Comprender el uso de Sniffer

Johan Javier Urrego

Juan Carlos Restrepo Balvin
Gloria Lora
Hernn Alonso Bernal

Maestra en Seguridad Informtica, Institucin Universitaria ITM, Colombia

E-mail:johanurrego120316@correo.itm.edu.co
E-mail:juankrlos456@hotmail.com
E-mail:gloriaamparolora@gmail.com
E-mail:hernanbernal209513@correo.itm.edu.co

Introduccin

Cada da se presentan ataques ms sofisticados y nuevos a toda la infraestructura que soportan las
trasmisiones de informacin. Como los Sniffer que actan sobre todos los sistemas que componen el
trfico de una red, donde se compromete la interactuacin con otros usuarios y ordenadores. Estos
capturan, interpretan y almacenan los paquetes de datos que viajan por la red, para su posterior anlisis
y poder decodificar contraseas, mensajes de correo electrnico, datos bancarios, entre otros. Estos
ataques que son ms sofisticados ya que son implementados por sectores organizados que invierten todo
su tiempo y esfuerzo en vulnerar los sistemas, para apropiarse de informacin clasificada o importante,
esto con diversos objetivos. Que van desde simple diversin, hasta la alteracin de la gobernabilidad de
un pas utilizando el espionaje ciberntico como herramienta principal para generar inestabilidad en la
infraestructura fsica de seguridad.

Para prever esto se necesitan mantener las infraestructuras de comunicacin seguras, y la nica manera
de hacerlo es entender el funcionamiento de estas amenazas latentes, donde proteger la informacin,
implica implementar tcnicas para evitar la expansin del impacto causado por el incidente de seguridad,
con esto poder modelar entornos a travs de informacin que permite manipula fcilmente los espacios
cibernticos, en donde el mundo es cada da ms dependiente de la tecnologa.

Adems, con estos estudios de funcionamientos de los Sniffer se fortalecen los conocimientos referentes
al manejo de la seguridad informtica en sus estados crticos, y con esto puedo desarrollar competencias
para: implementar, administrar e investigar en las reas de las redes de computadores y seguridad
informtica, para ofrecer un soporte tecnolgico atendiendo las solicitudes en servicios relacionados con
el manejo de la informacin. Formular propuestas para administracin sobre polticas que garanticen la
seguridad de la informacin y la integridad de los servicios ofrecidos en una red.
Parte 1: ejecucin de comandos y captura de trfico en la red.

Para entender de una manera coherente cmo funcionan los Sniffer, se genere trfico en la red, para poder
capturar las tramas y luego realizar el anlisis de los paquetes que circulan por la red: para esto peinero
se ejecutan una serie de comandos como se muestra en el siguiente procedimiento.

a. Cuando se ejecute el comando tracert <ip_destino> (<ip_destino> cualquier IP con alcanzabilidad

en la red) se puede ver la ruta por donde transito la peticin hecha por un usara un dispositivo en
especfico.

Figura 1: muestra la ruta echa por una peticin con el comando tracert.

En la figura 2 se muestra un caratula de trfico en la red, usando el software wires7hark el cual muestra
las caractersticas de los paquetes que transitan en la red cuando un usuario realiza una peticin a un
dispositivo, usando el comando tracert. Se pueden visualizar las rutas y las caractersticas de los
dispositivos por doren poso el paquete con loa peticin.

Figura 2: caratula de trfico en la red con wireshark cuando se ejecuta comando tracert.

b. Ejecute el comando se comprueba el estado de la comunicacin del host local con uno o varios
equipos remotos de una red IP por medio del envo de paquetes ICMP de solicitud.

1. Al ejecutar el comando ping -a -l 9000 <ip_destino>. Se est resuelve nombres de host a

direcciones especifica de un dispositivo dentro de una der de comunicacin.
Figura 3: Captura de paquetes generados por el comando ping a.

2. Desde Linux ping s 9000 <ip_destino>: Cuando se ejecuta el comando ping s 9000
<ip_destino>, este enva constantemente paquetes al host especificado hasta que se enva un carcter de
interrupcin o finaliza el tiempo de espera.

Figura 4: Envi de paquetes usando el comando ping s.

