Anexo:Tipos de packet sniffers

Anexo:Tipos de packet sniffers

Un packet sniffer es un programa para monitorizar y analizar el trfico en una red de computadoras, detectando los cuellos de botella y problemas que existan. Tambin puede ser utilizado para "captar", lcitamente o no, los datos que son transmitidos en la red.

Tcpdump
Tcpdump muestra las cabeceras de los paquetes que captura de un interfaz de red dado y que cumplen la expresin pasada al ejecutar, es decir, te permite monitorizar trfico de red en tiempo real. Los filtros que se pueden crear para mostrar tan slo la informacin que nos interesa , hacen de tcpdump una herramienta muy potente para el anlisis de trfico en redes de comunicaciones. Tcpdump es una aplicacin peligrosa, por lo que en los sistemas UNX slo se permite su utilizacin al usuario root. Luego, tcpdump permite examinar todas las conversaciones, incluyendo mensajes de broadcast SMB y NMB . Mientras que sus capacidades en deteccin de errores estn principalmente a nivel de capa de red OSI, todava puedes usar su salida para obtener una idea general de qu estn intentando hacer el servidor y el cliente. En Windows, en lugar del tcpdump se usa el Windump.

Darkstat y Traffic-Vis
Darkstat
Darkstat es una herramienta para monitorizar una red, que analiza el trfico de la misma y genera un informe estadstico en formato HTML, basndose en los datos obtenidos. Entre las observaciones que realiza el programa permite: realizar la estadstica de direcciones que se generan en la comunicacin entre hosts, el trfico que se produce, y los diferentes nmeros de puerto usados por los diversos protocolos. Adicionalmente, el programa permite obtener un breve resumen y grficos por perodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa.

Traffic-Vis
Traffic-vis proceso demonio (informtica) que monitoriza el trfico TCP/IP y convierte esta informacin en grficos en ASCII, HTML o Postscript. Traffic-vis tambin permite analizar el trfico entre hosts para determinar qu hosts han comunicado y el volumen de su intercambio (tenga en cuenta que necesita libpcap).

Ngrep
Muestra y busca paquetes. Ngrep se esfuerza por proveer de la mayora de caractersticas comunes del "grep" de GNU, aplicndolas a la capa de network ({"network layer"} del modelo de referencia OSI). ngrep es consciente de la presencia de pcap y permite usar expresiones regulares que concuerden con el "payload" ( o sea la carga, el cuerpo, y _no_ los encabezados) de los paquetes. Actualmente reconoce TCP, UDP, e ICMP sobre Ethernet, PPP, SLIP e interfaces nulas {"null interfaces"}, y comprende la lgica de un filtro "bpf" de la misma manera que herramientas ms comunes de sniffing como tcpdump y snoop.

Anexo:Tipos de packet sniffers

Snort
Snort es un IDS o Sistema de deteccin de intrusiones basado en red (NIDS). Implementa un motor de deteccin de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomala previamente definida como patrones que corresponden a ataques, barridos, intentos o aprovechar alguna vulnerabilidad, anlisis de protocolos, etc., conocidos, todo esto en tiempo real. Est disponible gratuitamente bajo licencia GPL, y funciona en plataformas Windows y UNIX/Linux. Es uno de los ms usados y dispone de una gran cantidad de filtros o patrones predefinidos, as como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a travs de los distintos boletines de seguridad. Este IDS implementa un lenguaje de creacin de reglas flexibles, potente y sencillo. Durante su instalacin ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap... Puede funcionar como sniffer (podemos ver en consola y en tiempo real lo que ocurre en nuestra red, todo nuestro trfico), registro de paquetes (permite guardar en un archivo los logs para su posterior anlisis, un anlisis offline) o como un IDS normal (en este caso NIDS). Daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creacin personalizada de reglas e interpretacin de las alertas. La colocacin de Snort en nuestra red puede realizarse segn el trfico que se quiera vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall, etc., casi donde queramos.

Nwatch
NWatch es un "succionador", pero se puede entender como un analizador de puertos pasivo, que est solamente interesado en trfico IP y organiza los resultados como un explorador de puertos. Esto agrega la ventaja de que cualquier herramienta que funcione encendido tal salida (NDiff) puede utilizar los datos. NWatch se diferencia de un "escner" de puertos real de muchas maneras. Por ejemplo, coger los puertos que se abren para transmisin de datos solamente, algo que en un "escner" de puertos posiblemente faltara. Para la seguridad de la red NWatch es un complemento excelente al barrido de puertos regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un SIGINT (CTRL-c). Durante ese tiempo mira el interfaz por defecto (eth0), siguiendo cada combinacin del IP host/port que descubre. En el ltimo caso sera tpicamente til para espiar o quizs muestreo y anlisis de los patrones del uso neto ms bien que para una supervisin de la seguridad.

Ethereal (wireshark)
Ethereal que ahora se llama Wireshark, es un potente analizador libre de protocolos de redes, funciona bajo Unix, Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la informacin a partir de una captura en disco (puede leer ms de 20 tipos de formato distintos). Destaca tambin por su impresionante soporte de ms de 300 protocolos, gracias sin duda a la licencia GPL y sus ms de 200 colaboradores de todo el mundo. Una de las cosas que ms cuesta entender cuando uno comienza con ethereal es la utilizacin de los filtros a la hora de capturar datos (el tpico error: Unable to parse filter string (parse error), puesto que utiliza un sistema para visualizar los datos y otro totalmente diferentes e incompatible para realizar las capturas (tcpdump). La potencia y posibilidades del Ethereal son excelentes.

Anexo:Tipos de packet sniffers

Ettercap
Ettercap es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la diseccin activa y pasiva de muchos protocolos(incluso cifrados) e incluye muchas caractersticas para el anlisis de la red y del host (anfitrin). Entre sus funciones, las ms destacadas son las siguientes: Injection de caracteres en una conexin establecida emulando comandos o respuestas mientras la conexin est activa. Compatibilidad con SSH1: Puede interceptar users y passwords incluso en conexiones "seguras" con SSH. Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a travs de un proxy. Intercepta trfico remoto mediante un tnel GRE: Si la conexin se establece mediante un tnel GRE con un router Cisco, puede interceptarla y crear un ataque "Man in the Middle". "Man in the Middle" contra tneles PPTP (Point-to-Point Tunneling Protocol). Soporte para Plug-ins.

Kismet
Kismet es un sniffer especfico a Linux para redes inalmbricas. Especficamente , es un detector de la red 802.11 layer2,un succionador, y un sistema sin hilos para la deteccin de la intrusin. Funciona correctamente con los dos principales tipos de tarjetas inalmbricas , es decir, trabajar con cualquier tarjeta sin hilos que apoye modo de supervisin crudo (rfmon) y puede "oler" 802.11b , 802.11a y el trfico 802.11g. Kismet identifica redes de modo pasivo, recogiendo paquetes y detecta redes nombradas estndares, redes ocultas e infiere la presencia de redes nonbeaconing va trfico de los datos.

Fuentes y contribuyentes del artculo

Fuentes y contribuyentes del artculo

Anexo:Tipos de packet sniffers Fuente: http://es.wikipedia.org/w/index.php?oldid=58637728 Contribuyentes: Barri, Biasoli, Caballero tigre, Ccastb, Damifb, Gustronico, Ingenioso Hidalgo, Jmaslibre, La Guiri, Leonpolanco, LordT, Lorenar13, MarcoAurelio, Snakefang, Vitamine, Xatufan, 40 ediciones annimas

Licencia
Creative Commons Attribution-Share Alike 3.0 Unported //creativecommons.org/licenses/by-sa/3.0/