Los Sniffers

La palabra Sniffer significa etimológicamente olfatear en la lengua inglesa, pero cuando se utiliza este término en el Hacking se refiere explícitamente a la captura de paquetes de una red, con un fin determinado, como realizar un ataque Arp Spoofing o la captura de contraseñas que no estén encriptadas de una comunicación de TELNET, FTP, POP, SMTP, o simplemente estudiar el funcionamiento de una determinada maquina o la red entera.
Esto es muy fácil de realizar en las redes de tipo Ethernet basadas en el método CSMA-CD (Carrier Sense Multiple Access - Collision Detection). El cual consiste en detectar si existe una conexión valida establecida en la red (Carrier Sense), compartiendo acceso a un mismo medio físico entre las PC (Multiple Access), lo que podría ocasionar que dos computadoras intenten transmitir datos al mismo tiempo produciendo una colisión de paquetes (Collision Detection). Al ser detectada esta colisión, ambas computadoras esperarán un tiempo aleatorio e intentarán re-enviar sus datos.
Las redes que utilizan Hub o repetidores, envían todos los paquetes que reciben del servidor o router a las diferentes maquinas de la red, aceptando solo la PC con el número IP que corresponda al encabezado del paquete trasmitido, y el resto de las maquinas rechazan los paquete. Muy diferente es el funcionamiento que utilizan los Switch, en las cuales los paquetes son redireccionados solo a la maquina con la IP que corresponda.
Por lo expresado hasta aquí en las redes con HUB todas las maquinas reciben todo el trafico de la red y para poder capturar el mismo solo debemos poner nuestra placa de red en modo promiscuo, de esta manera todo el trafico que llegue hasta nuestra placa de red será interpretado y analizado por el sistema operativo. Utilizando librerias como libpcap, programas en espacio de usuario, pueden solicitar al kernel del sistema que les entregue todos estos paquetes para procesarlos y reportar al usuario los datos obtenidos de ellos.

Los switches trabajan de manera diferente a los HUB y solo envían la información a la maquina que lo solicita, veamos como ocurre esto.
Las placas de red Ethernet tiene un identificador hexadecimal de 48 bits único en el mundo otorgado por el fabricante de la misma, llamado dirección MAC (Media Access Control).
Las direcciones IP están formadas por 4 bytes (32 bits) y se suelen representar de la forma a.b.c.d donde cada una de estas letras es un número comprendido entre el 0 y el 255, pudiéndose clasificar además en estáticas (fijas), dinámicas, publicas y privadas (reservadas). Cuando se intenta establecer una comunicarse entre maquinas en la misma red, se realiza enviando un paquete ARP (Address Resolution Protocol) de tipo who-has, dirigido a todas las computadoras del segmento físico (con la dirección MAC), y con la IP de la máquina destino. A esta solicitud, la computadora dueña de la IP solicitada responde con un nuevo paquete ARP en unicast a la computadora que originó la solicitud, indicándole su dirección física o sea su MAC. Ahora ambas maquinas conocen ya la relación entre MAC e IP necesaria, y pueden comenzar a transmitir paquetes IP.
El protocolo ARP, en su RFC estipula que, si una computadora tiene registrada la relación IP - MAC de otra en su tabla de ARP y luego un nuevo paquete ARP es recibido, donde la IP en cuestión está relacionada con otra ARP, debe cambiar automáticamente por la nueva declarada y registrarla. Esto se estipulo previendo los servidores DHCP que otorgan IP dinámicamente, pudiendo una maquina desconectarse y luego volver a conectarse a la red, no siéndole siempre otorgado el mismo número IP, siendo menester dar por entendido que la MAC jamás cambia. Por tanto, una computadora cualquiera en la red puede envenenar fácilmente las tablas ARP que se guardan en la memoria caché de las demás, recibiendo los paquetes destinados de una computadora victima, aún en otro segmento de una red switcheada, peor aún puede trabajar como proxy, capturando todos los paquetes de la red incluso interviniendo de forma completamente transparente.
Asta aquí se recomienda la lectura de los RFC 0023, RFC 0768, RFC 0791, RFC 0793, RFC 0826, RFC 0894, para una mejor comprensión y entendimiento.



