PDF de programación - Sniffing

Imágen de pdf Sniffing

Sniffinggráfica de visualizaciones

Actualizado el 21 de Marzo del 2018 (Publicado el 1 de Noviembre del 2017)
1.080 visualizaciones desde el 1 de Noviembre del 2017
1,5 MB
83 paginas
Creado hace 4a (23/10/2016)
Sniffing

LSI - 2016/2017

José Manuel Vázquez Naya
[email protected]

Contenido

 Sniffing

 Sniffing en medio compartido

 Sniffing en medio conmutado

 Herramientas de captura de tráfico

 Herramientas de detección

 Ataques en medio conmutado

 ARP spoofing

 MAC address overflow

 Port Stealing

Sniffing

MEDIO COMPARTIDO

Sniffing en medio compartido

 Legacy Ethernet

 Implementaciones antiguas de Ethernet basadas en cable coaxial y

protocolo de acceso al medio CSMA / CD

- Cuando un equipo envía una trama, ésta llega a todos los

equipos

- 1 dominio de colisión

Sniffing en medio compartido

 Legacy Ethernet

- Dispositivos de

interconexión:

repetidores

-
- hubs (rep. multipuerto)

- Permiten aumentar el

tamaño de las redes

- Sigue siendo 1 dominio de

colisión

Sniffing en medio compartido

 Un dominio de colisión

 Conjunto de dispositivos que comparten un medio físico de transmisión

y que, por lo tanto, compiten por él

 Todos los equipos reciben todo el tráfico

 En modo "normal", la tarjeta de red (NIC) sólo deja pasar el tráfico

dirigido a su dir. MAC (o a la dir. de broadcast o multicast)

 En modo promiscuo, la NIC "acepta" todos los paquetes,

correspondan o no con su dir. MAC

 Permite capturar tráfico dirigido a otros equipos

Sniffing

MEDIO CONMUTADO

Sniffing en medio conmutado

 Ethernet Conmutado

 Puente (bridge) y conmutador (switch)

 Trabajan en capa 2, tomando decisiones sobre el envío de tramas en base a

direcciones MAC

 Reenvían tráfico sólo por el puerto en el que está conectada la máquina de

destino

 Cada equipo sólo recibe tráfico dirigido a él

Sniffing en medio conmutado

 Ethernet Conmutado (cont.)

 Varios dominios de colisión (cada puerto es un dominio de colisión)

 Un dominio de difusión (o dominio de broadcast)

Sniffing en medio conmutado

 En una red de área local, formada por hubs, switches y dispositivos

finales, únicamente existe un dominio de difusión

 Inconvenientes:

 Saturación de tráfico de difusión en la red

 Falta de control interno en las comunicaciones

 ¿Qué se puede hacer para segmentar un dominio difusión en varios

más pequeños, con el tráfico de difusión de cada uno aislado?

 Utilización de routers

 Creación de VLANs

VLAN

 ¿Qué es una VLAN?

 Es una agrupación lógica de dispositivos que se basa en la configuración

de switches

 Se pueden crear en un switch (o conjunto de switches) diferentes

dominios de difusión, asignando cada puerto del switch a una
agrupación (VLAN) concreta

VLAN

 ¿Qué es una VLAN? (cont.)

 Los criterios que permiten determinar a qué VLAN está asignado un

puerto pueden ser muy diferentes:

 Configuración estática del puerto

 En función de la dirección IP del dispositivo conectado al puerto

 En función de la dirección MAC del dispositivo conectado al puerto

 En función del usuario conectado al puerto (IEEE 802.1x)

 ...

VLAN

 Ejemplo:

 Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24

 Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24

VLAN

 Ejemplo:

 Los dispositivos de la VLAN 1 pertenecen a la red 192.168.10.0/24

 Los dispositivos de la VLAN 2 pertenecen a la red 192.168.20.0/24

trunk

 Para unir VLANs que están definidas en varios switches se puede crear un

enlace especial llamado trunk, por el que fluye tráfico de varias VLANs

VLAN. Trunk

 Los puertos que están asignados a una única VLAN, se conocen

como puertos de acceso

 Los puertos que están asignados a varias VLANs (enlace trunk), se

conocen como puertos troncales

 ¿Cómo sabe un switch a qué VLAN pertenece una trama cuando la

recibe por un puerto troncal?

