Equipo 3

4.3 Sniffers
4.3.1 Concepto
Sniffer, del inglés sniff: olfatear, rastrear, puede entenderse como un programa con la
capacidad de observar el flujo de datos en tránsito por una red, y obtener información de
éste; está diseñado para analizar los paquetes de datos que pasan por la red y no están
destinados para él, lo que bajo ciertas circunstancias es muy útil, y bajo otras, a la vez,
muy peligroso ya que puede fácilmente causar problemas relacionados con la privacidad.
En muchas ocasiones, los administradores utilizan estas herramientas para mantener un
flujo constante de tráfico en sus redes. Pueden detectar grandes consumos de ancho de
banda, por ejemplo, de alguien que haga un uso intensivo de programas para compartir
archivos, y tomar las medidas oportunas.
4.3.2 Funcionamiento
Una aplicación sniffer configura la tarjeta de red (NIC) de un dispositivo (frecuentemente
de una PC o laptop), para que deje de ignorar a todo el tráfico dirigido a otros equipos y
preste atención a ello.

En otras palabras, coloca a la tarjeta de red en un estado conocido como “modo

promiscuo”, el cual no descarta los paquetes que no son para su dirección MAC, sino que
los almacena y lee. Una vez que esto sucede, una máquina puede ver todos los datos
transmitidos en ese segmento de red.

El programa entonces comienza una lectura constante de toda la información que entra
en el dispositivo a través de la tarjeta de red. Los datos que viajan por la red se presentan
como paquetes o ráfagas de bits con formato para protocolos específicos, debido a lo cual
un sniffer puede filtrar las capas de encapsulado y decodificar la información relacionada
con el equipo de origen, el equipo de destino, número previsto de puerto, capacidad de
carga, y otras informaciones que se intercambian entre dos dispositivos en la red.
Este tipo de aplicación no necesita muchos recursos del sistema y puede no tener una
interfaz gráfica de usuario, por lo que es muy complicado detectarlo. Los sniffers no son
virus y por ello, no pueden propagarse a sí mismos y deben ser “controlados “por ciertas
personas.
Pasive Sniffing
Un sniffer puede ser manualmente instalado por el administrador del sistema o cualquier
usuario que alcance suficientes privilegios para instalar el programa. En cualquier caso, la
amenaza de la privacidad puede ser instala sin que el usuario afectado tenga
conocimiento, ni mucho menos brinde su consentimiento.
Esta forma de operar puede considerarse como un “ataque pasivo”, ya que no altera el
funcionamiento de la red.
Active Sniffing
Cuando el “sniffing” es realizado en un “Switched Network” a esto se refiere con “Active
Sniffing”, funciona enviando paquetes en el network, mientras los “switches” mantienen
una tabla ARP manteniéndose al tanto del “network” y sus puertos respectivos. El
atacante puede enviar direcciones de MAC falsos (MAC flooding) intentando “envenenar”
la red. Puede ser un método fácil de detectar.

ARP (Address Resolution Protocol) es un protocolo que resuelve el IP, es responsable de

encontrar la dirección de hardware que pertenece a una dirección de IP en particular, para
“sniffing” (ARP spoofing).

En si lo que ocurriría sería lo siguiente:

1. ARP resuelve el dirección de MAC por medio de la dirección de IP.
2. Los paquetes de ARP pueden ser falsificados a enviar datos a la máquina del
atacante.
3. El atacante puede utilizar “ARP poisoning” para interceptar el tráfico del network.
4. El atacante puede sobrecargar los “switches” y luego hacer “sniffing” cuando el
“switch” esté en “forwarding mode”, todo esto usando técnicas de “MAC flooding”
al “ARP table” del “switch”.
Para qué se usan los Sniffers

Cómo vimos anteriormente, los Sniffers son programas utilizados para capturar cualquier
tipo de información que pueda transitar a través de una red LAN, desde un e-mail, hasta
contraseñas o mensajes de todo tipo. Pero esto, no implica que los Sniffers tengan que ser
utilizados exclusivamente para realizar ataques informáticos maliciosos, aunque estos
últimos son muy comunes ya que es una herramienta que puede ser utilizada por un
Hacker para obtener la información que necesita de una red o de un usuario en general.
Existe también la opción de utilizar Sniffers, para realizar tareas lícitas dentro de una red,
entre las cuales podemos destacar:

 Para administrar y gestionar la información que pasa a través de una red LAN.
 Realizar auditoría de redes.
 Identificar estabilidad y vulnerabilidades de las redes LAN.
 Verificar el tráfico de una red y monitorear su desempeño.
 Prevenir actividades de espionaje industrial.
 Monitorear las actividades de los usuarios de una red.
 Identificar paquetes de datos.
Podemos decir entonces, que un Sniffer es una herramienta bastante versátil que puede
ser de gran ayuda para los administradores de redes LAN, sean estas comerciales,
educativas o domésticas. Al utilizarlas, se podrá facilitar enormemente las tareas de
monitoreo de paquetes.

