UNIVERSIDAD TECNOLGICA DE LOS ANDES

CARRERA PROFESIONAL DE ING. DE SISTEMAS E INFORMTICA

SNIFFERS
DOCENTE :
ESTUDIANTES:

ING. YURI RAMOS HUAMAN

ANARA APAZA, yimer
MOREANO TAIPE, ericson

DEFINICIN
La palabra sniffer, proviene de la palabra inglesa sniff que
significa oler; por lo tanto un sniffer es aquel que percibe
o husmea .
En base a esto, tcnicamente un sniffer es un programa
informtico que registra la informacin que envan los
perifricos de una red para poder monitorear la actividad
de un determinado ordenador.

FUNCIN
La funcin principal que realiza un sniffer dentro de un
ordenador es la de obtener cualquier tipos de informacin
de la red, tal como: cuentas, password, IP, MAC, etc.

FUNCIN
Un sniffer vista desde un punto de vista positivo, cumple
la funcin de monitoreo para capturar las tramas enviadas
en una red y de esa forma analizar si existe informacin
que viaja en la red en texto plano, esto es informacin sin
cifrado.
Desde un punto de vista negativo, un sniffer puede
convertirse en un arma de doble filo, especialmente si es
manejado por personas con propsitos de robo de
informacin.

USO
Para el uso adecuado de un sniffer es primordial dejar a la
NIC en un estado promiscuo; es decir, que la NIC va a
capturar todo el trafico que existe en la red, sea este
deseado o no deseado.
Una vez realizado esto, la NIC podr capturar todo tipo de
informacin que este en la red, inclusive aquella que no es
de su incumbencia.

USO
Utilidades
Son muchas las utilidades que se dan a los sniffers, los ms
importantes son:

Captura de contraseas.
Anlisis de fallos.

Medicin de trfico.
Anlisis de informacin.

UTILIDAD COMO CAPTURA DE CONTRASEAS

Un sniffer realiza la captura de contraseas que no estn
cifradas, las cuales viajan en el flujo de red.
Este uso es el ms popular que lo realizan los atacantes
informticos (hackers)

Utilidad como anlisis de fallos

Permiten descubrir problemas existentes en una red, tales
como, el porque un host A no puede establecer
comunicacin con un host B.

UTILIDAD COMO MEDICIN DE TRFICO

Permiten descubrir la existencia de cuellos de botella en
algn lugar de la red.
Como su nombre lo dice un cuello de botella es aquel lugar
de la red donde existe una disminucin de trfico de
informacin.

UTILIDAD COMO ANLISIS DE INFORMACIN

Este uso es de mucha importancia por los desarrolladores
de aplicaciones cliente-servidor, ya que de esta forma es
posible conocer el tipo de informacin real que se
transmite por la red.

TIPOS
Existen dos tipos de sniffers:
- Sniffers comerciales
Son usados con fines de monitoreo y control para tomar
medidas de seguridad en una red.
Algunos de los ms conocidos son:

Ettercap.
Kismet.
Tcpdump.
Wireshark

- Sniffers underground

Son usados con fines delictivos; es decir, robo de

informacin.

Tipos
Ettercap
Es un interceptor, sniffer y registrador para redes LAN con
switch.
Soporta las direcciones activas y pasivas de varios
protocolos incluyendo a los protocolos cifrados como: SSH.

Permite identificar ataques de

spoofing (robo de identidad)

Tipos
Kismet
Es un husmeador de paquetes y un sistema de deteccin de
intrusos para redes inalmbricas.
Kismet funciona con cualquier tarjeta inalmbrica que
soporte el modo de monitorizacin raw.

Tipos
Tcpdump
Es una herramienta de consola cuya utilidad principal es
analizar el trfico de informacin que existe en una red.
Permite capturar y mostrar a tiempo real los paquetes
transmitidos y recibidos en la red.

Tipos
Wireshark
Conocido como Ethereal, es un analizador de protocolos
utilizado para realizar el anlisis y solucionar problemas de
red, es una herramienta desarrollada con fines educativos.

DETECCIN
Visto desde una punto de vista negativo, los sniffers son
programas informticos difciles de detectar y combatir, ya
que estos por lo general trabajan en modo pasivo.
Las tcnicas usadas para la deteccin no son fiables aunque
por lo general suponen un gran aproximacin al
descubrimiento de este tipo de software en una red.

DETECCIN
Tcnicas de deteccin.
Las tcnicas ms conocidas con:
Test DNS.
Test ping.
Test ICMP ping de latencia.
Test ARP.
Test Etherping.

Test DNS
Se crean numerosas conexiones TCP falsas en un
segmento de red, esperando que un posible sniffer
instalado atrape estas conexiones y resuelva la direccin IP
de los hosts inexistentes.

