Sniffers: ¿cómo detectarlos dentro de nuestra red?

Hacks y amenazas

Los “sniffers” no son otra cosa que analizadores de paquetes de información, en nuestra red.

Los usos más habituales que se les da son:

  • Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada habitualmente por crackers para atacar sistemas, u obtener privilegios para luego venderlos para la comisión de delitos.
  • Creación de registros de red, de modo que los hackers no puedan saber que están siendo buscados.
  • Medición del tráfico, para detectar cuellos de botella en algún lugar de la red.
  • Investigación de fallos para revelar problemas en la red, tales como: ¿por qué el equipo 1 no puede comunicar con el equipo 2?
  • Detección de intrusos, facilita la posibilidad de descubrir hackers en nuestra red. Aunque normalmente se utilizan IDS (Intrusion Detection System, Sistema de Detección de intrusos), los cuales son analizadores con funcionalidades específicas para esta actividad.

TE RECOMENDAMOS: Cuando cambies tu dispositivo, no te olvides el accesorio más importante

Se recomiendan diferentes formas para rastrear “sniffers” dentro de nuestra red, he  seleccionado algunos ejemplos al azar, para ayudar a los usuarios a rastrear la presencia de estas aplicaciones maliciosas que esperan pacientes.

El Test del Ping

Asumimos la opción –en este caso- de construir una petición tipo “ICMP echo” con la dirección IP del equipo sospechoso de hospedar un sniffer, pero con una dirección MAC deliberadamente errónea. Enviamos un paquete “ICMP echo” a nuestro objetivo con la dirección IP correcta, pero con una dirección de hardware de destino desigual.

Normalmente los sistemas denegarán este paquete, ya que su dirección MAC es incorrecta. No obstante, ciertos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo heterogéneo, el sniffer tomará este paquete de la red como un paquete legítimo y responderá por relación.

TE VA A INTERESAR: Protege tu tráfico web en las redes públicas

Si el objetivo que analizamos reconoce a nuestra petición, tendremos claro que se encuentra en modo promiscuo.

Un cibercriminal avanzado puede actualizar sus sniffers para filtrar tales paquetes, y hacer que parezca que el NIC no está en modo promiscuo.

  El Test ICMP Ping de Latencia

Si utilizamos esta táctica, hacemos ping al objetivo y anotamos el Round Trip Time (RTT, retardo de ida y vuelta). Generamos una cantidad importante de falsas conexiones TCP en nuestra red, en un período de tiempo muy breve.

Esperamos a que el sniffer resuelva estos paquetes y analizamos si el tiempo de latencia incrementa.

Si el resultado del análisis es positivo hacemos ping otra vez, y comparamos el RTT esta vez con el primer valor que obtuvimos. Luego de una serie de tests y medidas, podemos concluir si un sniffer está realmente funcionando en nuestra red o no.

RELACIONADO: Conoce el lado oculto de las aplicaciones gratis

DNS test

En cierto modo puede resultar un método osado, pues la herramienta de detección en sí misma está en modo “abierto”. Generamos múltiples conexiones TCP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar estas conexiones y resolver la dirección IP de los hosts inexistentes.

Ciertos sniffers ejecutan búsquedas inversas DNS en los paquetes que capturan. Cuando se ejecuta una búsqueda inversa DNS, la utilidad de localización de sniffers “simula” una petición de operaciones de búsqueda para ver si el objetivo es aquel que hace la petición del host inexistente.

El test ARP

Expedimos una petición ARP a nuestro objetivo con toda la información rápida excepto con una dirección hardware de destino errónea. Una máquina que no está en modo promiscuo nunca detectará dicho paquete. Si un equipo se encuentra en modo promiscuo, la petición ARP será atendida y el núcleo la procesará y contestará. El equipo que contesta queda en evidencia de que se encuentra en modo promiscuo.

Sniffers, ¿cómo nos protegemos?

En líneas generales para prevenir la acción de los sniffers y evitar que éstos alcancen sus objetivos de husmear contraseñas o en su defecto que nos “lean  datos sensibles” en texto plano -sin cifrado fuerte-, podemos activar ciertas técnicas o recurrir a sistemas como:

  • PGP
  • SSL
  • SSH
  • VPN

También aconsejo lo siguiente:

-Instalar VLANs, que mejoran notablemente la seguridad. Es necesario tener en cuenta que algunos tipo de políticas / configuración VLANs, pueden ser aprovechadas para ser atacadas mediante ARP Spooofin.

-También es bueno recordar que algunos routers / switch implantan medidas de seguridad adicionales anti spoofing mediante reglas, etc.

En esta nota solo he tomado algunas de las múltiples técnicas que existe para combatir sniffers, solo para ejemplificar la posibilidad de proteger su equipo ante el ataque de cibercriminales.

Por Ariel Sepulvéda, gerente de sistemas técnicos de F-Secure para Latinoamérica.

0 comentarios

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

También le puede gustar