4.3.3 protocolos vulnerables

Cualquier protocolo que no encripta data puede ser susceptible al “sniffing”.  Entre los
protocolos se encuentran: HTTP, POP3, SMTP, FTP y IMAP

HTTP: Un sniffer HTTP es un software que escanea y registra toda la actividad HTTP de un
sistema, más claro, registra toda la actividad de los navegadores Web (aunque si algún
otro software utiliza el protocolo HTTP el sniffer nos mostrará también datos sobre estas
conexiones).

Esto puede ser muy útil para dos cosas principalmente.

 Registrar la actividad de un navegador/usuario en Internet

 Utilizar la información registrada para mediante un proxy impedir el acceso a sitios
Web
POP3: POP3 está diseñado para recibir correo, que en algunos casos no es para enviarlo;
esto le permite a los usuarios con conexiones intermitentes o muy lentas (tales como las
conexiones por módem), descargar su correo electrónico mientras tienen conexión y
revisarlo posteriormente incluso estando desconectados. Cabe mencionar que aunque
algunos clientes de correo incluyen la opción de dejar los mensajes en el servidor, el
funcionamiento general es: un cliente que utilice POP3 se conecta, obtiene todos los
mensajes, los almacena en la computadora del usuario como mensajes nuevos, los elimina
del servidor y finalmente se desconecta.
SMTP: Éste es un protocolo que funciona en línea, encapsulado en una trama TCP/IP. El
correo se envía directamente al Servidor de Correo del destinatario. El protocolo SMTP
funciona con comandos de textos enviados al servidor SMTP (al puerto 25 de manera
predeterminada). A cada comando enviado por el Cliente (validado por la cadena de
caracteres ASCII CR/LF, que equivale a presionar la tecla Enter) le sigue una respuesta del
servidor SMTP compuesta por un número y un mensaje descriptivo.
FTP: File Transfer Protocol. Protocolo utilizado para tener acceso a un anfitrión (host) de
Internet , y posteriormente para transferir archivos entre ese anfitrión y la computadora
que usted está utilizando. Es un protocolo de red para la transferencia de archivos entre
sistemas conectados a una red TCP ( Protocolo de Control de Transmicion), basado en la
arquitectura cliente-servidor. Desde un equipo cliente se puede conectar a un servidor
para descargar archivos desde él o para enviarle archivos, independientemente del
sistema operativo utilizado en cada equipo.
IMAP: IMAP (Internet Mail Access Protocol) permite a los usuarios acceder a sus e-mails
directamente en el servidor y sólo descargar, hacia la máquina local, los mensajes y
archivos adjuntos que le resulten de interés. Esto ahorra tiempo de descarga.

Otra de las ventajas que ofrece el protocolo IMAP es que puede seleccionarse la carpeta
(mailbox) desde donde se descargarán los mensajes de correo. En el servidor de correo,
para cada cuenta puede haber varias carpetas (Bandeja de Entrada, Mensajes Enviados, y
carpetas creadas por el mismo usuario). Utilizando el protocolo POP3 se descargan los
mensajes que residen en la carpeta por defecto (Bandeja de Entrada o Inbox).