Figura 5: Captura de paquetes generados por el comando ping s.

3. Preguntas a resolver

Qu significan los parmetros ingresados al comando?

El comando ping Se trata de un comando que permite verificar el estado de una conexin para determinar
si una direccin IP especfica o host es accesible desde la red o no.

Para la combinacin del comando ping a l 9000, se tiene que.

-a: Resuelve nombres de host a direcciones.

-l: Tamao del buffer de envo que para este caso es de 9000

Para combinacin del comando ping s 9000, se tiene que.

-s: tiempo para contar los saltos que para este caso es de 9000

c. Cuando se ejecute el comando: ping 172.10.1.1 se puede determinar si la direccin IP especfica

o host es accesible desde la red o no.
Figura 6: Captura de paquetes cuando el comando ping alcanza la IP.

d. El comando ARP a Muestra las entradas ARP activas interrogando al protocolo de datos activos.
Si adr_inet es precisado, nicamente las direcciones IP y Fsicas del ordenador especificado son
mostrados. Si ms de una interfaz de red utiliza ARP, las entradas de cada tabla ARP son
mostradas. Tal como se observa en la (figura 7).
Figura 7: resultado de comando ARP a.

e. Ingrese a Internet y abra cualquier pgina Web, luego lo cierra.

 f. Ejecute el siguiente comando desde la consola de comandos: ns lookup eltiempo.com, este
comando sirve para consultar, obtener informacin, probar y solucionar problemas de los
servidores DNS que usa una conexin.

Figura 8: resultado de la consulta ns lookup eltiempo.com.

6. Ahora nos paramas en el sistema operativo que contiene a Kali y continuacin se realizan las
siguientes opciones y ejecute los comandos respectivos hacia el Windows:

a. Cuando se ejecuta el comando hping3 m, en Kali se muestra el valor de MTU.

Figura 9: resultado del comando hping3 m.

 b. Comando hping3 C, con este comando se tiene el (icmptype) tipo de peticin echo.

Figura 10: resultado del comando hping3 C.

 c. hping3 L

Figura 11: resultado del comando hping3 L.

7. Se detiene la captura de tramas y guarde el archivo capturado para evitar que se pierda.

Preguntas

Protocolo IP: bsicamente este es un protocolo de comunicacin de datos digitales clasificado

funcionalmente en la capa de red segn el modelo internacional OSI.

a. Tome una de las tramas capturadas que corresponda al protocolo IP sin fragmentacin,
muestre el contenido y significado de los campos referentes a la fragmentacin. Porque
asegura que no est fragmentado?

En la (figura 12) se muestre la informacin correspondiente a la captura del encabezado IP Versin

4
Figura 12: encabezado IP Versin 4.

Cabecera: 20 bytes, hace referencia a IHL

de la cabecera Longitud total: 1460

Figura 15: Longitud de IP Versin 4.

Identificacin:0X2539(9529)
Figura 13: Cabecera IP Versin 4.

Tipo de servicio: TOS para este caso

prioridad 0 y demora rendimiento y fiabilidad
normal.
Figura 16: Identificacin de paquete IP Versin
4.

Flags En este caso 0X00 0

Figura 14: servicio TOS IP Versin 4.

Figura 17: Flags de paquete IP Versin 4. Figura 20: protocol TCP.

Fragment Offset: 0 Header Checksum:

Figura 21: Header Checksum.

Fuente:
Figura 18: Fragment Offset de paquete IP
Versin 4.

Time to Live: 64

Figura 22: Fuente.

Figura 19: Time to Live de paquete IP Versin
4.
Destino
Protocolo

Figura 22: Destino.

 b. Tome una de las tramas capturadas que corresponda al protocolo IP con fragmentacin, muestre
el contenido y significado de los campos referentes a la fragmentacin. Porque asegura que est
fragmentado?

Cmo identifica un paquete sin fragmentacin

Estado de la bandera estado 0 0 0

Cmo identifica un paquete fragmentado

Cambia el estado de la bandera 0 1 0

Este campo de tres bits de los cuales el primero debe ser 0 ofrece informacin sobre la fragmentacin
del datagrama.
As el segundo bit del campo (DF) indica si el datagrama puede fragmentarse, valor 0, o no, valor 1.

