Banner Superior
InfoSecurity News
 
Año 2 - N°5 | Mayo 2006
InicioPuntos de VistaEntrevistaHacking bajo la lupaNoticiase-fraudeLas LeyesPalabras de CISOHot vulnerabilitiesForo
ContactosStaffPortal InfoSecurity OnlineRecomiendanosRegistrarse
Estadisticas
lo sabias?
Carta de Lectores
Tips para un CISO
Capacitación
Toolbox
Agenda InfoSec
Productos
Bolsa de Trabajo
Links de Interes
Libro de Pases
Números Anteriores
 HACKING BAJO LA LUPA

NIVEL TÉCNICO

¿Cómo detectar sniffers en nuestra LAN?
Por Gustavo Cirigliano
Security Consultant
I-Sec Information Security Inc

Más de uno pensará que es imposible, ya que un sniffer es aparentemente un software "pasivo". Solamente escucha y no modifica ningún paquete. Ahora bien, para que un sniffer pueda funcionar de manera eficiente, resulta necesario que la placa de red del equipo donde se encuentra instalado funcione en "modo promiscuo".

 

Esta modalidad permite a la placa de red poder recibir todos los paquetes que circulan en la red, independientemente de si están destinados o no a ella. De aquí se desprende que si un equipo tiene su placa funcionando en modo promiscuo, muy posiblemente se encuentre ejecutando un sniffer.

 

¿Cómo detectamos una placa en “modo promiscuo”? Eso es fácil y lleva sólo unos minutos. Para hacerlo podemos utilizar, por ejemplo, la herramienta Cain (http://www.oxid.it) que, además de ser un sniffer de contraseñas, posee una serie de herramientas entre las que se encuentra un escáner de placas en modo promiscuo. Los pasos son los siguientes:

 

  1. En el Cain, ir a la pestaña "Sniffer".

  2. Activar el sniffer de Cain haciendo click en el botón que tiene la forma de una placa de red.

  3. Dar click en el botón que tiene un signo +.

  4. En la ventana MAC Address Scanner seleccionar "All hosts in my subnet" y tildar la opción "All Tests".

  5. Dar click en OK.

 

En este punto, Cain comenzará a recorrer nuestra subnet para obtener las direcciones MAC de los dispositivos conectados a ella. Se realizarán varios tests para obtenerlas, por lo que el proceso puede tardar un tiempo considerable de acuerdo a la clase de la subnet.

 

Al finalizar, tendremos la lista completa de direcciones MAC ordenadas por dirección IP. Veremos que tenemos una serie de columnas llamadas B31, B16, B8, Gr, M0, M1, M3, cada una correspondiente a un test distinto de scanning de dirección MAC. Las placas que estén en modo promiscuo tendrán un asterisco en las columnas B31, B16 y M1. Las placas que estén en modo normal tendrán un asterisco en las columnas B16 y M1.

 

En la Parte 2 veremos cómo detectar sniffers que estén realizando ARP Poisoning (método de sniffing para redes con switches).

 

Referencias:

 

Cain & Abel 2.8 Help

"Detection of promiscuous nodes using ARP Packets" - Daiji Sanai

Gustavo Cirigliano

Security Consultant

I-Sec Information Security Inc

gustavo.cirigliano@i-sec.org

Recomienda esta Nota a un Amigo:
Tu Nombre y Apellido:
Tu Email:
Email de tu amigo:
Nombre de tu amigo:
Apellido de tu amigo:

 

 

Banner Symantec
Banner Mc Afee
Banner 3Com
Banner Bloggers
Banner HP
Banner Sun ComWare
Banner I-SEC
Banner ASIar
Banner ComPlus
Banner Education Center
Banner InfoSecurity
Copyright © 2006 I-Sec. Todos los derechos reservadosPolítica de protección de Datos PersonalesPowered by