PDF de programación - Sniffers & Snipho

Kiuman


Sniffers

&

Snipho, a particular approach.

[email protected]
(a.k.a Predicad0r)

- 1 -

Kiuman


Indice
Introducción......................................................................................................................................3
Familia de Protocolos de red.............................................................................................................4
Niveles en la pila TCP/IP..............................................................................................................5
El nivel Físico...........................................................................................................................6
El nivel de Enlace de datos.......................................................................................................6
El nivel de Internet....................................................................................................................7
El nivel de Transporte...............................................................................................................7
El nivel de Aplicación...............................................................................................................9
Cómo funciona TCP/IP...................................................................................................................10
IP.................................................................................................................................................10
Direcciones IPv4.....................................................................................................................12
TCP..............................................................................................................................................14
Funcionamiento de TCP.........................................................................................................16
UDP.............................................................................................................................................18
Sniffers............................................................................................................................................20
Que es un Sniffer?.......................................................................................................................20
Usos más comunes..................................................................................................................20
Ejemplos de uso......................................................................................................................20
Como funciona un Sniffer...........................................................................................................21
Detectando sniffers......................................................................................................................25
Métodos basados en MAC......................................................................................................25
Métodos basados en señuelos.................................................................................................27
Métodos basados en latencia de redes y máquinas.................................................................29
Intrusion Detection Systems (IDS).........................................................................................32
Previniendo los sniffers...............................................................................................................33
Algunos sniffers conocidos.........................................................................................................35
Conclusión.......................................................................................................................................38
Snipho :'/.........................................................................................................................................39
Alcances de Snipho.....................................................................................................................39
Pedido de imágenes en HTTP.....................................................................................................39
Formato del pedido:................................................................................................................39
Formato de la respuesta:.........................................................................................................40
Conexión básica:.....................................................................................................................40
Algoritmo principal.....................................................................................................................41
Unidades de soporte................................................................................................................42
Winsock 2.0............................................................................................................................44
Forma de uso...............................................................................................................................45
Pruebas reales..............................................................................................................................46
Referencias......................................................................................................................................47
Comentario general.........................................................................................................................47
Código fuente..................................................................................................................................48

- 2 -

Kiuman


Introducción

El objetivo fundamental de esta documentación es adentrar al lector en los
analizadores de paquetes o -por su denominación en inglés- packet sniffers,
su modo de trabajo, sus incumbencias en seguridad y posibles formas de
detectarlos y defendernos ante ellos.
Antes de adentrarnos en el tema, vamos a hacer una introducción a las redes
de datos y especialmente a la pila TCP/IP que es la que más nos incumbe.
Finalmente veremos una implementación particular de un sniffer de
imágenes, esto es, un sniffer al que solo le preocupa en capturar la
transmisión de imágenes y se encarga de almacenarlas para un futuro
análisis.

- 3 -

Kiuman


Familia de Protocolos de red

La Familia de protocolos de Internet es un conjunto de protocolos de red en la
que se basa Internet y que permiten la transmisión de datos entre redes de
computadoras. En ocasiones se la denomina conjunto de protocolos TCP/IP,
en referencia a los dos protocolos más importantes que la componen:
Protocolo de Control de Transmisión (TCP) y Protocolo de Internet (IP), que
fueron los dos primeros en definirse, y que son los más utilizados de la
familia. Existen tantos protocolos en este conjunto que llegan a ser más de
100 diferentes, entre ellos se encuentra el popular HTTP (HyperText Transfer
Protocol), que es el que se utiliza para acceder a las páginas web, además de
otros como el ARP (Address Resolution Protocol) para la resolución de
direcciones, el FTP (File Transfer Protocol) para transferencia de archivos, y el
SMTP (Simple Mail Transfer Protocol) y el POP (Post Office Protocol) para
correo electrónico, TELNET para acceder a equipos remotos, entre otros.

El TCP/IP es la base de Internet, y sirve para enlazar computadoras que
utilizan diferentes sistemas operativos, incluyendo PC, minicomputadoras y
computadoras centrales sobre redes de área local (LAN) y área extensa
(WAN). TCP/IP fue desarrollado y demostrado por primera vez en 1972 por el
departamento de defensa de los Estados Unidos, ejecutándolo en ARPANET,
una red de área extensa del departamento de defensa.

La familia de protocolos de Internet puede describirse por analogía con el
modelo OSI, que describe los niveles o capas de la pila de protocolos, aunque
en la práctica no corresponde exactamente con el modelo en Internet. En una
pila de protocolos, cada nivel soluciona una serie de problemas relacionados
con la transmisión de datos, y proporciona un servicio bien definido a los
niveles más altos. Los niveles superiores son los más cercanos al usuario y
tratan con datos más abstractos, dejando a los niveles más bajos la labor de
traducir los datos de forma que sean físicamente manipulables.

El modelo de Internet fue diseñado como la solución a un problema práctico
de ingeniería. El modelo OSI, en cambio, fue propuesto como una
aproximación teórica y también como una primera fase en la evolución de las
redes de ordenadores. Por lo tanto, el modelo OSI es más fácil de entender,
pero el modelo TCP/IP es el que realmente se usa. Sirve de ayuda entender el
modelo OSI antes de conocer TCP/IP, ya que se aplican los mismos principios,
pero son más fáciles de entender en el modelo OSI.

- 4 -

Kiuman


Niveles en la pila TCP/IP
Hay algunas discusiones sobre como encaja el modelo TCP/IP dentro del
modelo OSI. Como TCP/IP y modelo OSI no están delimitados con precisión
no hay una respuesta que sea la correcta.

El modelo TCP/IP no está lo suficientemente dotado en los niveles inferiores
como para detallar la auténtica estratificación en niveles: necesitaría tener
una capa extra (el nivel de Red) entre los niveles de transporte e Internet.
Protocolos específicos de un tipo concreto de red, que se sitúan por encima
del marco de hardware básico, pertenecen al nivel de red, pero sin serlo.
Ejemplos de estos protocolos son el ARP (Protocolo de resolución de
direcciones) y el STP (Spanning