En la captura de imagen 1, estamos viendo una autenticación con un sitio web www.essen.com tenemos en el mismo 3 secciones donde en la primera se divide en 6 columnas (Nº, Time, Source, Destination, Protocol, Info), con 29 líneas de datos capturadas para interpretar, así que veamos una por una.
En la línea uno podemos ver como intentamos establecer una comunicación desde la IP 192.168.0.66 a la PC con la IP 64.76.3.117 la conexión es de tipo TCP (http) donde enviamos un paquete SYN, en la segunda línea la maquina 64.76.3.117 le devuelva a la 192.168.0.66 el paquete SYN-ACK, ahora en la tercer línea la maquina 192.168.0.66 envía el paquete ACK estableciéndose la típica comunicación de tres vías obligada en las conexiones TCP-IP.
Una vez establecida la comunicación entre ambas PC podemos ver como en la línea cuatro a la dieciocho se establece la comunicación http donde se produce la bajada de información del sitio web, donde podemos observar se esta usando asp para que usuarios se logueen. De echo si miran bien en donde dice info pondrán ver como el server donde se aloja este sitio cuenta con una carpeta /WEB donde están los archivos default.asp, login.asp, estilos.css y una carpeta images donde se aloja una imagen logo_chico.gif, luego también nos informa que los paquetes fueron ensamblados correctamente.
En la línea diecinueve y veinte vemos como se el Server DHCP con la IP 192.168.0.1 enviar los paquetes de tipo ARP donde la maquina con la MAC 00-08-A1-72-58-6C sigue siendo la que tiene la IP 192.168.0.66 la cual queda cargada en la tabla ARP del DHCP.
En la línea veintiuno a la veintiocho se realizan las consultas de tipo DNS donde se ve como nombre del la maquina con la IP 192.168.0.1 como coyote.localdomain y a la maquina con la IP 192.168.0.66 como maquina2.localdomain, también se ve como responde la tabla inversa del DNS en la línea 21 y 22. (Creo que es fácil entender que el mismo Server con la IP 192.168.0.1 es el DHCP y el DNS y por el nombre es más que probable que sea un coyote Linux ;-)).
Por último en la línea 29 se cierra la conexión así que carece de importancia.
Si observamos la sección 2 en su línea uno dice: Frame 1 (62 bytes on wire, 62 bytes capture) los bytes enviados y capturados en el primer frame; en su segunda línea encontramos Ethernet II Src: 192.168.0.66 (00-08-A1-72-58-6C) (la IP origen con su MAC) Dst: 192.168.0.1 (00-50-fc-86-fb-bf ) (la IP destino con su MAC). En la línea tres dice, Internet Protocol: vemos la IP origen que conecta con el sitio web alojado en 64.76.3.117. En la ultima línea Transmission Control Protocol, Src Port: 1179 (puerto origen abierto) Dst Port: http (80), (puerto destino abierto).
En la sección 3 se ve los datos en hexadecimal y al su costado del lado derecho algunos datos en lenguaje mas legible.



En la imagen numero 2 podemos observar en la línea uno y dos como la maquina con la IP 192.168.0.66 se conecta al su DHCP con la IP 192.168.0.1, estableciendo una conexión de tipo DNS donde que resuelve el dominio pop3.arnet.com.ar como la IP 200.45.191.2.
Una vez que la maquina local (192.168.0.66) sabe la IP d el servidor de correo de Arnet, establece la típica y obligada comunicación de tres vías (SYN, SYN-ACK, ACK) de tipo TCP que vemos en la línea cuatro a la cinco.
En la línea seis a la doce se establece la autenticación del correo de tipo POP en el que podemos ver en la línea siete el USER: distribuidorafortaleza y en la línea diez el PASSWORD: dgfr34ed. En la línea se finaliza la autenticación satisfactoriamente y lo que continua es la recepción de un correo a la bandeja de entrada.
Si observamos en la sección 2 veremos en la línea que dice Post Office Protocol el password nuevamente (dgfr34ed).
En la sección tres vemos en hexadecimal y en la columna de la derecha de manera más entendible para cualquier mortal.

