En el siguiente informe intentar explicarles que es y como funciona un sniffer, pero para poder comprenderlo tenemos que tener

idea de cmo esta diagramada una red con sus componentes bsicos como ser un modem, un router, un swicht, un hub, etc. Un claro ejemplo de un diagrama de una red estructurada estndar, con conexin a nternet, se aproximar!a a la siguiente imagen

El "#$E" es el gestor de la conexin a nternet, el medio para repartir nternet a las terminales es por medio del %#U&E%. 'a palabra ("#$E"( es la abre)iatura de ("#dulador * $E"odulador(+ y es aqul equipo utili,ado para conectar computadoras por medio de la l!nea, a ser de microondas, cable canal telefnica. -omo su nombre lo dice, el mdem, se encarga de transformar la se.al digital que sale de la computadora, u otro dispositi)o sea /ub, router o swicht, en analgica, que es en la forma que )iaja a tra)s de las l!neas de telfono comunes 0modulala se.al1+ y a su )e,, el mdem receptor se encarga de (demodular( la se.al, transformndola de analgica a digital para ser recibida de nue)o por la computadora 0esta definicin es en general en la actualidad hay mas tipos de "#$E" que se comunican de diferentes maneras pero ese no es el punto en este articulo as! que sigamos1. El %#U&E% es, como la palabra lo dice, un rutador2encaminador. Es un dispositi)o para la interconexin de redes de computadoras que opera en la capa tres 0ni)el de red1 del modelo #3 . El router interconecta segmentos de red o redes enteras. /ace pasar paquetes de datos entre redes tomando como base la informacin de la capa de red. El router toma decisiones 0basado en di)ersos parmetros1 con respecto a la mejor ruta para el en)!o de

datos a tra)s de una red interconectada y luego redirige los paquetes hacia el segmento y el puerto de salida adecuados. #tro elemento, que no se encuentra en el grfico superior, que se utili,ar!a en una arquitectura un poco mas grande es el 34 &-/. Es un dispositi)o de red que filtra, en)!a e inunda de frames en base a la direccin de destino de cada frame. #pera en la capa dos 0ni)el de red1 del modelo #3 . &rmino general que se aplica a un dispositi)o electrnico o mecnico que permite establecer una conexin cuando resulte necesario y terminarla cuando ya no hay sesin alguna que soportar. 5or 6ltimo, el /U7 es un concentrador, un dispositi)o que permite centrali,ar el cableado de una red. 8unciona repitiendo cada paquete de datos en cada uno de los puertos con los que cuenta, excepto en el que ha recibido el paquete, de forma que todos los puntos tienen acceso a los datos. &ambin se encarga de en)iar una se.al de choque a todos los puertos si detecta una colisin. 9a conocemos las definiciones de "#$E", %#U&E%, 34 &-/ y /U7. :dems, hemos )isto en forma grafica, la conexin de una red. %epasemos un poco de teor!a para ir ingresando al mundo de un sniffer. $esde adentro de la red para afuera 0 nternet1, una &erminal25- debe poseer una placa de %ed sea alambrica inalmbrica, esta se debe conectar al %#U&E% en su defecto a un 34 &-/. Este 6ltimo 0sea el router el switch1 se conecta al "#$E", y as! a nternet+ de esta forma tenemos descripta una red con nternet. 5ara poder continuar, necesitamos comprender las diferencias entre un %#U&E%, 34 &-/ y /U7. 3ir)en para los mismo 0conectar )arias terminales en red1, pero no son lo mismo. -omo se defini anteriormente, el router y el switch tienen una )entaja que brindan el ancho de banda a cada boca de acuerdo a la demanda de la &erminal 0limitndola si es necesario1, en cambio el hub repite los paquetes en cada boca de l aunque la terminal no lo demande. :dems, el %#U&E% y el 34 &-/ pueden filtrar determinados paquetes y detener abusos en el trafico de la red como de ser amplia disminucin en el ancho de banda por requerimiento de una &erminal. -onociendo que el router puede filtrar paquetes de una &erminal, nos preguntamos; <-omo identificamos a una terminal en la red= 3implemente por su direccin 5, esto es un n6mero que identifica de manera lgica y jerrquica a una interfa, de un dispositi)o dentro de una red que utilice el protocolo 5 0 nternet 5rotocol1, que corresponde al ni)el de red. $icho n6mero no se ha de confundir con la direccin ":-, que es un n6mero

hexadecimal fijo que es asignado a la tarjeta o dispositi)o de red por el fabricante, mientras que la direccin 5 se puede cambiar. :hora que tenemos el concepto de lo que hace una direccin 5, les informo que bsicamente la mayor!a de los dispositi)os informticos se interconectan mediante una direccin 5, como se muestra en el siguiente grafico

-on los conceptos anteriormente descriptos, )amos a )er la definicin de 3> 88E%. Un sniffer captura los paquetes que en)!a nuestra %ed 0ya sea una computadora en la ':> o nuestro 5-1, en esos paquetes transporta toda la informacin que se en)!a por nternet, as! como usuarios y contrase.as de muchos ser)icios de nternet. :lgunos de estos ser)icios que utili,an usuarios y contrase.as, o datos confidenciales, estn encriptados o codificados para que no se puedan leer. "uchos otros como el ser)icio de 8&5 08ile &ransfer 5rotocol1 )iajan en texto plano, de manera que cualquiera que intercepte esos paquetes puede llegar a interpretar los datos. Existe un sniffer, -ain ? :bel 0http;22www.oxid.it1, el cual es una herramienta de recuperacin de passwords para sistemas operati)os de "icrosoft. 5ermite recuperar fcilmente )arios tipos de passwords mediante el sniffing de la red, logrndolo por medio de -rac@ear passwords encriptados usando diccionarios, fuer,a bruta y ataques mediante criptoanlisis. &ambin graba con)ersaciones Ao 5, decidifica passwords, recupera cla)es de red o cla)es almacenadas en cach. El programa no hace exploit de ninguna )ulnerabilidad software, en cambio lo que hace es cubrir algunos aspectos de seguridad presentes en los protocolos estndares, mtodos de autentificacin y mecanismos de cach. 3u principal propsito es el de recoger passwords de di)ersos lugares. -omo se afirma en la

