Jean Mrquez C.I.: 13.731.49 SNIFFER Es un programa de captura de las tramas de red.

Es decir, es una aplicacin de monitorizacin y de anlisis para el trfico de una red para detectar problemas, lo hace buscando cadenas numricas o de caracteres en los paquetes. Se usa especialmente para detectar problemas de congestionamiento (cuellos de botella o bottlenecks). Las computadoras en red, comparten canales de comunicacin. Por estos canales compartidos "viaja" la informacin deseada por alguna computadora conectada a la red, pudiendo pasar dicha informacin por una cantidad N de otras computadoras. Supongamos que un host A desea enviar informacin a otro host B. Un tercero (host C), conectado a la red, puede interceptar ese envo realizado entre los host A y B. El hecho de capturar informacin destinada a otra mquina sobre la red es llamado Sniffing. Una va comn de conectarse entre mquinas es a travs de Ethernet y la forma de transmisin es por medio de "paquetes" de datos. Cada paquete posee un encabezamiento (Header) el cual contiene la direccin del origen y tambin la direccin del destino entre otras cosas. A menos que usemos alguna forma de encriptar los datos, estos sern transmitidos en forma de texto (trabajando en un ambiente de red normal). Decimos que una mquina est en modo promiscuo cuando esta misma captura todos los paquetes independientemente que ellos fueran o no destinados a ella. Los principales usos que se le pueden dar son: Captura de contraseas enviadas sin cifrar y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por atacantes (hackers) para atacar sistemas. Anlisis de fallos para descubrir problemas en la red, tales como: por qu el ordenador A no puede establecer una comunicacin con el ordenador B? Medicin del trfico, mediante el cual es posible descubrir cuellos de botella en algn lugar de la red. Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la informacin real que se transmite por la red.

Algunos sniffers trabajan slo con paquetes de TCP/IP, pero hay otros ms sofisticados que son capaces de trabajar con un nmero ms amplio de protocolos e incluso en niveles ms bajos tal como el de las tramas del Ethernet. Algunos los ms utilizados tenemos los siguientes: Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didctica para educacin. Cuenta con todas las caractersticas estndar de un analizador de protocolos. Ettercap, es un interceptor, sniffer, registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). Tambin hace posible la inyeccin de datos en una conexin establecida y filtrado al vuelo aun manteniendo la conexin sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle (Spoofing). Muchos modos de sniffing fueron implementados para darnos un conjunto de herramientas poderoso y completo de sniffing. Kismet, es un sniffer, un husmeador de paquetes, y un sistema de deteccin de intrusiones para redes inalmbricas 802.11. Kismet funciona con cualquier tarjeta inalmbrica que soporte el modo de monitorizacin raw, y puede rastrear trfico 802.11b, 802.11a y 802.11g. El programa corre bajo Linux, FreeBSD, NetBSD, OpenBSD, y Mac OS X. El cliente puede tambin funcionar en Windows, aunque la nica fuente entrante de paquetes compatible es otra sonda. TCPDUMP, es un herramienta en lnea de comandos cuya utilidad principal es analizar el trfico que circula por la red. Permite al usuario capturar y mostrar a tiempo real los paquetes transmitidos y recibidos en la red a la cual el ordenador est conectado. NWatch es un succionador, pero se puede conceptuar como portuario pasivo del explorador, en que est solamente interesado en trfico del IP y organiza resultados como un explorador portuario. Esto agrega la ventaja de que cualquier herramienta que funcione encendido tal salida (NDiff) puede utilizar los datos. NWatch se diferencia de un explorador portuario real de muchas maneras. Por ejemplo, coger los puertos que se abren solamente transitorio, algo que en un explorador portuario faltara probablemente. Para la seguridad de la red NWatch es un complemento excelente a la puerto-exploracin regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un SIGINT (CTRL-c). Durante ese tiempo mira el

interfaz del defecto (eth0), siguiendo cada combinacin del IP host/port que descubre. En el ltimo caso sera tpicamente til para espiar o quizs muestreo y anlisis de los patrones del uso neto ms bien que supervisin de la seguridad. Un sniffer puede ser de gran utilidad en la administracin de una red, con fines de seguridad y funcionalidad, pero hay que tomar en cuenta de que es una herramienta que puede ser de doble filo, ya que algn usuario puede utilizarla con un fin adecuado y pueda tomar ventaja de esto.