Pues nada, comentaros que aún estoy en la oscuridad referente a este tema...
He estado leyendo, he leido mucho... entre las clases y las tareas pendientes me reta mucho tiempo, pero bueno, recopilando información he conseguido en claro unos datos:
· Leí esto que escribió Th|ck0 (
http://foro.elhacker.net/hacking_basico/detectar_un_sniffer-t107109.0.html;msg500631 ) :
"Ethernet manda los paquetes a todos los componentes de la red hasta que uno se hace reponsable de dicho paquete. Un sniffer lo que hace en si es poner tu tarjeta de red en modo promiscuo, capturando asi en un determinado tiempo ( x ejemplo 30 seg ) la informacion que atraviesa dicha red por determinados puertos ( x ejem;lo el 23, 21, 110, 143 ) permitiendo asi capturar los hashes de las passwd y, como el tiempo de accion de este esta limitado ( 30 seg ) no se arma el lio que se provocaria si el tiempo fuera indefinido /* demasiada informacion de golpe = ataque D.O.S?? */ Pues bien, lo capturado en esos segundos se almacena en un fichero d log y como dije antes, conteniendo asi el login y passwd ya que estan en texto plano. Reconocer un snifer entonces no es tarea tan dificil ( me refiero de forma local! ) ya que con un simple ifconfig ( o, ifconfig -a ) el admin sabra si la tarjeta de red tiene el flag -promisc activado. Para evitar esto se suele intalar en dicho sistema un troyano del mismo ifconfig que vienen en muchos rootkits y que lo que hacen es ocultar el modo promiscuo. Al correr el sniffer se haria en segundo plano ( o sea, ./sniffer & ) pero daria el cante tambien si hicieramos un 'ps', por lo que la solucion a esto seria la misma de antes : instalar un troyano de 'ps'."
Pues bueno, en primera instancia se me ocurre que un antisniff PUEDE que tenga en cuenta varias cosas a la hora de trabajar, una de ella es comprobar si tenemos la tarjeta de red está en modo promiscuo, y obligarla a no tenerla así, por lo que me dificulta la tarea del Sniffing. ¿Si logro que no se de cuenta que la estoy poniendo en modo promiscuo servirá? No estoy muy seguro porque al estár corriendose la "cura" en la maquina de mi compañero tendria que usar algún exploit que me abra algún puerto o algo... conectarme con NetCat... No se! Es un poco engorroso todo, porque una vez que hiciera eso tendria que inutilizar el Antisniff y asi poder hacer sniff con tranquilidad solo que se daría cuenta de que el programa no le está corriendo! No es tonto! ¿Alguna idea?
· Otro dato es que el Antisniff, si es que es un AntiSniff, lo que haya hecho es configurar en el router las tablas ARP estáticas, que solo se puede hacer si las Ip's de red son fijas. No estoy seguro pero puede que lleve 3 dias con la misma Ip LAN y mi novia creo que también, así que estudiaré eso. De ser así lo que ha evitado es que haga ARP SPOOFING, evitando que haga un MITM ya que no puedo redirigir el trafico a mi gusto... Puede, también, que lo haya hecho manualmente tocando el router, pero lo veo menos probable... Nunca se sabe, mejor asegurarse.