 Las tramas se etiquetan antes de ser transmitidas por el enlace

troncal

 El estándar IEEE 802.1Q permite añadir una etiqueta de 4 bytes a la
cabecera de las tramas Ethernet, en donde se incluye el nº de VLAN
al que pertenece dicha trama

Sniffing en medio conmutado

 Técnicas para capturar tráfico en medio conmutado

¿Y Wi-Fi?

 Medio compartido

 Utilizan Carrier sense multiple access with collision avoidance

(CSMA/CA)

 Protocolo de control de acceso que permite que múltiples estaciones

utilicen un mismo medio de transmisión

 Se rigen por el estándar 802.11

 Especialmente vulnerables

 Cualquiera puede escuchar

 Seguridad:

 WEP

 WPA

 WPA2

WEP (Wired Equivalent Privacy)

 Se basa en clave única y estática

 El equipo necesita la clave para autenticarse ante el punto de acceso (AP)

 La comunicación se cifra usando esta clave más un Vector de Inicialización

(IV):

 clave de cifrado = clave WEP + IV

 Al enviar la trama, se envía el IV, para que el receptor pueda descifrarla, si

conoce la clave WEP

 RC4 como algoritmo de cifrado

 Problemas:

 IV es demasiado pequeño (24 bits). Acaba por repetirse después de un número no
muy grande de tramas => capturando tramas con el mismo IV, se puede descifrar
la clave WEP

 RC4, en la forma en que lo usa WEP, puede romperse

WPA (Wi-Fi Protected Access)

 Usa claves dinámicas en lugar de clave estática

 Algoritmo TKIP (Temporal Key Integrity Protocol) <= roto

 RC4 como algoritmo de cifrado (corrigiendo las deficiencias de WEP)

 Compatible con equipos existentes

WPA2 (802.11i)

 AES (Advanced Encryption Standard) - CCMP (Counter Mode CBC

MAC Protocol) como algoritmo de cifrado

 Counter Mode: dificulta encontrar patrones

 CBC-MAC (Cipher Block Chaining-Message Authentication Code):

proporciona integridad

 Requiere mucha más carga de computación => nuevo HW

 Desde 2006, todos los productos Wi-Fi Certified deben usar WPA2

 Aparecen nuevas debilidades: WPS (Wi-Fi Protected Setup)

Wi-Fi

 Las redes Wi-Fi se "asemejan" a este escenario (red de cable con

topología HUB)

 Además del modo "promiscuo", en Wi-Fi, existe el modo "monitor",
que permite a la NIC capturar paquetes sin asociarse con el punto de
acceso

Herramientas

 Tcpdump

 Wireshark

 Ettercap

 …

Herramientas. Tcpdump

 Herramienta de línea de comandos cuya utilidad principal es analizar

el tráfico que circula por la red

 Funciona en la mayoría de los sistemas operativos UNIX, utilizando

libpcap

 Hay una adaptación para Windows, WinDump, que utiliza WinPcap

 Web:

 http://www.tcpdump.org/

 Instalación (Linux):

 apt-get install tcpdump

Herramientas. Tcpdump

 Ejemplos:

-- captura tráfico tcp e imprime cada paquete en hexadecimal y ASCII (-X)
-- vv: verbose
-- protocolos soportados: fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp y udp
tcpdump tcp -X -vv

-- captura tráfico del puerto 80
tcpdump port http

-- envía la captura a un archivo (formato compatible con WireShark)
tcpdump -w capture.pcap

-- lee un archivo de log
tcpdump -r capture.pcap

-- captura tráfico con origen o destino 192.168.3.2
tcpdump host 192.168.3.2

-- mostrar los paquetes ftp con el origen y destino indicados
tcpdump src 192.168.1.100 and dst 192.168.1.2 and port ftp

-- capturar los paquetes dirigidos al puerto 22 que lleguen por la interfaz eth0
tcpdump -i eth0 port 22

Herramientas. Wireshark

 Herramienta de análisis de tráfico de red

 Cuenta con una muy buena interfaz gráfica

 Incluye soporte para multitud de protocolos

 Filtros, seguimiento de comunicaciones, análisis automático del

tráfico,…

 Web:

 http://www.wireshark.org/

 Multitud de tutoriales, videos, etc.

