Laboratorios: Hacking - Técnicas y contramedidas - Sniffing III

El término Sniffing (Olfateo) puede ser asignado a la práctica de utilizar un software determinado para capturar las tramas de la red. (Recordar definición).

Práctica 43 - capturando datos transmitidos en la red
Herramienta: WinDump
Prerequisitos: WinPcap
Contramedidas: Encriptación de datos, Sistemas de detección de sniffers.
Descripción: WinDump es una versión para windows de la herramienta Tcpdump contenida en BackTrack. Esta utilidad permite capturar el tráfico de red mediante una línea de comandos, permitiendo además guardar los datos capturados a un archivo de texto para su posterior análisis.
Procedimiento: Descargar y ejecutar la herramienta WinDump mediante la siguiente sintaxis:

windump <opciones>

Veamos:

Procedemos a descargar la herramienta desde el link “WinDump

Ubicamos la herramienta mediante línea de comandos

Ejecutamos la herramienta con la siguiente sintaxis:

windump <opciones>

Para mi caso haré uso de la opción -i (selección de interface de red número 2), además de >> para salvar los datos capturados a un archivo de texto

windump -i 2 >> lab_windump.txt

En el momento que deseemos para el escaneo solo basta con presionar las teclas Ctrl + C.

Veamos ahora el contenido del archivo guardado.

Desde allí será posible analizar los datos capturados, en busca de usuarios, contraseñas, correos electrónicos, direcciones IP, direcciones MAC, IP’s de routers, etc.

Más información y manual de WinDump __________________________________________________________

Práctica 44 - Detección de sniffers en la red
Herramienta: Promqry
Prerequisitos: Ninguno
Descripción: La herramienta Promqry ha sido desarrollada para detectar los sistemas que tienen tarjetas de red funcionando en modo promiscuo (lo que suele utilizarse para activar sniffers y capturar todo tipo de tráfico, aunque en especial claves y usuarios de acceso). En un puesto en el que no esté justificado por alguna razón concreta, puede resultar muy sospechoso que se de esa circunstancia, por lo que una revisión de vez en cuando con una herramienta de este tipo puede ahorrar más de un disgusto.
Desde luego, esta no es la única herramienta de este tipo disponible, pero su sencillez y fácil acceso puede hacer que algunos administradores que no hayan tenido en cuenta un problema así se animen a cuidar también ese aspecto de la seguridad.
Procedimiento: Descargar, instalar y ejecutar la herramienta Promqry.

Veamos como llevar a cabo el proceso de uso de la herramienta Promqry para la detección de un sniffer. “La detección de sniffers es una de las múltiples tareas, y una de las más desconocidas, que todos los administradores de seguridad tienen que realizar para garantizar que la seguridad de sus redes no se vea comprometida. Si bien hay un buen número de herramientas que facilitan esta tarea, es importante conocer en profundidad cómo funcionan para poder interpretar y relativizar sus resultados, ya que estos programas tienen un buen número de limitaciones y pueden ser engañados con facilidad para producir falsos positivos y falsos negativos“.
(Más información sobre la detección de sniffers)

Descargar la herramienta desde el enlace (Promqry), también disponible mediante línea de comandos (Promqry línea de comandos). Ejecutar el archivo descargado y aceptamos los términos de licencia

Descomprimimos a la ruta de nuestra preferencia

Vamos a la ubicación donde descomprimimos el archivo instalador para proceder a ejecutar el mismo

Si no tenemos instalado el .NET Framework version 1.1.4322 nos pedirá que lo instalemos, además nos ofrecerá el enlace de descaraga del mismo

Finalmente comienza la instalación

Luego de instalar la herramienta procedemos a realizar una sencilla configuración. Para ello asignaremos un pequeño rango de IP’s de nuestra red. (en mi caso lo haré solo para 80 IP’s, incluyendo la IP del equipo desde el cual ejecutaré un sniffer - WireShark)

Desde otra máquina de mi red (pueden utilizar la máquina virtual) ejecutaré el sniffer por excelencia WireShark

Después de dejar en marcha el sniffer capturando los datos de la red, procedemos a ejecutar la consulta con la herramienta Promqry

Terminadas las consultas de la herramienta vemos como en la pantalla principal aparece el resultado de las mismas. En este caso: positivo.

Analizando un poco más los resultados de la herramienta podemos observar el detalle de la máquina atacante. (tarjeta en modo promiscuo)

Taller individual: Otras herramientas sniffers y anti-sniffers.

Próxima sesión: Ataques por fuerza bruta (brute Force)

Subir