INGENIERÍA DE SEGURIDAD Y

AUDITORÍA INFORMÁTICA

TÉCNICAS DE ATAQUE Y DEFENSA III

SNIFFING

Mg. Ing. Bayron Chávez Bravo

 CONTENIDO

1. Conceptos
2. Metodología
3. Amenazas Sniffing
4. Hackear con Sniffers
5. Defenderse de Sniffers
Wiretapping
• Wiretapping es el proceso de monitorear las
conversaciones por teléfono e internet por una
tercera persona
• Los atacantes conectan un dispositivo de escucha
(hardware, software o la combinación de ambos) al
circuito que lleva la información entre los dos
teléfonos o host en el internet
• Esto permite a un atacante monitorear, interceptar,
acceder y grabar información contenida en un flujo
de datos en un sistema de comunicación
Tipos de Wiretapping
Wiretapping activo Wiretapping pasivo
• Este monitorea, • Esto solo monitorea
graba, modifica y y graba el trafico y
también inyecta algo obtiene
dentro de una conocimiento d los
comunicación o
tráfico datos que esta
contenido

Wiretapping sin una orden es considerado un activo criminal en algunos países

 Packet Sniffing
Detección de Paquetes
• Packet sniffing es el proceso de monitorear y capturar todos los paquetes de
datos que pasan a través de una red
• Este es una forma de wiretapping aplicados a las redes de computadoras
• Los atacantes usan sniffers para capturar paquetes de datos que contienen
información sensible tal como passwords, información de cuentas, etc.
• Los atacantes obtienen la información para leer paquetes de datos no
encriptados
• Cuando un atacante se conecta a un puerto, el puede monitorear todo el tráfico
broadcast a ese puerto y acceder a información sensible disponible en el trafico
no encriptado
Amenazas Sniffing
• Obtener informacion sensible a traves de:
• DNS traffic
• Email traffic
• Web traffic
• Chat Sessions
• FTP passwords
• Router Configuration
• Telnet passwords
• Syslog traffic
¿Cómo trabaja un Sniffer?
• El Sniffer convierte a la NIC de un sistema a modo promiscuo
de tal forma que este escucha todos los datos transmitidos de
su propio segmento

• Un sniffer puede constantemente monitorear todo el trafico de

la red de una computadora a través de la NIC, decodificando la
información encapsulada en el paquete de datos
Tipos de Sniffing Attacks
• MAC Flooding
• DNS Poisoning
• ARP Poisoning
• DHCP Attacks
• Password Sniffing
• Spoofing Attacks
Tipos de Sniffing:
Sniffing Pasivo
• Sniffing pasivo significa sniffing a través de un hub, en un hub
el trafico enviado a todos los puertos
• Esto solo involucra monitorear los paquetes enviados por otros
sin la necesidad de enviar cualquier paquete de datos adicional
en el trafico de la red
• En una red que usa hub para conectar sistemas, todos los host
de una red pueden ver todo el trafico aunque los atacantes
pueden fácilmente capturar trafico a través de un hub
• Hoy en día ya no se usan hubs, las redes modernas usan
switches
Tipos de Sniffing:
Sniffing Activo
• Sniffing activo es usado para sniffing una red basada en switch
• El Sniffing activo involucra injectar paquetes de resolucion de
direcciones (ARP) dentro de una red para inundar la tabla del
switch: CAM (Content Addressable Memory), CAM conserva
las pistas de que host esta conectado a que puerto
Protocolos vulnerables para
Sniffing
• IMAP
los passwords y datos se • SMTP/NNTP
envían en texto claro • FTP
• POP

Las pulsaciones de
• TELNET
teclado incluyen nombres • Rlogin
de usuario y passwords

