Instituto de Educación Superior: “Juan Jeuzel”

Carrera: Técnico Superior en Soporte de la Infraestructura de

Tecnología de la Información.

Título: Trabajo Práctico Nº VI: Sniffers.

Materia: Seguridad Informática.
Integrantes:
 TOLEDO, Camila Aldana.
 TOLEDO, Carolina Andrea.

Profesor: SUAREZ, David Hernán.

Año: 2018.
 Trabajo Práctico Nº 6 de Seguridad Informática I: Sniffers
1) ¿Qué es un sniffers? De ejemplos varios de sniffers.

Cuando hablamos de sniffers nos estamos refiriendo a aplicaciones que son capaces de
hacer que la tarjeta de red entre en lo que se denomina modo promiscuo es decir que van
a aceptar, van a capturar cualquier tráfico y cualquier paquete que pase por ella.

Ejemplos: algunos ejemplos de sniffers son Tcpdan, wireshark, Tcpflow

2) Describa el funcionamiento de Wiresharks.

Wiresharks funciona controlando el tráfico de red, capturando paquetes de información.

3) ¿Qué tipo de paquetes muestra Wiresharks?

Los tipos de paquetes que muestra wiresharks son: Multicast, Menbership, IPv6, Router,
Standartr.

4) Describa el funcionamiento básico del switch.

El modo de funcionamiento por defecto de una tarjeta de red es aceptar solamente los
paquetes que van dirigidas a ellas, su dirección Mac o van en difusión.

5) ¿Qué tipo de tráfico llega a todos los hosts de una red?

El tipo de tráfico que llega a todos los hosts de una red, es el tráfico de Difusión; ya que
por más que se envié información a una sola máquina, de igual manera llegara a todas las
demás que estén conectadas al mismo switch.

6) Describa cómo funciona el protocolo ARP ¿Qué problema soluciona?

Consiste en engañar a las maquinas que queremos vigilar para que nos envíen a nosotros
como atacantes el tráfico.

Este protocolo funciona enviando un pin a través de difusión para buscar la Mac de
destino de la máquina que desea saber la información.

7) ¿Cuál es el fallo de seguridad que posee el protocolo ARP?

El fallo de seguridad que posee el protocolo ARP es ARP Spoofing.

8) Describa gráficamente el funcionamiento de ARP Spoofing.

El ataque de ARP Spoofing viene a modificar el flujo de los datos enviados desde un PC
Víctima que pasa a través de un Gateway para hacer un ataque de tipo MITM (Man in the
Middle) consiguiendo que el tráfico de la víctima pase por una máquina Atacante de
forma inocua para la víctima. De esta forma, el flujo de tráfico normal para la víctima sería
el siguiente:

El sistema Atacante, que se debe encontrar en la misma red que la víctima, va a conseguir
que el flujo de tráfico anterior se transforme.

El atacante conseguirá de esta forma colocarse en medio del tráfico pudiendo examinar
todo lo que acontece entre la máquina Víctima y el Gateway.

9) Describa el funcionamiento de Ettercap.

El Ettercap trabaja poniendo interfaz de red en el modo promiscuo y por ARP que
envenena las maquinas objetivo. Así puede servir de un hombre en el medio y soltar
varios ataques contra víctimas. Ettercap tiene el apoyo enchufable de modo que los rasgos
se puedan ampliar añadiendo nuevos enchufes e unión.

Otros funcionamientos que podemos tener en cuenta son:

 Inyección de caracteres en una conexión establecida emulando comandos o

respuestas mientras la conexión esta activa.
  Compatibilidad con SSH1: puede interceptar users y passwords incluso en
conexiones seguras con SSH.
 Compatibilidad con HTTPS: intercepta conexiones mediante http SSL, incluso si se
establecen a través de un proxy.
 Intercepta trafico remoto mediante un túnel GRE: si la conexión se establece
mediante un túnel GRE con un router Cisco, puede interceptar y crear un ataque
MAN IN THE MIDDLE.
10) ¿Para utilizar Ettercap el atacante debe estar dentro de la LAN o fuera de la LAN?

Para utilizar Ettercap el atacante debe estar dentro de la LAN, ya que este envía los
mensajes ARP Spoofed o falsos por medio de la Red Local Interna. Se denomina Sniffing a
la técnica utilizada para capturar todo el tráfico generado en una red local, esto incluye las
conexiones propias y de los demás equipos.

11) Describa gráficamente el MAN IN THE MIDLE a través de Ettercap.

El Man In the Middle (MITM), es una técnica en la que el atacante actúa como
intermediario entre dos hosts para poder leer, insertar y modificar a voluntad el tráfico
entre las dos máquinas, sin que ninguna de las dos se dé cuenta de que se está haciendo.
Sirve también como medio para realizar otros ataques.

Funciona envenenando la caché ARP de los host para hacerles creer que nuestra dirección
física (MAC) es a la que deben enviar información.

Si ya contamos con una distribución de Kali podemos usarla para realizar este ataque
mediante Ettercap que viene instalado, o podemos instalar Ettercap en una distribución
de Linux.
MAN IN THE MIDDLE ejecutado a través de Ettercap:
 12) Describa el uso de Ettercap para lograr un MAN IN THE MIDLE.

Si utilizamos el Ettercap podemos lograr un Man In The Middle, este ataque para
interceptar tráfico entre dos máquinas de una red para luego analizarlo. Estos ataques son
útiles para muchas cosas, podemos usarlo para probar la seguridad de nuestra red y la de
aplicaciones; interceptar contraseñas enviadas en texto plano y nombres de usuario.
También, se puede usar filtros y plugins como colectores de contraseñas en muchos
protocolos, como el FTP entre otros.

Un ataque Man In The Middle consiste básicamente en poner tu ordenador en el medio

de una conexión interceptando todos los paquetes, por ejemplo de una red interna como
un router que da acceso a internet a varios ordenadores, van en doble sentido, hay
paquetes pasando desde el router al ordenador y viceversa.

Además, el Ettercap está diseñado para encontrar el tráfico de internet, usuarios y

contraseñas.

FTP es un protocolo seguro que todo lo envía en plano, y ettercap ha sido capaz de
determinar que el usuario es curso y la contraseña es seguridad que se tenía configurada.
Además, en el Wiresharks vemos todo el tráfico FTP que se ha intercambiado entre el
origen y el destino. Una vez encontrado el tráfico FTP debemos reconstruir la sección de
ese tráfico simplemente pulsando el botón derecho “Follow TCP Stream”, y vemos que el
Wiresharks ha sido capaz de capturar el contenido del archivo importante TCP Stream que
se estaba enviado a través de la red, todo desde una máquina como Kali Linux que
inicialmente no hubiese tenido que recibir ese tráfico porque se encuentra en un puerto
de switch diferente y con esta demostración hemos visto lo inseguro que es un tráfico FTP,
TCP, HTTP y muchos otros tráficos que intercambiamos en internet. Este tipo de ataques
está basado en ARP Spoofing que puede funcionar dentro de la red local puesto que el
tráfico FTP, es un tráfico que se envía en difusión a cualquier router lo que haría ese
tráfico, en cualquier caso hay que tener en cuenta ese tipo de ataques aunque solamente
puedan llevarse a cabo dentro de una red local porque precisamente la red local es donde
podemos encontrarnos con muchos problemas de seguridad que no hubiésemos previsto.