SNIFFERS

SNIFFERS
 Definición.
 Función.
 Uso.
 Utilidades.
 Tipos.
 Detección.
 Técnicas de detección
 Prevención.
 Conclusiones.
SNIFFERS. Definición
La palabra sniffer, proviene de la palabra inglesa sniff
que significa oler; por lo tanto un sniffer es aquel que
percibe o husmea .

En base a esto, técnicamente un sniffer es un

programa informático que registra la información que
envían los periféricos de una red para poder
monitorear la actividad de un determinado ordenador.
SNIFFERS. Función.
La función principal que realiza un sniffer dentro de
un ordenador es la de obtener cualquier tipos de
información de la red, tal como: cuentas, password,
IP, MAC, etc.
SNIFFERS. Función
Un sniffer vista desde un punto de vista positivo,
cumple la función de monitoreo para capturar las
tramas enviadas en una red y de esa forma analizar si
existe información que viaja en la red en texto plano,
esto es información sin cifrado.

Desde un punto de vista negativo, un sniffer puede

convertirse en un arma de doble filo, especialmente si
es manejado por personas con propósitos de robo de
información.
SNIFFERS. Uso
Para el uso adecuado de un sniffer es primordial
dejar a la NIC en un estado promiscuo; es decir, que
la NIC va a capturar todo el trafico que existe en la
red, sea este deseado o no deseado.

Una vez realizado esto, la NIC podrá capturar todo

tipo de información que este en la red, inclusive
aquella que no es de su incumbencia.
SNIFFERS. Uso
Utilidades
Son muchas las utilidades que se dan a los sniffers,
los más importantes son:

 Captura de contraseñas.
 Análisis de fallos.
 Medición de tráfico.
 Análisis de información.
SNIFFERS. Uso
Utilidad como captura de contraseñas.
Un sniffer realiza la captura de contraseñas que no
estén cifradas, las cuales viajan en el flujo de red.

Este uso es el más popular que lo realizan los

atacantes informáticos (hackers)
SNIFFERS. Uso
Utilidad como análisis de fallos.
Permiten descubrir problemas existentes en una red,
tales como, el porque un host A no puede establecer
comunicación con un host B.
SNIFFERS. Uso
Utilidad como medición de tráfico.
Permiten descubrir la existencia de cuellos de botella
en algún lugar de la red.

Como su nombre lo dice un cuello de botella es aquel

lugar de la red donde existe una disminución de
tráfico de información.
SNIFFERS. Uso
Utilidad como análisis de información.
Este uso es de mucha importancia por los
desarrolladores de aplicaciones cliente-servidor, ya
que de esta forma es posible conocer el tipo de
información real que se transmite por la red.
SNIFFERS. Tipos
Existen dos tipos de sniffers:
- Sniffers comerciales
Son usados con fines de monitoreo y control para tomar medidas
de seguridad en una red.
Algunos de los más conocidos son:
○ Ettercap.
○ Kismet.
○ Tcpdump.
○ Wireshark

- Sniffers underground.
Son usados con fines delictivos; es decir, robo de información.
SNIFFERS. Tipos
Ettercap.
Es un interceptor, sniffer y registrador para redes
LAN con switch.

Soporta las direcciones activas y pasivas de varios

protocolos incluyendo a los protocolos cifrados
como: SSH.

Permite identificar ataques de spoofing (robo de

identidad)
SNIFFERS. Tipos
Kismet.
Es un husmeador de paquetes y un sistema de
detección de intrusos para redes inalámbricas.
Kismet funciona con cualquier tarjetá inalámbrica
que soporte el modo de monitorización raw.
SNIFFERS. Tipos
Tcpdump.
Es una herramienta de consola cuya utilidad principal
es analizar el tráfico de información que existe en
una red.

Permite capturar y mostrar a tiempo real los paquetes

transmitidos y recibidos en la red.
SNIFFERS. Tipos
Wireshark.
Conocido como Ethereal, es un analizador de
protocolos utilizado para realizar el análisis y
solucionar problemas de red, es una herramienta
desarrollada con fines educativos.
SNIFFERS. Detección
Visto desde una punto de vista negativo, los sniffers
son programas informáticos difíciles de detectar y
combatir, ya que estos por lo general trabajan en
modo pasivo.