Datos enviados en texto • HTTP

claro
Vinculados a la Capa de Enlace
de Datos del Modelo OSI
• Los sniffers operan en la capa de enlace de datos del modelo OSI
• Las capas del modelo OSI estan diseñadas para trabajar
independientemente, si un sniffer husmea los datos en la capa de
enlace de datos, las capas superiores no tendrán conocimiento del
problema.
Herramienta Sniffing:
WIRESHARK
• Permite capturar el tráfico de un browse que esta corriendo en una
computadora en la red
• Wireshark usa Winpcap para capturar paquetes
• Este captura el tráfico activo de una red de Ethernet, IEEE 802.11,
PPP/HDLC, ATM, Bluetooth, Token Ring, Frame Relay, redes FDDI
• Los archivos capturados pueden ser editados mediante programación
vía línea de comandos
• Un conjunto de filtros para personalizar la muestra de datos puede ser
refinado usando una muestra filtrada
Follow TCP Stream en
Wireshark
Filtros de visualización en
Wireshark
Filtros de visualización para protocolos
Ejemplo: tipo de protocolo filtrado en el caja de filtro; arp, http, tcp,
udp, dns, ip

Monitorear los puertos específicos

tcp.port==23
ip.addr==192.168.1.100
machine ip.addr==192.168.1.100 && tcp.port==23

Filtros para multiples direcciones IP

ip.addr == 10.0.0.4 or ip.addr == 10.0.0.5
Filtros de visualización en
Wireshark
Otros filtros
ip.dst ==10.0.1.50 && frame.pkt_len > 400
ip.addr == 10.0.1.12 && icmp && frame.number > 15 &&
frame.number < 30
ip.src == 205.153.63.30 or ip.dst == 205.153.63.30

Muestra todos los tcp reset

tcp.flags.reset==1

Muestra todos HTTP GET request

http.request
Filtros de visualización en
Wireshark
Muestra todos los paquetes TCP que contienen la palabra “traffic”
tcp contains traffic

Establece el filtro para el valor HEX de 0x33 0x27 0x58 a cualquier

desplazamiento
udp contains 33:27:58

Muestra todas las retransmisiones en la traza

tcp.analysis. Retransmission

Enmascarar arp, icmp, dns u otro protocolos y te permite ver el

tráfico de tu interés
!(arp or icmp or dns)
TCP/IP Packet Crafter:
Colasoft Packet Builder
• Colasoft Packet Builder permite a los usuarios seleccionar una de las plantillas
proporcionadas: Ethernet Packet, ARP Packet, IP Packet, TCP Packet y UDP
Packet y cambiar los parámetros en el editor decoder, editor hexadecimal o
editor ASCII para crear un paquete
¿Cómo un atacante hackea la
red usando Sniffers?
1. Un atacante conecta su laptop a
un puerto del switch
2. El ejecuta una herramienta de
descubrimiento para aprender la
topología de la red
3. El identifica la máquina victima
para su dirigir su ataque
4. El envenena la máquina de la
victima por medio de técnicas de
ARP spoofing
5. El trafico destinada a la máquina
de la víctima es re-direccionado al
atacante
6. Los hackers extraen password y
datos sensibles del tráfico re-
direccionado
¿Cómo defenderse contra
Sniffing?
Restringir el acceso físico a un medio de la red para asegurar que un paquete
sniffer no pueda ser instalado

Usar encriptación para proteger información confidencial

Usar direcciones IP estáticas y tablas ARP estáticas para prevenir ataques de

agregación de entradas ARP falsas para una máquina en la red

Desactiva los broadcast de identificación de la red y si es posible restringe la red

para no autorizar a los usuarios con la finalidad de proteger la red de ser
descubiertos con herramientas sniffing

Usa IPv6 en lugar de IPv4

Usar sesiones encriptadas tal como SSH en vez de Telnet, Secure Copy (SCP) en
vez de FTP, SSL para conexiones d email, etc, para proteger a los usuarios de la
red inalámbrica contra ataques sniffing
¿Cómo defenderse contra
Sniffing?
Usar HTTPS en vez de HTTP para proteger los nombres de usuario y
passwords

Siempre encriptar el tráfico wireless con un protocolo de

encriptación fuerte, tal como WPA y WPA2

Usar switch en vez de hub, por que el switch entrega datos solo al
destino previsto

Usar contraseñas de única vez

Usar PGP y S/MIPE, VPN, IPSec, TLS y OTP

Recuperar la MAC directamente de la NIC en vez del OS, esto

previene suplantación de direcciones MAC

Usar herramientas antisniff para determinar si alguna NIC esta

corriendo en modo promiscuo
Gracias