En Internetes es muy fácil de encontrar buenos sniffer, desde software utilitario a free software, entre los más conocidos podemos nombrar.

● tcpdump – Desarroyado por Steve McCanne, Craig Leres y Van Jacobson es el elegido por los amantes del entorno shell, lo traen la mayoría de los Linux, Unix y BSDs, aunque también puede ser instalado en Windows como WinDump. Lo mas importante de esta herramienta es que al trabajar desde consola, permite combinar una gran cantidad de parámetros pudiendo especificar exactamente la tarea que queremos realizar. Además todos los datos pueden ser guardados para luego ser analizados con otro programa como Ethereal. Lo podemos bajar en http://www.tcpdump.org/ .

● Ethereal es uno de los sniffer mas utilizados por su practicidad y su magnifico entorno grafico, nos brinda un análisis completo y detallado de cada paquete a varios niveles, desde nivel Ethernet hasta detalles de diversos protocolos (más de 480 protocolos). Puede ser instalado tanto en los Unix, BSDs, Linux o Windows soportando más de 20 plataformas. Captura los paquetes de la red, los decodifica y los presenta en un formato simple. Es un software bajo la Licencia GPL. Trabaja tanto en modo promíscuo o no, dependiendo si se instala la librería libpcap. Presenta una buena diversidad de filtros que lo hacen muy configurable para nuestro propósito.También se lo puede utilizar para analizar trafico de TcpDump. Podemos encontrarlo en .

● BUTT sniffer fue desarrollado por DilDogel el creador principal de Back Orifice 2000, el mismo consta de dos partes BUTTSniff.exe y BUTTSniff.dll, una de las particularidades es que no necesita ser instalado solo hay que cargar los archivos en el servidor a analizar y se puede trabajar muy cómodamente en modo consola. Se lo puede bajar de .

● Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Este software está disponible bajo licencia GPL y funciona bajo plataformas Windows, UNIX y Linux. El mismo trabaja como sniffer en consola y en tiempo real capturarando todo el tráfico, pudiendo ser guardado en un archivo de log para su posterior análisis offline. Rápidamente se esta ganando un lugar privilegiado entre las herramientas de monitoreo de redes, se lo puede bajar de http://www.snort.org/ .

● Fsniff a sido desarrollado por Foundstone, dispone de un contador de captura de paquetes que se carga de forma dinámica (fsniff.sys) además filtra automáticamente la autenticación de paquetes capturados en distintas sesiones. Se lo puede bajar de http://www.foundstone.com/ .

● Ettercap es una de las favoritas en redes switheadas. Trabaja muy bien en las plataformas Unix, Linux, BSDs y otros. Ettercap utiliza técnicas más de sombrero negro, como el ARP spoofing-poisoning, para permitir sniffear redes switheadas. Además de sniffer es interceptor (permite inyectar datos en conexiones existentes o "secuestrar" conexiones). Podemos bajarlo de http://ettercap.sourceforge.net/ .

● Kismet Sniffer: específico para Linux con redes wireless basadas en la norma 802.11b de la IEEE. Funciona correctamente con los dos principales tipos de tarjetas inalámbricas pero no todas pueden quedar en modo promiscuo (modo RF monitor) muchas veces no por problemas de compatibilidad de la placa de red si no por los driver que utilizan. Muchas distribuciones de Linux lo traen, en caso contrario lo podemos bajar de http://www.kismetwireless.net/ .

● Existen algunos sniffer comerciales los cuales no presenten grandes ventajas con los GNU o GPL, entre estos el mas conocido sin duda son Network Associates Sniffer ( ), Sniffer Pro que ahora se llama Sniffer Portable ( http://www.networkgeneral.com/ ), NetMon funcionan muy bien en los NT. ( www.netmon.com ), Iris Network Traffic Analyzer ( ), Etherpeek ( ), y por ultimo Agilent Advisor ( ).