4.3.4 Envenenamiento MAC, ARP, DNS

MAC Flooding: Como sabemos, cada uno de los dispositivos que utilizamos para
conectarnos a la red tiene una dirección MAC diferente. Esto es necesario para poder ser
identificado por el router y, en definitiva, poder conectarnos y navegar por Internet. Es,
por decirlo de alguna manera, como un identificador. En total son seis bloques de dos
caracteres hexadecimales. También se le conoce como dirección física.
En una red los switches gestionan tablas de direcciones MAC. Esto lo hacen para dirigir el
tráfico entre los diferentes puertos de una manera más eficiente. Lo que hace un atacante
con esta amenaza es crear una inundación, una solicitud masiva para lograr el colapso de
esta tabla que mencionamos.
Con esto logran que, en caso de un ataque exitoso, el switch pase a enviar paquetes que
reciba a través de todos sus puertos y así poder interceptar el tráfico. Es lo que se conoce
también como saturación de direcciones MAC.
Hay que tener en cuenta que el switch, a través de estas tablas de direcciones MAC,
aprende los datos de manera dinámica conforme va gestionando el tráfico. Así asigna las
diferentes direcciones a sus diferentes puertos a través de los cuales llega al destino.
Como solo va a enviar los datos a través del puerto correspondiente, logra una mayor
eficiencia, reduciendo la carga de red.
Lo que hace el atacante en este caso es bombardear el switch con una gran cantidad de
solicitudes, cada una de ellas con una dirección MAC falsa, con el objetivo de saturar
rápidamente esa tabla. Esto significa que van a enviar miles de direcciones falsas en
segundos.
Cuando esto ocurre, el switch comienza a redireccionar tráfico a través de todos los
puertos y permite utilizar un sniffer para capturar el tráfico. Esto, como vemos, pone en
riesgo la privacidad y seguridad.
Envenenamiento ARP: es una técnica de hacking usada para infiltrarse en una red, con el
objetivo de que un atacante pueda husmear los paquetes de datos que pasan por la LAN
(red de área local), modificar el tráfico, o incluso detenerlo.
Mediante este tipo de ataques, se puede obtener información sensible de una víctima que
esté en la misma red que el atacante, como nombres de usuario, contraseñas, coockies,
mensajes de correo y mensajería instantánea, conversaciones VoIP, etc.
Esta técnica no se basa en una vulnerabilidad concreta que pueda llegar a desaparecer
con el tiempo, sino que se basa en un fallo de diseño de las redes TCP1 (Transmission
Control Protocol), y por tanto, es un método de ataque siempre válido y eficaz a menos
que se tomen medidas específicas contra él.
El principio del ARP Spoofing es enviar mensajes ARP falsos (falsificados, o spoofed) a la
Ethernet. Normalmente la finalidad es asociar la dirección MAC del atacante con la
dirección IP de otro nodo (el nodo atacado), como por ejemplo la puerta de enlace
predeterminada (gateway). Cualquier tráfico dirigido a la dirección IP de ese nodo, será
erróneamente enviado al atacante, en lugar de a su destino real. El atacante, puede
entonces elegir, entre reenviar el tráfico a la puerta de enlace predeterminada real
(ataque pasivo o escucha), o modificar los datos antes de reenviarlos (ataque activo). El
atacante puede incluso lanzar un ataque de tipo DoS (Denegación de Servicio) contra una
víctima, asociando una dirección MAC inexistente con la dirección IP de la puerta de
enlace predeterminada de la víctima.
Envenenamiento de DNS o Suplantacion de DNS: una situación creada de manera
maliciosa o no deseada que provee datos de un servidor de nombres de dominio (DNS)
que no se origina de fuentes autoritativas DNS. Esto puede pasar debido a diseños
inapropiados de software, falta de configuración de nombres de servidores y escenarios
maliciosamente diseñados que explotan la arquitectura tradicionalmente abierta de un
sistema DNS. Una vez que un servidor DNS ha recibido aquellos datos no autentificados y
los almacena temporalmente para futuros incrementos de desempeño, es considerado
envenenado, extendiendo el efecto de la situación a los clientes del servidor.
Normalmente, una computadora conectada a Internet utiliza un servidor DNS
proporcionado por el proveedor de servicios de Internet (ISP). Este DNS generalmente
atiende solamente a los propios clientes del ISP y contiene una pequeña cantidad de
información sobre DNS almacenada temporalmente por usuarios previos del servidor. Un
ataque de envenenamiento (poisoning attack) de un solo servidor DNS de un ISP puede
afectar a los usuarios atendidos directamente por el servidor comprometido o
indirectamente por los servidores dependientes del servidor.
Para realizar un ataque de envenenamiento de caché, el atacante explota una
vulnerabilidad en el software de DNS que puede hacer que este acepte información
incorrecta. Si el servidor no valida correctamente las respuestas DNS para asegurarse de
que ellas provienen de una fuente autoritativa, el servidor puede terminar almacenando
localmente información incorrecta y enviándola a los usuarios para que hagan la misma
petición.
Esta técnica puede ser usada para reemplazar arbitrariamente contenido de una serie de
víctimas con contenido elegido por un atacante. Por ejemplo, un atacante envenena las
entradas DNS de direcciones IP para un sitio web objetivo, reemplazándolas con la
dirección IP de un servidor que él controla. Luego, el atacante crea entradas falsas para
archivos en el servidor que él controla con nombres que coinciden con los archivos del
servidor objetivo. Estos archivos pueden contener contenido malicioso, como un virus o
un gusano. Un usuario cuya computadora ha referenciado al servidor DNS envenenado
puede ser engañado al creer que el contenido proviene del servidor objetivo y sin saberlo
descarga contenido malicioso.
4.3.5 Contramedidas MAC, ARP, DNS