El tercer bit (MF) indica si el actual es el ltimo trozo de un datagrama, valor 0, o si hay ms, valor 1

Visualizacin del cambio de MTU.

Si el valor MTU establecido es demasiado alto puede causar fragmentacin y prdidas en los paquetes
enviados.
De otro modo, si es inferior no se aprovecha de forma adecuada la capacidad de red.
Los valores MTU asignados por Windows de acuerdo a la red utilizada son:
En redes locales (Ethernet) = 1500 bytes
Redes PPPoE (Point-to-Point Protocol over Ethernet) = 1492 bytes
Redes PPPoE (Windows XP) = 1480 bytes
Conexiones dial-up = 576 bytes

Cada unidad de transmisin consta de los encabezados o headers ms los datos utilizados. Los datos se
refieren como MSS (Maximum Segment Size), definen verdaderamente la informacin a ser enviada,
por lo que la formula sera:
MTU=MSS + encabezados TCP & IP.
Nota: No se encontr cambio en el MTU.

Tipo de ICMp
TCP

a. Tome una trama completa de TCP e identifique todo el establecimiento de la conexin Three
way handshake.
Captura Wireshark N1: segmento nmero 1 envado por el cliente con el bit o flag SYN encendido.

Como se puede ver en la toma, tenemos los siguientes datos en los campos del encabezado TCP:
1. Source port: puerto de origen 80 el cliente recibe las respuestas en este puerto.
2. Destination port: puerto de destino 50645, es a donde se enva la solicitud del cliente.
3. bit SYN: El bit SYN encendido, es utilizado para iniciar el saludo de tres vas o Three-Way
Handshake. Que en otras palabras es decirle al servidor web que deseamos conversar con l.
4. Sequence number: ISNc(Initial Sequence Number) nmero de secuencia inicial del cliente 868644

A continuacin, el Passive Opener o servidor, enva un segundo segmento con ambos el bit SYN,
y el bit ACK encendidos

Al igual que en la toma anterior tenemos los siguientes datos en los campos del encabezado TCP:
1. Source port: puerto de origen 80, el servidor web recibe las peticiones en este puerto.
2. Destination port: puerto de destino 50645, el servidor web responde las peticiones a este puerto.
3. bit SYN: El bit SYN apagado, es utilizado para continuar con el saludo de tres vas o Three-Way
Handshake. Es para decirle al cliente web que deseamos conversar con l.
4. bit ACK: Es utilizado para confirmar al cliente web que recibimos su SYN.
5. Sequence number: ISNs (Initial Sequence Number server) nmero de secuencia inicial del servidor
868644
6. Acknowledgment number: en este caso es el ISNc + 1 =767. De esta forma el cliente sabe que
recibimos el segmento TCP con nmero de secuencia 767 (confirmando segmento SYN del cliente). Y
tambin le dice al cliente, que esperamos recibir un prximo segmento TCP con el nmero 2.263.408.438
en el campo Sequence number de su prximo segmento
 Y finalmente el cliente, enva un tercer segmento con el bit ACK apagado.
Que en palabras comunes sera algo como:

1. Source port: puerto de origen 80, el cliente recibe las respuestas en este puerto.
2. Destination port: puerto de destino 50645, es a donde se enva la solicitud del cliente.
3. bit ACK: Es utilizado para confirmar al servidor web que recibimos su SYN.
4. Sequence Number: el nmero de secuencia del segmento que se est enviando el cual es 868648

b. De la captura:

i.Visualizacin del cambio de MTU

Nota: No se encontr cambio en el MTU.

ii.Visualizacin de paquetes Ack

UDP

a. Tome una de las tramas capturadas y muestre la informacin correspondiente al encabezado UDP.
Explique el significado de cada campo acorde a lo terico.

.
Puerto Origen 61777

Puerto Destino 3702

Tamao 632
b. Igualmente explique la informacin del paquete DNS

En los Flags puede notarse lo siguiente:

Cuando se pone en 1 es porque hubo una respuesta

En Opcode: Especifica el tipo de pregunta que se est enviando, para este caso fue una pregunta
standard 0.

En Authoritative, tiene un cero significa que no obtuvo respuesta del servidor.

