Anexo:Tipos de packet sniffers

Un packet sniffer es un programa para monitorizar y analizar el tráfico en una red de computadoras, detectando los cuellos de botella y problemas que existan. También puede ser utilizado para "captar", lícitamente o no, los datos que son transmitidos en la red.

Tcpdump

editar

Tcpdump muestra las cabeceras de los paquetes que captura de una interfaz de red dada y que cumplen la expresión pasada al ejecutar, es decir, permite monitorizar tráfico de red en tiempo real.

Los filtros que se pueden crear para mostrar simplemente la información que nos interesa, hacen de tcpdump una herramienta muy potente para el análisis de tráfico en redes de comunicaciones. Tcpdump es una aplicación “peligrosa”, por lo que en los sistemas UNÍX solamente se permite su utilización al usuario root. Luego, tcpdump permite examinar todas las conversaciones, incluyendo mensajes de broadcast SMB y NMB . Mientras que sus capacidades en detección de errores están principalmente a nivel de capa de red OSI, todavía se puede usar su salida para obtener una idea general de qué están intentando hacer el servidor y el cliente. En Windows, en lugar del tcpdump se usa el Windump.

Darkstat y Traffic-Vis

editar

Darkstat

editar

Darkstat es una herramienta para monitorizar una red, que analiza el tráfico de la misma y genera un informe estadístico en formato HTML, basándose en los datos obtenidos. Entre las observaciones que realiza el programa permite: realizar la estadística de direcciones que se generan en la comunicación entre hosts, el tráfico que se produce, y los diferentes números de puerto usados por los diversos protocolos. Adicionalmente, el programa permite obtener un breve resumen y gráficos por períodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa.

Traffic-Vis

editar

Traffic-vis proceso demonio (informática) que monitoriza el tráfico TCP/IP y convierte esta información en gráficos en ASCII, HTML o Postscript. Traffic-vis también permite analizar el tráfico entre hosts para determinar qué hosts han comunicado y el volumen de su intercambio (tenga en cuenta que necesita libpcap).

Muestra y busca paquetes. Ngrep se esfuerza por proveer de la mayoría de características comunes del "grep" de GNU, aplicándolas a la capa de network ({"network layer"} del modelo de referencia OSI). ngrep es consciente de la presencia de pcap y permite usar expresiones regulares que concuerden con el "payload" ( o sea la carga, el cuerpo, y _no_ los encabezados) de los paquetes. Actualmente reconoce TCP, UDP, e ICMP sobre Ethernet, PPP, SLIP e interfaces nulas {"null interfaces"}, y comprende la lógica de un filtro "bpf" de la misma manera que herramientas más comunes de sniffing como tcpdump y snoop.

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos o aprovechar alguna vulnerabilidad, análisis de protocolos, etc., conocidos, todo esto en tiempo real. Está disponible gratuitamente bajo licencia GPL, y funciona en plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.

Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap...

Puede funcionar como sniffer (podemos ver en consola y en tiempo real lo que ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS).

Daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creación personalizada de reglas e interpretación de las alertas.

La colocación de Snort en nuestra red puede realizarse según el tráfico que se quiera vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall, etc., casi donde queramos.

Nwatch

editar

NWatch es un "succionador",se puede entender como un analizador de puertos pasivo, que está solamente interesado en tráfico IP y organiza los resultados como un explorador de puertos. Esto agrega la ventaja de que cualquier herramienta que funcione encendido tal salida (NDiff) puede utilizar los datos. NWatch se diferencia de un "escáner" de puertos real de muchas maneras. Por ejemplo, cogerá los puertos que se abren para transmisión de datos solamente, algo que en un "escáner" de puertos posiblemente faltaría. Para la seguridad de la red NWatch es un complemento excelente al barrido de puertos regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un SIGINT (CTRL-c). Durante ese tiempo mira la interfaz por defecto (eth0), siguiendo cada combinación del IP host/port que descubre. En el último caso sería típicamente útil para espiar o quizás muestreo y análisis de los patrones del uso neto más bien que para una supervisión de la seguridad.

Ethereal (wireshark)

editar

Ethereal que ahora se llama Wireshark, es un potente analizador libre de protocolos de redes, funciona bajo Unix, Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la información a partir de una captura en disco (puede leer más de 20 tipos de formato distintos). Destaca también por su impresionante soporte de más de 300 protocolos, gracias sin duda a la licencia GPL y sus más de 200 colaboradores de todo el mundo.

Una de las cosas que más cuesta entender cuando uno comienza con ethereal es la utilización de los filtros a la hora de capturar datos (el típico error: Unable to parse filter string (parse error), puesto que utiliza un sistema para visualizar los datos y otro totalmente diferentes e incompatible para realizar las capturas (tcpdump).

La potencia y posibilidades del Ethereal son excelentes.

Ettercap

editar

Ettercap es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la disección activa y pasiva de muchos protocolos(incluso cifrados) e incluye muchas características para el análisis de la red y del host (anfitrión).

Entre sus funciones, las más destacadas son las siguientes:

  • Injection de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexión está activa.
  • Compatibilidad con SSH1: Puede interceptar usuarios y contraseñas incluso en conexiones "seguras" con SSH.
  • Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a través de un proxy.
  • Intercepta tráfico remoto mediante un túnel GRE: Si la conexión se establece mediante un túnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle".
  • "Man in the Middle" contra túneles PPTP (Point-to-Point Tunneling Protocol).
  • Soporte para Plug-ins.

Kismet

editar

Kismet es un sniffer específico a Linux para redes inalámbricas. Específicamente , es un detector de la red 802.11 layer2,un succionador, y un sistema sin hilos para la detección de la intrusión. Funciona correctamente con los dos principales tipos de tarjetas inalámbricas , es decir, trabajará con cualquier tarjeta sin hilos que apoye modo de supervisión crudo (rfmon) y puede "oler" 802.11b , 802.11a y el tráfico 802.11g.

Kismet identifica redes de modo pasivo, recogiendo paquetes y detecta redes nombradas estándares, redes ocultas e infiere la presencia de redes nonbeaconing vía tráfico de los datos.

En la web http://comorobarwifi.org/ tienes un ejemplo muy bueno de utilizar este Sniffer

Acrylic WiFi

editar

Acrylic WiFi es un sniffer gratuito de redes WiFi para sistemas Windows Vista, 7 y 8 que funciona con la mayoría de las tarjetas WiFi 802.11a/b/g/n/ac del mercado y que permite capturar tráfico de redes WiFi y visualizar información de puntos de acceso y dispositivos WiFi al alcance.

Acrylic es compatible con tarjetas Airpcap y su instalación agrega soporte a herramientas como Wireshark para capturar paquetes WiFi en modo monitor. Solo es necesario arrancar Wireshark como Administrador después de instalar Acrylic para capturar el tráfico inalámbrico.