Test ping
Se puede realizar una peticin tipo ICMP echo
con la direccin IP de la mquina que se sospecha que
tiene un sniffer instalado, pero con una direccin
MAC errnea.
La mayora de los sistemas desatendern esta peticin
ya que se trata de un equipo con una MAC inexistente,
pero al existir un sniffer este aceptar dicho paquete
como legtimo y por consiguiente responder a la
peticin.

Test ICMP ping de latencia

Esta tcnica se la realiza con un ping al blanco y
anotando el Round Trip Time (RTT Retardo de ida y
vuelta o tiempo de latencia).
Se crea muchas conexiones falsas con un tiempo muy
corto.
Se espera que es sniffer procese estos paquetes y de
existir uno, el tiempo de latencia incrementar con
relacin a la primera medida.

Test ARP
Se puede enviar una peticin ARP a un host
sospechoso, con toda la informacin posible excepto la
de una direccin MAC verdadera.
Si existe un sniffer en la mquina destino, esta
contestar; caso contrario no lo har ya que se est
enviando un paquete con una direccin MAC que no le
pertenece.

Prevencin
Para evitar que los sniffers cumplan con su principal
objetivo que es el de olfatear las contraseas y en general
todo tipo de informacin sin cifrado, se deben utilizar
tcnicas o sistemas conocidos por brindar mayor seguridad
tales como:
SSL
SSH

Test Ethernet ping

Se enva un ping echo al host a ser testeado, usando
una IP de destino correcta y una MAC falsa.
Si el host responde se concluye que en dicho host
destino reside un sniffer activo.

seleccionamos nuestro adaptador de red, y en la

pestaa "APR (Arp Poison Routing)" tenemos
opciones de utilizar
nuestras direcciones IP y MAC reales, o spoofearlas:

seleccionamos nuestro adaptador de red, y en la

pestaa "APR (Arp Poison Routing)" tenemos
opciones de utilizar
nuestras direcciones IP y MAC reales, o spoofearlas:

 Bien, una vez hecho sto, clickeamos en

<Aceptar> y tendremos frente a nosotros a Can.

Hoy sniffaremos de todo lo que salga, Contraseas
Encriptadas, Texto Plano, Ftp, Http, Myspace, Hi5,
etc.,.
Venga, nos vamos a la Pestaa Superior "Sniffer" y
luego a la Pestaa inferior "Hosts", Una vez ah,
Arrancamos el Sniffer, Cmo?, pues en el
Segundo botn que aparece arriba, al lado de una
carpeta:

 Listo, ahora Hacemos click secundario sobre Can y seleccionamos

"Scan Mac Addresses" como en la Imagen:

 Esto buscar direcciones MAC de ordenadores en

nuestra Red, as que esperamos...

Pasado un tiempo, Can ya habr escaneado toda la Red, as que

seleccionamos las direcciones IP de los "Targets" u
objetivos que queremos sniffar, para eso nos vamos a la pestaa
inferior "APR" y clickeamos sobre el botn "Add to
list":

Acto seguido aparecer una ventana doble, En la

izquierda seleccionamos el objetivo "A" de la lista de
IPs, sto
llenar el lado derecho con otras direcciones IP, en ese
lado debemos seleccionar la IP del objetivo "B" (El
Gateway),
Justo como un 'Man In The Middle':

Nota:: Si ests en una red concentrada (Conectada por Hubs),

no es necesario envenenar las tablas ARP de nadie, ya
que los paquetes llegan solos, en cambio, si ests en una red
conmutada (Switch), s es necesario envenenar las
tablas ARP de la red.
Hecho esto, debemos empezar a envenenar las tablas ARP de
nuestra Red (porque estoy bajo un Switch, mi red es
conmutada), para eso hacemos click sobre el botn amarillo de
"APR", marcado en la Imagen, tambin he marcado
en azl la indicacin de Can de que est "Poisoning" es decir,
envenenando:

Ya ha empezado el ataque, ya slo nos queda tomarnos

un caf, ligar con una ta y esperar a que nuestra vctima
introduzca todas sus contraseas como lo hara todos los
das, ya que no se dar cuenta del envenenamiento...
Slo 2 minutos despus, revisemos el resultado de Can,
para eso nos dirigimos a la pestaa superior Sniffer y a la
pestaa inferior Passwords...

Les recomiendo que cuando se encuentren sniffando no

abran en sus ordenadores pginas ni ningn tipo de
conexiones, ya que sto les dificultar ms el trabajo,
recuerden que estamos "Husmeando" los paquetes que
llegan
a nuestra tarjeta de Red,