microprocesador, memoria,...etc. Por otro lado está el software que se define como el
conjunto de programas (o información) con la que puede trabajar el hardware (ficheros,
directorios, programas ejecutables, bases de datos, controladores,...etc.). Pues bien, el
sistema operativo pertenece al software y más concretamente es el conjunto de
programas (y ficheros o archivos de otro tipo) que permite que se pueda utilizar el
hardware. Se puede tener el mejor ordenador del mundo (el mejor hardware), pero si
éste no tiene instalado un sistema operativo, no funcionará (ni siquiera se podrá
encender).Algunos ejemplos de sistemas operativos son: MS/DOS, UNIX, OS/2,
Windows 95/98/2000/NT,...etc.

SPAM o (Correo basura)

Cualquier tipo de e-mail no solicitado. Hacer spam es enviar e-mail a usuarios que NO
nos han proporcionado previamente su dirección de correo electrónico. Es una práctica
muy mal considerada por los
SSL (Secure Socket Layer)
Sistema que permite que la información viaje encriptada evitándose que puede ser leída
por sniffers u otros recursos. Es el método que permite garantizar una alta seguridad en
el comercio electrónico. Gracias a él, el comerciante ni tan siquiera conoce el número de
tarjeta de crédito del comprador online
TROYANO: los troyanos no se pueden considerar virus ya que no se replican o no
hacen copias de sí mismos. En realidad son programas que llegan a un ordenador de
forma totalmente normal y no producen efectos realmente visibles o apreciables (por lo
menos en ese momento). Pueden llegar acompañados de otros programas y se instalan
en nuestro ordenador. Al activarse puede dejar huecos en nuestro sistema, a través de
los cuales se producen intrusiones.

WEBMASTER
Persona responsable del mantenimiento de un sitio web.
 29

11. LIBRO DE DIRECCIONES

Aquí hemos incluido unas referencias a Internet que consideramos son imprescindibles
para buscar y ampliar información sobre sniffers y temas afines. Para realizar este
trabajo, nosotros las hemos revisado todas, y creemos que es muy útil el ampliar
información sobre cualquier tema usando Internet.

sniffers
http://www.epita.fr/~lse/xipdump/
http://www-serra.unipi.it/~ntop/
http://wwwhome.cs.utwente.nl/~schoenw/scotty/
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html
http://www.ethereal.com/
http://www.l0pht.com/antisniff/
http://jarok.cs.ohiou.edu/software/tcptrace/tcptrace.html
http://ee.lbl.gov/ ->TCPdump
www.spectorsoft.com
www.winwhatwhere.com
www.silentrunner.com
Encriptación de correo electrónico
www.pgpi.com
www.openpgp.org
www.hushmail.com
www.arnal.es/free/cripto/pgp/trabaja.htm
Criptografía y Seguridad
aecsi.rediris.es
www.iec.csic.es/criptonomicon/
www.hispasec.com
www.kriptopolis.com
Navegar anónimamente
www.anonymizer.com
www.safeweb.com
Contraespionaje
www.zonelabs.com
www.bugnosis.com
Agencia de protección de datos
www.agenciaprotecciondatos.org
Asociación de usuarios de Internet
www.aui.es
Asociación de internautas
www.internautas.org
Delitos informáticos
www.delitosinformaticos.com
Derecho informático
www.ctv.es/USERS/chiri/home.htm
 30

12. CONCLUSIONES FINALES

Es conveniente tener una doble actitud con respecto a los Sniffers. Por una
parte, es aconsejable explotar su valor, ya que los sniffers son herramientas
indispensables para diagnosticar problemas de red o para estar al tanto de las acciones
de los usuarios. Pero, por otra parte, es recomendable emplear todos los medios posibles
para asegurarse de que determinados usuarios no instalan sniffers en equipos donde
puedan ser peligrosos.

La principal característica de un Sniffer es su capacidad para interactuar con la

tarjeta de red y guardar los registros en un archivo o en una salida predeterminada, esto
le brinda un gran potencial como herramienta de auditoría, sin embargo también puede
ser un arma potencialmente destructiva en manos equivocadas.

No hay que pensar que los sniffers por sí mismos hacen de Internet una red
insegura. Solo es necesario tener conciencia de donde está el riesgo, cuándo se corre
peligro y qué hacer para estar a salvo.

Cuando te han robado la tarjeta de crédito o desconfías de que alguien puede

estarla utilizando indebidamente, cancela la tarjeta y solicita otra. De esta forma, como
las claves pueden ser robadas, es fundamental cambiarlas con cierta frecuencia. Esta
precaución limita la cantidad de tiempo que una clave robada pueda ser utilizada por un
atacante.

Nunca compartas tu clave con otros. Esta compartición hace más difícil saber
donde está siendo utilizada su clave (y expuesta) y es más difícil detectar un uso no
autorizado.Nunca le des la clave a alguien que alega necesitarla para acceder a su cuenta
para corregir algún problema o investigar algún problema del sistema. Este truco es uno
de los métodos más eficaces de hacking, conocido como “ingeniería social”.

La mejor defensa contra los sniffers sigue siendo la criptografía. Sin embargo,es
posible que los usuarios sean reticentes a utilizar el cifrado, ya que pueden considerarlo
demasiado problemático. Por ejemplo, es difícil acostumbrar a los usuarios a utilizar
S/Key (u otro sistema de contraseñas que se escriben una sola vez) cada vez que se
conectan al servidor. Sin embargo, existe una solución salomónica: aplicaciones que
admiten cifrado bidireccional fuerte y también ofrecen cierto nivel de sencillez.

Para protegerse de los sniffers, lo primero es concerlos,y eso es lo que

pretendíamos con este trabajo. Aunque inicialmente el trabajo propuesto por el profesor
en clases era sólo sobre el Ethereal, hemos decido ampliar el campo y hablar sobre otros
muchos sniffers existentes, porque creemos que enriquece al trabajo y ayuda a
entenderlo mejor. Además, las pruebas prácticas fueron muy interesantes ya que se vio
en la misma Facultad y en nuestras casas cómo funcionaban los sniffers.

Mediante las continuas referencias a páginas Web a lo largo de todo el trabajo

damos opciones a ampliar conocimientos usando Internet y dejamos constancia del
trabajo de investigación y aplicación realizado.

Los autores, 3 de Junio de 2002