Que es? Como realizarlo? Como evitarlo?

Bueno como ahora me estoy metiendo con el sniffing que mejor que compartirlo aqui en mi blog con ustedes, como no tengo tanto tiempo para escribir que es como realizarlo y como evitarlo pues en google encontré un ejemplo muy practico que lei y me pareció bastante bueno.

Por José Negreira

Introduccion
————
Situación: El Gerente de una empresa, mantiene una charla con uno de sus empleados, a puertas cerradas. La secretaria, en la oficina de al lado haciendo sus tareas…y no sabe ni le interesa de qué se trata la charla.

Análogamente, diremos que las 3 personas (A,B y C), son 3 computadoras conectadas bajo una misma red de tipo Ethernet. Las dos primeras, están conectadas, digamos con un programa de chat. Miles de paquetes circulan por la red, pero la computadora C está inactiva, ya que ningún paquete está dirigido a ella.

Ahora cambiemos un poco la situación: la secretaria pega su oreja a la puerta del despacho del gerente, y escucha la conversación!!. Volviendo a la analogía: La computadora C recibe paquetes aunque no están destinados a ella. Entonces diremos: que la computadora C está sniffeando la red.

Una pequeña nota cultural: "Sniffing" deriva de "sniff", que en inglés significa Olfatear. Fue bien elegido el término, no? =)

Como funciona
————-
En realidad, la placa de red de la computadora C siempre recibe todos los paquetes que circulan por la red (al igual que cualquier máquina conectada). Cada paquete es analizado, pero solo son aceptados aquellos que están dirigidos hacia ella. Esto forma parte del funcionamiento normal de cualquier red Ethernet.

Al activar un sniffer, estamos haciendo que nuestra placa de red acepte CUALQUIER paquete de datos, SIN IMPORTAR si está dirigido hacia nosotros. Técnicamente, es setear la placa en "modo promiscuo".

De esta manera es posible robar passwords, e-mail, y cualquier tipo de información, ya sea de carácter público o privado.

Cabe aclarar, que se puede utilizar un sniffer, sólo para saber si una máquina determinada está transmitiendo información, o si lo está haciendo correctamente. Es decir que también existe el sniffing "usado para hacer el bien" =)

Como detectarlo??
—————–
Es conveniente chequear TODOS los hosts en la red.

Esto se puede realizar de 2 maneras:

Utilizando AntiSniff (http://www.lopth.com/antisniff). Este programa que corre bajo windows 95/98/NT permite especificar un host determinado, o un rango de direcciones IP a escanear, y muestra un simpático cartelito al encontrar una máquina sniffeando. =)

En linux, se puede chequear localmente si alguna interfaz de red está en modo promiscuo, con el comando ifconfig.

Cuando está corriendo un sniffer…nótese el flag "PROMISC".

[root@serveza /root]# /sbin/ifconfig eth0
eth0 Link encap:Ethernet HWaddr 00:4F:49:03:38:53
inet addr:192.168.1.18 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
RX packets:259589 errors:0 dropped:0 overruns:0 frame:0
TX packets:93861 errors:0 dropped:0 overruns:0 carrier:0
collisions:118 txqueuelen:100
Interrupt:10 Base address:0×6500

ATENCiON! Lo pueden estar sniffeando AHORA! =)
———————————————-
Una máquina sniffeando se hace difícil de detectar, ya que no se conecta a ninguna víctima, tan solo se queda "escuchando", y eso lo diferencia del resto de los ataques directos.

Pero la mejor defensa es la prevención. Y hasta ahora, la solución más efectiva es usar protocolos seguros, como SSH, que utilizan encripción.

Consejos:

- Usar protocolos seguros: ssh, en lugar de telnet…https, en lugar de http, etc.
- Usar PGP para encriptar mails con información sensible.
- Aunque lo mejor sería que SIEMPRE se evite que circule información sensible a través de la red, salvo que no quede mas remedio.
- Y fundamentalmente, usar passwords difíciles de romper. (Ver art. "Consejos para elegir/guardar buenas passwords)

NOTA: Estos consejos NO EVITAN el sniffing, pero deberían tenerse en cuenta, ya que hacen mucho más difícil la tarea de capturar y analizar paquetes:

Otra solución (que viene de la mano del hardware, por lo tanto, más costosa), es utilizar switches, en lugar de hubs convencionales. Los switches reenvían cada paquete sólo a la/las máquina/s de destino únicamente. Los hubs comunes reenvían los paquetes a todos los hosts de la red, al igual que en una red sin hub (con cable coaxil).