Alfredo José Feijóo González in Ingenieros y Técnicos, Ingenieros, Informática y Tecnología Seguridad Informatica, Análisis y Gestion de Riesgos • RFRR Feb 21, 2020 · 5 min read · 13.1K

Técnicas de detección de sniffers 2

Técnicas de detección de sniffers 2

  Como resultado de los mensajes que he recibido, aqui teneis la segunda parte de el articulo, que por su complejidad he decidido, dividir en tres, espero que os sea de utilidad, y como siempre estoy a vuestra disposicion en el correo, gracias ha todos.


                         HERRAMIENTAS DE DETECCIÓN REMOTA DESDE EL MISMO SEGMENTO DE RED


La mejor herramienta de detección de sniffers en la actualidad es AntiSniff , de L0pht . Se trata de un programa comercial con una versión de evaluación de 15 días que implementa todos

los tests citados anteriormente, junto a algunas variaciones muy interesantes.

Sin embargo, al poco de anunciarse su aparición se desarrolló un sniffer gratuito y con código fuente disponible llamado Anti-AntiSniff que no es detectado por ninguno de los test que

AntiSniff realiza. AntiSniff está disponible para Windows NT/2000 y hay una versión de prueba gratuita y con código fuente disponible en desarrollo para diferentes versiones de Unix que, eso sí, está muy por detrás de la versión de Windows NT/2000 en cuanto a interfaz gráfica.

Le sigue, en cuanto a utilidad y no precisamente de cerca, el proyecto Sentinel , que tiene la ventaja de ser un proyecto público y abierto que permite acceder al código fuente del programa.

En la actualidad es sólo capaz de realizar unos pocos tests, muchos menos que AntiSniff, pero tiene un interesante futuro por delante que hace recomendable su seguimiento.

Antiguos programas de detección de sniffers que en su día fueron pioneros, como NEPED , están ahora totalmente superados porque tanto Sentinel como AntiSniff implementan las técnicas que les hicieron tan útiles en el pasado.


CONCLUSIONES

La lucha contra los sniffers es un tema de permanente actualidad: cada vez se desarrollan técnicas más sofisticadas para su detección y, casi al instante, se crean nuevos modelos de sniffers que las burlan. Se trata de una lucha desequilibrada en contra del que los busca que, además, tiene que convivir con el hecho de que su tarea es, a veces, imposible.

No obstante, es fundamental que cualquier administrador de seguridad conozca todos los programas que pueden ayudarle a detectar sniffers en sus redes, junto a las técnicas de evasión que

un atacante puede utilizar para luchar contra ellos ,

Las técnicas no dependientes del sistema operativo son menos fiables y menos concluyentes, suelen basarse en suposiciones del comportamiento de determinados sniffers, convirtiendo estas técnicas inútiles en determinados ambientes. A destacar como ventaja no suelen provocar falsos negativos.

El Test DNS

El Test del Ping

El Test ICMP

El Test ARP

El Test Etherping

El Test DNS

En este método, la herramienta de detección en sí misma está en modo promiscuo. Creamos numerosas conexiones TCP/IP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar esas conexiones y resolver la dirección IP de los inexistentes host. Algunos sniffers realizan búsquedas inversas DNS en los paquetes que capturan. Cuando se realiza una búsqueda inversa DNS, una utilidad de detección de sniffers huele la petición de las operaciones de búsqueda para ver si el objetivo es aquel que realiza la petición del host inexistente.


El Test del Ping


Este método confía en un problema en el núcleo de la máquina receptora. Podemos construir una petición tipo "ICMP echo" con la dirección IP de la máquina sospechosa de hospedar un sniffer, pero con una dirección MAC deliberadamente errónea. Enviamos un paquete "ICMP echo" al objetivo con la dirección IP correcta, pero con una dirección de hardware de destino distinta. La mayoría de los sistemas desatenderán este paquete ya que su dirección MAC es incorrecta. Pero en algunos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo promiscuo, el sniffer analizará este paquete de la red como paquete legítimo y responderá por consiguiente. Si el blanco en cuestión responde a nuestra petición, sabremos que está en modo promiscuo. Un atacante avanzado puede poner al día sus sniffers para filtrar tales paquetes para que parezca que el NIC no hubiera estado en modo promiscuo.


El Test ICMP


Ping de Latencia. En éste método, hacemos ping al blanco y anotamos el Round Trip Time (RTT, retardo de ida y vuelta o tiempo de latencia) Creamos centenares de falsas conexiones TCP en nuestro segmento de red en un período muy corto. Esperamos que el sniffer esté procesando estos paquetes a razón de que el tiempo de latencia incremente. Entonces hacemos ping otra vez, y comparamos el RTT esta vez con el de la primera vez. Después de una serie de tests y medias, podemos concluir o no si un sniffer está realmente funcionando en el objetivo o no.


El Test ARP


Podemos enviar una petición ARP a nuestro objetivo con toda la información rápida excepto con una dirección hardware de destino errónea. Una máquina que no esté en modo promíscuo nunca verá este paquete, puesto que no era destinado a ellos, por lo tanto no contestará. Si una máquina está en modo promiscuo, la petición ARP sería considerada y el núcleo la procesaría y contestaría. Por la máquina que contesta, sabremos que la máquina está en modo promiscuo.