pgina web de la herramienta+ esta ha sido desarrollada con la esperan,a de que sea 6til a los administradores de redes, profesores, testeadores de intrusiones en el sistema y a cualquier otro profesional de seguridad. 'os pasos para configurar un sniffer en una %ed, recordemos lo que estu)imos )iendo, ya sabemos que una configuracin de este tipo es la estndar para conectar una red a nternet es bsicamente as!;

5ero lamentablemente, un sniffer no funcionar!a en esta arquitectura, <5or que= simplemente porque el router es inteligente y filtra al sniffer. Entonces, <como hay que hacer para lograr hacer andar el sniffer en esta arquitectura= 3imple hay que colocar un /U7 antes del %#U&E%, quedando entonces as!;

:hora que ya tenemos el hardware listo para utili,ar un sniffer iniciemos la nstalacin del sniffer -ain ? :bel.

:hora que a finali,ado la instalacin del sniffer, y reiniciado la maquina, iniciaremos con su configuracin. Ejecutar el -ain ? :bel, ahora hay que configurar la 5laca de %ed para que capture los paquetes que transmiten en la red. $irigirse a la solapa B-onfigureC y seleccionar la placa de red a utili,ar y ah! filtrar los protocolos que queremos captar 0este filtrado se reali,a desde la solapa B8iltres and portsC1. :hora esconderemos nuestra 5, :%5 En)enenamiento del enrutado :rp, donde dice 5 colocaremos una direccin de 5 que no exista en nuestra subred pero que este en el rango de la misma para pretender ante los dems que somos otra terminal y de esta manera ocultar nuestra 5.

7ueno, iniciaremos el sniffer.

niciemos un escaneo de la red en b6squeda de direcciones ":- las cuales queremos esnifear hay que ir a la solapa 3niffer y a la pesta.a inferior de nombre /osts.

-omo podemos )er, nos muestra un listado de 5cs en nuestra %E$

5asemos a )er la tcnica Bman in the middleC, es simple, hay que ir a la solapa :5%

y presionar el s!mbolo BDC de arriba 0as! inicie el sniffer1.

3eleccionando una direccin de 5 del lado i,quierdo, automticamente se llenan los campos del lado derecho del grafico, logrando de esta manera interceptar cualquier dato

que )alla desde la 5 seleccionada a cualquier destino detectado. 0Euedando toda la informacin registrada en el sniffer1 9a funcionando el sniffer y el en)enenamiento :5%, les mostrar como capturar los ps y paquetes en la %E$.

5ara adquirir mejor los conocimientos, )eamos un ejemplo prctico;

El programa )a recogiendo usuarios y contrase.as. En el caso de encontrar contrase.as encriptadas, son en)iadas automticamente al -rac@er.

-on lo anterior, los $iccionarios o con el ataque por fuer,a bruta, salen aproximadamente el FGH de las cla)es esnifiadas. 5ara utili,ar el sniffer en los paquetes del protocolo 8&5 no )amos a tener que reali,ar ning6n tipo de -rac@, ya que estos )iajan en la %E$ en formato de &exto plano. Aeamos un ejemplo; niciemos el sniffer, )amos a la solapa B3nifferC y luego a donde dice B5asswordsC 0)er imagen inferior1.

Una )e, iniciado el sniffer, solo hay que esperar hasta que se inicie una sesin de 8&5 0esto es muy importante1. Una sesin 8&5 puede iniciar por intermedio de un Iestor 0sea el -ute8&5, 8ile,illa o otros1, para subir informacin Bhabilitada por la empresaC a un espacio de un ser)idor de nternet, o aun ms peligroso, ser gestionado por programas esp!as, como ser Jeyloggers 0los mas utili,ados en la argentina son el :rdamax Jeylogger )K., 5erfect @eylogger )K.LMN, Jey*'ogger, ll 'ogger, %5Jeylogger )G.K., Jey*'ogger &eclas, Jey*'ogger Olog N.NK1. 5ara encontrar si existe algun Jeylogger en nuestra %E$, iniciemos el sniffer. 9 )eamos un ejemplo;

3e puede )isuali,ar la captura de un paquete. En la columna B&imestampC, se muestra la fecha y hora en que se inici la sesin+ En la columna B8&5 3er)erC, se muestra la 5 del ser)idor 8&5+ En la columna B-lientC, se muestra la 5 de la 5- que inicia sesin+ En las columnas de BUsernameC y B5asswordC, se muestra lo correspondiente. 3e podran capturar los distintos tipos de contrase.a que aparecen en la lista 0&elnet, -E, "y3E', etc.1, siempre y cuando se elijan los puertos apropiados para dichos procesos.

5ara capturar las cuentas 5#5, o sea, correo electrnico, debemos reali,ar lo siguiente;

:rranquemos el 3niffer, ir a la solapa B5#5PC. En el recuadro derecho, nos muestra todas las cuentas 5#5, la 5 del cliente, el nombre de usuario y la contrase.a. 3imple <no=