 Instalación (Linux):

 apt-get install wireshark

Herramientas. Wireshark

Herramientas. Wireshark

Herramientas. Wireshark

Herramientas. Wireshark

Herramientas. Wireshark

 Ejemplos

 Filtrado por protocolo

 Filtrado por IP

 ip.addr == 192.168.0.1 / !(ip.addr == 192.168.0.1)

 ip.src, ip.dst, …

 Más filtros de ejemplo: Analize > Display Filters

Herramientas. Wireshark

Herramientas. Wireshark

 Otras opciones útiles:

 Follow TCP stream

 Expert Info

 Búsqueda de una cadena de texto

 Edit > Find packet > String

Herramientas detección sniffing

 Nast (apt-get install nast)

 -P, --check-sniffers

 Busca tarjetas en modo "promiscuo"

Herramientas detección sniffing

 NEPED (Network Promiscuous Ethernet Detector)

 Pequeño programa en C

 http://downloads.securityfocus.com/tools/neped.c

 Se basa en la siguiente técnica (test ARP):

 Realiza petición ARP para cada IP a diagnosticar pero en lugar de

dirigirla a la dirección de broadcast (FF:FF:FF:FF:FF:FF) lo hace a una
aleatoria e inexistente

 Sólo las interfaces en modo promiscuo aceptarán estos paquetes

(aceptan todos), luego sólo estas interfaces contestarán a estas
peticiones

Herramientas detección sniffing

 Con ettercap

 ettercap -T // -P search_promisc

 Otras herramientas: Sentinel, AntiSniff, SniffDet, …

Sniffing

ATAQUES EN MEDIO CONMUTADO

ARP Spoofing

 También se conoce como ARP Poisoning o ARP Poison Routing

 Técnica para infiltrarse en red Ethernet conmutada

 Permite al atacante leer paquetes de datos en la LAN, modificar el

tráfico o detenerlo

 El atacante intenta asociar su MAC con la IP de la víctima

ARP (Address Resolution Protocol) (Recordatorio)

 Protocolo de la capa de enlace de datos responsable de encontrar la

dirección MAC que corresponde a una determinada dirección IP

 Funcionamiento:

 Se envía un paquete (ARP request) ,a la dirección de difusión de la red,

que contiene la dirección IP por la que se pregunta, y se espera a que
esa máquina (u otra) responda (ARP reply) con la dirección Ethernet que
le corresponde

Source

Destination

Protocol

Info

HitronTe_44:55:66

Broadcast

ARP

Who has 192.168.0.5? Tell 192.168.0.1

HewlettP_b7:e9:28

HitronTe_44:55:66 ARP

192.168.0.5 is at 00:15:60:b7:e9:28

ARP (Address Resolution Protocol) (Recordatorio)

 Cada máquina mantiene una caché con las direcciones traducidas

para reducir el retardo y la carga: caché ARP

[email protected]:/home/lsi# arp -a
? (10.10.102.4) at 00:90:fb:22:ff:95 [ether] on eth0
? (10.10.1
  • Links de descarga
http://lwp-l.com/pdf7355

Comentarios de: Sniffing (0)


No hay comentarios
 

Comentar...

Nombre
Correo (no se visualiza en la web)
Valoración
Comentarios...
CerrarCerrar
CerrarCerrar
Cerrar

Tienes que ser un usuario registrado para poder insertar imágenes, archivos y/o videos.

Puedes registrarte o validarte desde aquí.

Codigo
Negrita
Subrayado
Tachado
Cursiva
Insertar enlace
Imagen externa
Emoticon
Tabular
Centrar
Titulo
Linea
Disminuir
Aumentar
Vista preliminar
sonreir
dientes
lengua
guiño
enfadado
confundido
llorar
avergonzado
sorprendido
triste
sol
estrella
jarra
camara
taza de cafe
email
beso
bombilla
amor
mal
bien
Es necesario revisar y aceptar las políticas de privacidad