MAC Flooding:
Limitación de puertos
Una de estas características es la de limitar en cada puerto la cantidad de direcciones MAC
que va a poder aprender. De esta manera, una vez que llega al máximo descarta todas
aquellas que sean desconocidas. Así se evita el ataque MAC Flooding que hemos
explicado.
Asignación estática de direcciones MAC
También podemos optar por configurar el switch para que asigne únicamente direcciones
MAC de forma estática. Esto nos permite que únicamente paquetes de ciertas MAC
puedan ser procesados.
Deshabilitar puertos que no utilicemos
No hay mejor barrera de seguridad también que deshabilitar aquellos puertos que no
estemos utilizando. De esta forma un posible atacante no podría buscar la manera de
inundarlos y obtener así información.
Evitar conexiones de otros dispositivos
Otra opción que tenemos para mejorar la seguridad y evitar así problemas de saturación
de direcciones MAC es evitar que acepte nuevas conexiones de otros dispositivos.
Envenenamiento ARP:
Es posible indicar al sistema operativo que la información en la caché ARP es estática y por
tanto, no debe ser actualizada con la información que le provenga de la red. Esto
prevendrá el ataque, pero puede resultar problemático en redes donde se actualicen los
sistemas conectados a la red de forma regular.
Los switch de gama alta, poseen funcionalidades específicas para prevenir este tipo de
ataques. Es necesario configurarlos adecuadamente para que mantengan ellos mismos
una asociación IP-MAC adecuada y prevengan estos ataques.
Una adecuada segmentación de las subredes con routers y redes virtuales (otra de las
funcionalidades de algunos switch) es la mejor prevención.
Existen herramientas que permiten conocer si una tarjeta de red en una subred se
encuentra en modo promiscuo. Esto puede indicar la existencia de un ataque de
envenenamiento ARP.
Envenenamiento de DNS o Suplantación de DNS:
Muchos ataques de envenenamiento de caché contra servidores DNS pueden evitarse al
desconfiar de la información que otros servidores DNS les pasan e ignorar cualquier
registro DNS pasado que no sea directamente relevante para la consulta. Por ejemplo, las
versiones de BIND 9.5.0-P1 y superiores realizan estas comprobaciones.
La aleatorización del puerto de origen para solicitudes DNS, combinada con el uso de
números aleatorios criptográficamente seguros para seleccionar tanto el puerto de origen
como el nonce criptográfico de 16 bits , puede reducir en gran medida la probabilidad de
ataques exitosos de DNS.
Una versión segura de DNS, DNSSEC, utiliza firmas criptográficas electrónicas validadas
con un certificado digital confiable para determinar la autenticidad de los datos. DNSSEC
puede bloquear ataques de envenenamiento de caché, pero hasta 2008 aún no estaba
difundido ampliamente.
Este tipo de ataque puede ser mitigado también por las capas de transporte o aplicación
para conseguir validación extremo a extremo (end-to-end validation) una vez que una
conexión es establecida en extremo. Un ejemplo común de esto es el uso de Seguridad de
Capa de Transporte y firmas digitales. Por ejemplo, usando la versión segura de HTTP,
HTTPS, los usuarios pueden verificar si el certificado digital es válido y pertenece al dueño
esperado de un sitio web. De manera similar, el programa de inicio de sesión remoto SSH
verifica certificados digitales en los extremos (si los conoce) antes de proseguir con una
sesión. Para aplicaciones que descargan actualizaciones automáticamente, la aplicación
puede alojar una copia local del certificado digital de los datos y validar el certificado
almacenado en la actualización de software contra el certificado alojado.