El Test Etherping


Enviamos un ping echo al host a testear con una IP de destino correcta y dirección MAC falseada. Si el host responde, es que su interfaz está en modo promiscuo, es decir, existe un sniffer a la escucha y activo.

Una de las herramientas más utilizadas en el campo de la seguridad y de la administración de sistemas es el “Sniffer”. Para el que no lo sepa, un sniffer es una herramienta de monitorización de redes y captura de paquetes que circulan por dichas redes.

Este tipo de herramientas nos permiten:

– Analizar el tráfico de una red: Congestión, cuellos de botella, intrusiones, …

– Detectar fallos de paquetes: Paquetes corruptos, duplicados, errores de sincronización, …

– Nos permiten realizar filtros para analizar nuestro tráfico.

– Creación de estadísticas del tráfico.

– Capturar datos que circulan por la red tanto cifrados como sin cifrar.

Para poder ejecutar este tipo de herramientas se necesitan permisos de administración en una máquina, con lo cual son utilizadas por administradores de red para supervisar estas.

El problema es que igual que las pueden utilizar usuarios autorizados, pueden ser usadas por usuarios no legítimos que han accedido a nuestra red, o que utilizan de forma autorizada nuestra red, pero no deberían tener permisos de administración.

El sniffer es un herramienta que actúa en modo pasivo con lo cual no es fácil detectar la existencia de uno de ellos en nuestra red, ya que la única señal que deja visible es la activación del modo promiscuo de la tarjeta de red en el equipo donde se usa.

En el presente post vamos a intentar conocer algunos métodos que pueden ser utilizados para detectar estos sniffers en nuestras redes.

El primero de los métodos es el más rudimentario y menos técnico de todos, pero para redes pequeñas (quizás 4 o 5 equipos) en las que tengamos acceso físico o remoto a las máquinas puede servir. Es simplemente listar los procesos que se están ejecutando en cada una de las máquinas y ver que encontramos. Otra de las formas mediante el mismo método sería consultar el registro a ver si existen sniffers instalados en la clave “HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft”. Obviamente, este método no es muy efectivo, ya que en mayor medida depende del conocimiento que el administrador tenga sobre los varios sniffers existentes. Además, pueden ser sniffers caseros, o desconocidos, con lo cual serían más difíciles de detectar.

El segundo método, ya más técnico consiste en hacer pruebas mediante paquetes ICMP, ya sabéis, el típico ping. Para llevar a cabo este método realizaríamos un  ping a la máquina que queramos probar, tras esto, generaríamos gran cantidad de tráfico TCP en la red en poco tiempo y volveríamos a realizar el ping a la misma máquina. Si entre las latencias de respuesta de uno y otro hay mucha diferencia (3ms frente a 20ms por ejemplo), podemos estar casi seguros de que hay un sniffer activado. La diferencia de latencias se debe a que el equipo está procesando todas las conexiones TCP y no ha podido responder inmediatamente al ping.

El tercer método, es la utilización de ARP’s. Este método consiste en hacer un ping a una dirección IP que queramos, pero con una MAC incorrecta. Para esto, podemos añadir una entrada en la tabla ARP con la IP correcta y una MAC incorrecta. Al ser la dirección MAC incorrecta, el paquete no debería llegar a su destino, pero en algunos sistemas, si hay un monitor de red activado, el sniffer atenderá el paquete y enviará una respuesta.

El cuarto y último método que vamos a ver es el de pruebas de DNS. Algunos sniffers, realizan búsquedas inversas de DNS, es decir, dada una IP, intentan averiguar el nombre de dominio al que corresponde, y nosotros podemos utilizar esta característica para localizarlo. El método consiste en crear una gran cantidad de tráfico TCP con peticiones de dominios que no existan obligando al sniffer a realizar peticiones de resolución de IP y dominio. De esta forma solo tendremos que ver cual de nuestras máquinas es la que realiza estas peticiones de resolución, y así, sabremos en cual está el sniffer.

Evidentemente, existen varias herramientas que se encargan de implementar todos estos métodos de forma automática, como serían:

– Antisniff: Creada tanto para Windows como UNIX. Esta herramienta se encarga de probar si alguno de los dispositivos de la red está en modo promiscuo. Implementa el segundo, tercer y cuarto métodos vistos anteriormente.

– Sentinel: Herramienta de funcionamiento muy similar a Antisniff que utiliza las librerías libpcap y libnet. Implementa el segundo, tercer y cuarto métodos vistos anteriormente.

– CMP: Otra herramienta que se encarga averiguar si hay máquinas en modo promiscuo en nuestra red.

– NEPED: Herramienta que implementa el tercer método visto más arriba.

– SniffDet: Otra herramienta similar a Antisniff y Sentinel.

Bueno, hasta aquí todo lo relacionado con la detección de sniffer en nuestras redes. Buscando algo de información sobre las herramientas he llegado a una página del dominio maestrosdelweb que me ha parecido muy interesante, así que os dejo el enlace aquí. Hace un poco menos referencia a explicaciones teóricas, y un poco más a las herramientas que el presente artículo, así que lo he visto como un buen complemento.




Yorka Godoy Mar 1, 2020 · #3

godoyyorka@,hotmail.com

0

Buen dia estoy en la búsqueda de realizar mis prácticas en ingeniería industrial, quedo atento
Gracias

0
Rafael Almestar Feb 26, 2020 · #1

Interesante...rafael.almestar47@gmail.com

0