El mensaje no est truncado.

En RD cuando est en 1 se solicita al servidor que recibe la consulta.

En RA est en 1 indicando que el servidor tiene la posibilidad de resolver de forma recursiva

ICMP

Es una respuesta de Echo, es un mensaje como respuesta a una peticin de echo. Echo Replay

Cuando es de tipo 8 y Code 0 es una peticin de echo. Echo Request

Inicie una captura de tramas en el server con tcpdump y llvelo a un archivo .pcap (para luego ser ledo
en Wireshark)

Desde Linux, ejecute varios escaneos con nmap, puede ser:

a. nmap <ip>
b. nmap v A O <ip>

c. nmap PN <ip>
d. nmap sP <ip>
e. nmap sC p 80,22,53 T4 <ip>

f. nmap sS <ip>
g. nmap sA <ip>

h. nmap sU p 53 script=dns-recursion <IP>

Para que sirve cada comando
Comando Significado
-v A -O -v Imprime la versin de Nmap y finaliza la ejecucin.
-A Anlisis agresivo
-O (Deteccin de sistema operativo) Enva paquetes TCP
y UDP al objetivo. Analiza las respuestas para conocer
qu tipo de implementacin de la pila TCP/IP tiene el
objetivo
-PN No ping No realiza ninguna tcnica de descubrimiento.
Pasa directamente al anlisis de puertos. Considera a
todos los objetivos como aptos para un anlisis de
puertos.
-sP: Sondeo Ping - Slo determina si el objetivo est vivo
descubrimiento de hosts
sC p 80,22,53 T4 Incluye en el anlisis actual el conjunto por defecto de
scripts (algunos pueden ser intrusivos), la p sirve para
establecer los rangos de los puertos con un retardo entre
unos paquetes y otros de 4 segundos (T4).
 -sS El sondeo SYN es el utilizado por omisin y el ms
popular por buenas razones. Puede realizarse
rpidamente, sondeando miles de puertos por segundo
en una red rpida en la que no existan cortafuegos. El
sondeo SYN es relativamente sigiloso y poco molesto,
ya que no llega a completar las conexiones TCP.
(sondeo TCP SYN)
sA (sondeo TCP ACK)Este sondeo es distinto de otros que
se han discutido hasta ahora en que no puede determinar
puertos abiertos (o incluso abiertos|filtrados). Se utiliza
para mapear reglas de cortafuegos, y para determinar si
son cortafuegos con inspeccin de estados y qu puertos
estn filtrados.
sU p Escaneo de puertos UDP, los UDP son bastante comunes
y los atacantes ciertamente no ignore todo el protocolo

Revise y Analice como se ve cada uno de los comandos en el servidor: como se muestra, cuales
son los identificadores, como detectar si solo llego un SYN o un ACK, etc.

En varios de los comandos ejecutados se puede ver el sondeo SYN este sonde SYN es relativamente
sigiloso y poco molesto, ya que no llega a completar las conexiones TCP. Esta esta tcnica es conocida
como un sondeo medio abierto, porque no se llega a abrir una conexin TCP completa. Se enva un
paquete SYN, como si se fuera a abrir una conexin real y despus se espera una respuesta. Si se recibe
un paquete SYN/ACK esto indica que el puerto est en escucha (abierto), mientras que si se recibe un
RST (reset) indica que no hay nada escuchando en el puerto. Si no se recibe ninguna respuesta despus
de realizar algunas retransmisiones entonces el puerto se marca como filtrado. Tambin se marca el
puerto como filtrado si se recibe un error de tipo ICMP no alcanzable (tipo 3, cdigos 1,2, 3, 9, 10, 13).
Se visualiza en el nmap en varios comandos ejecutados, desde el Kali.

PARTE 3:
1. En la maquina Windows, instale Capsa packet Sniffer y revise su funcionamiento.
 2. Genere diferente trfico hacia el Windows (similar a la parte 1) y revise el trfico.