Las técnicas usadas para la detección no son fiables

aunque por lo general suponen un gran aproximación
al descubrimiento de este tipo de software en una red.
SNIFFERS. Detección
Técnicas de detección.
Las técnicas más conocidas con:

 Test DNS.
 Test ping.
 Test ICMP ping de latencia.
 Test ARP.
 Test Etherping.
SNIFFERS. Detección
Técnica de detección Test DNS
Se crean numerosas conexiones TCP falsas en un
segmento de red, esperando que un posible sniffer
instalado atrape estas conexiones y resuelva la
dirección IP de los hosts inexistentes.
SNIFFERS. Detección
Técnica de detección Test ping.
Se puede realizar una petición tipo “ICMP echo” con la
dirección IP de la máquina que se sospecha que tiene un
sniffer instalado, pero con una dirección MAC errónea.

La mayoría de los sistemas desatenderán esta petición ya

que se trata de un equipo con una MAC inexistente, pero
al existir un sniffer este aceptará dicho paquete como
legítimo y por consiguiente responderá a la petición.
SNIFFERS. Detección
Técnicas de detección Test ICMP ping de latencia.
Esta técnica se la realiza con un ping al blanco y
anotando el Round Trip Time (RTT Retardo de ida y
vuelta o tiempo de latencia).

Se crea muchas conexiones falsas con un tiempo muy

corto.

Se espera que es sniffer procese estos paquetes y de

existir uno, el tiempo de latencia incrementará con
relación a la primera medida.
SNIFFERS. Detección
Técnica de detección Test ARP
Se puede enviar una petición ARP a un host sospechoso,
con toda la información posible excepto la de una
dirección MAC verdadera.

Si existe un sniffer en la máquina destino, esta

contestará; caso contrario no lo hará ya que se está
enviando un paquete con una dirección MAC que no le
pertenece.
SNIFFERS. Prevención
Para evitar que los sniffers cumplan con su principal
objetivo que es el de olfatear las contraseñas y en
general todo tipo de información sin cifrado, se
deben utilizar técnicas o sistemas conocidos por
brindar mayor seguridad tales como:

 SSL
 SSH
SNIFFERS. Conclusiones
 Un sniffer es una herramienta de gran utilidad para
la administración de una red.

 Un sniffer permite brindar mayor segurar y

funcionalidad a una red.

 Las dos conclusiones anteriores implican que un

sniffer es una herramienta de doble filo, ya que
algún usuario puede utiliza esta herramienta para
fines inadecuados
SNIFFERS. Detección
Técnica de detección Test Ethernet ping
Se envía un “ping echo” al host a ser testeado, usando
una IP de destino correcta y una MAC falsa.

Si el host responde se concluye que en dicho host destino

reside un sniffer activo.
Preguntas
 ¿Es posible filtrar la información que se
desea monitorear?
 Si, según el tipo de sniffing se podrán filtrar
los paquetes que se desean observar
Preguntas
 ¿Cuáles son los usos del sniffing?
 Detectar y analizar fallos o ingeniería
inversa de protocolos de red. También es
habitual su uso para fines maliciosos, como
robar contraseñas, interceptar mensajes de
correo electrónico, espiar conversaciones de
chat, etc.
Preguntas
 ¿Cómo se implementa el test-ping para
detectar la presencia de sniffer?
 Realiza una petición “ICMP” indicando una
dirección Mac falsa, y la ip del host
sospechoso, usualmente no contesta, a no ser
que posea sniffer.
Preguntas
 ¿Cómo se implementa la técnica de
detección DNS?
 El sniffer residente resuelve conexiones TCP
inconsistentes creadas en un segmento de
red.
Preguntas
 ¿Con que herramientas de seguridad
podemos utilizar internet evitando ser
víctimas de un sniffer?.
 -SSL.
 -SSH.