Comando tracert <ipdestino>

Comando ping a l 9000 <ipdestino>
Desde Linux ping s 9000 <ipdestino>
Conclusiones
1.Es importante reconocer de forma terica y practica cada uno de los paquetes ICMP, TCP, UDP e IP,
puesto que determinaran su funcionamiento en la red y tambin pueden tener informacin importante
para determinar si estamos siendo victimas o no de un ataque.
2. Existe un buen nmero de herramientas gratuitas y altamente configurables que permiten ser
programadas para realizar estos estudios de integridad peridicamente. Son fciles de obtener, cdigo
fuente incluido, en Internet, como por ejemplo en Nmap.
3. Hping3, al igual que hping es una aplicacin de terminal para Linux que nos va a permitir analizar y
ensamblar fcilmente paquetes TCP/IP. A diferencia de un Ping convencional que se utiliza para enviar
paquetes ICMP, esta aplicacin permite el envo de paquetes TCP, UDP, DNS
4. La lucha contra los sniffers es un tema de permanente actualidad: cada vez se desarrollan tcnicas
ms sofisticadas para su deteccin y, casi al instante, se crean nuevos modelos de sniffers que las burlan,
Para esto es importante que cualquier administrador de seguridad conozca muchos programas que
permitan ayudarle a detectar sniffers en sus redes y servicios y as con ayudas de estos poder mitigarlos,
para evitar una cada en sus servicios.
5. Actualmente una tcnica sencilla que pueden ser aplicada para minimizar el impacto de un sniffer, es
la segmentacin de la red fsicamente.
6 El nuevo marco de IPv6, que est siendo lentamente introducido, contribuir a dificultar, de manera
parcial la tarea del atacante, pero no las herramientas seguirn siendo una excelente arma para los
sniffers.
Bibliografa
Servicio Tcnico de PC. (2014). Nmap. Noviembre 9, 2016, de Francisconi.org Soluciones
Informticas Sitio web: http://francisconi.org/linux/comandos/nmap

Norfi Carrodeguas. (2015). Como ajustar el valor MTU para elevar el rendimiento en la navegacin
web. Noviembre 9, 2016, de NorfiPC Sitio web: https://norfipc.com/redes/como-ajustar-valor-mtu-
elevar-rendimiento-navegacion-web.html
Anon, (2016). [online] Available at:
http://www.um.es/docencia/barzana/DIVULGACION/INFORMATICA/Introduccion_a_TCPIP.p
df [Accessed 14 Nov. 2016].
Anon, (2016). [online] Available at: http:///www4.ujaen.es/~mdmolina/rrcc/practica2.pdf [Accessed 14
Nov. 2016].
Anon, (2016). [online] Available at: http:///www.sci.uma.es/wwwscidoc/ip.pdf [Accessed 14 Nov.
2016].
Anon, (2016). [online] Available at: http://www.redescisco.net/sitio/2014/09/09/tcp-connection-
management-tcp-connection-establishment-three-way-handshake/ [Accessed 14 Nov. 2016].
Es.slideshare.net. (2016). Analisis trafico wireshark. [online] Available at:
http://es.slideshare.net/jc3s4rsavage/analisis-trafico-wireshark [Accessed 14 Nov. 2016].
Nmap.org. (2016). Archived content - Nmap tutorial. [online] Available at:
https://nmap.org/bennieston-tutorial/ [Accessed 14 Nov. 2016].
Seguridad y Redes. (2016). Wireshark / Windump. Analisis capturas trfico red. Interpretacin
Datagrama IP. (Actualizacin).. [online] Available at:
http://seguridadyredes.wordpress.com/2009/11/05/wireshark-windump-analisis-capturas-trafico-
red-interpretacian-datagrama-ip-actualizacian/ [Accessed 14 Nov. 2016].
Seguridad y Redes. (2016). Wireshark / Windump. Analisis capturas trfico red. Interpretacin
Datagrama IP. (Actualizacin).. [online] Available at:
http://seguridadyredes.wordpress.com/2009/11/05/wireshark-windump-analisis-capturas-trafico-
red-interpretacian-datagrama-ip-actualizacian/ [Accessed 14 Nov. 2016].
Vitoria, I. and Vitoria, I. (2016). Qu es el comando Ping y cmo funciona. [online] Informtico
Vitoria. Available at: http://www.informaticovitoria.com/que-es-el-comando-ping-y-como-
funciona/ [Accessed 14 Nov. 2016].