elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Rompecabezas de Bitcoin, Medio millón USD en premios


+  Foro de elhacker.net
|-+  Informática
| |-+  Tutoriales - Documentación (Moderadores: r32, ehn@)
| | |-+  Sniffers en Sistemas Linux...
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Sniffers en Sistemas Linux...  (Leído 8,703 veces)
bAd bItE 32
Visitante


Email
Sniffers en Sistemas Linux...
« en: 28 Mayo 2003, 11:09 am »

lo obtuve por medio de un amigo que usa linux, ya que yo no uso,  he decido compartirlo con los miembros del mejor foro de hackers en español en el que yo he estado
espero les sirva y si no les sirve  ;D tomenlo como otro conocimiento mas para su "cuenta"  ;)


Detectando Sniffers en Sistemas Linux.
 
Tratamos este tema, de momento, para redes no conmutadas. más adelante veremos que se puede sniffear en redes conmutadas y hasta detectar este tipo de intrusiones.

Antes que nada, decir que los sniffers no son fáciles de detectar y combatir, ya que se trata de programas que trabajan en modo pasivo. Las técnicas que se tratan aquí, por tanto, no son totalmente fiables, aunque en algunos casos si suponen una grn aproximación al descubrimiento de este tipo de software.

En entornos Linux o UNIX la verificación de una interface en modo promiscuo se puede hacer usando ifconfig. Este programa configura la interface de red instalada en un determinado host y obtiene información de la configuración en el momento de ejecutar el programa. Cuando un adaptador de red se encuentra en modo promiscuo, ifconfig nos devuelve la siguiente información:



code:--------------------------------------------------------------------------------
$ ifconfig -a

eth0 Link Encap: 10Mbps Ethernet HWaddr: xx:xx:xx:xx:xx:xx
inet addr: a.b.c.d Bcast: a.b.c.f Mask: m.m.m.m
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1 (OJO: Modo promiscuo)

RX packets: 0 errors:0 dropped:0 overruns:0TX packets:0 errors:0 dropped:0 overruns:0

Interrupt:15 Base Address:0x300
--------------------------------------------------------------------------------


Este sistema no es infalible.

Existen programas que pueden hacer esta labor como:

cpm (Check Promiscuous Mode)

Este pequeño programa realizado por la Universidad de Carnegie Mellon, chequea el interfaz de red de la máquina descubriendo si está siendo utilizado en modo promiscuo (escuchando todo el tráfico de la red).


code:--------------------------------------------------------------------------------
$ cpm

4 network interfaces found:

eth0:5: Normal
eth0:3: Normal
eth0:2: Normal
eth0:1: Normal
eth0: *** IN PROMISCUOUS MODE ***
--------------------------------------------------------------------------------


Existen otros programas como Antisniff, Sentinel, SniffDet, ifstatus o NEPED:

Veamos como trabaja NEPED

Tenemos que introducir la interface de red:


code:--------------------------------------------------------------------------------
$ neped eth0

----------------------------------------------------------

> My HW Addr: 00:50:BF:1C:41:59
> My IP Addr: 192.168.0.1
> My NETMASK: 255.255.255.0
> My BROADCAST: 192.168.1.255

----------------------------------------------------------
Scanning ....

* Host 192.168.0.3, 00:C2:0F:64:05:FF **** Promiscuous mode detected !!!

End.
--------------------------------------------------------------------------------


NEPED utiliza la técnica de realizar una simple petición ARP para cada una de las IPs de la red a diagnosticar, pero ojo, los paquetes no van destinados a broadcast (FF:FF:FF:FF:FF:FF), sino a una dirección aleatoria e inexistente. Sólo las interfaces en modo promiscuo verán estos paquetes, y de esta manera, sólo estas interfaces contestarán a estas peticiones.

Existe también un dispositivo de hardware llamado Tap. Este dispositivo permite conectarse a un Hub o incluso a un switch de red al cual conectásemos un dispositivo (ordenador) para monitorizar la red. Existen tipos de Taps para cada tipo de red Ethernet 10 Mbps, 100 Mbps y 1 Gbps.

Más información en: www.netoptics.com

SniffDet - Remote Sniffer Detection
http://prdownloads.sourceforge.net/...fdet-0.8.tar.gz

Usa lás técnicas test ICMP, test ARP, test DNS y test de ping de latencia.

code:--------------------------------------------------------------------------------
sniffdet 0.8
A Remote sniffer Detection Tool
Copyright (c) 2003
Ademar de Souza Reis Jr.
Milton Soares Filho

Usage: ./sniffdet [options] TARGET
Where:
TARGET is a canonical hostname or a dotted decimal IPv4 address

-i --iface=DEVICE Use network DEVICE interface for tests
-c --configfile=FILE Use FILE as configuration file
-l --log=FILE Use FILE for tests log
-f --targetsfile=FILE Use FILE for tests target
--pluginsdir=DIR Search for plugins in DIR
-p --plugin=FILE Use FILE plugin
-u --uid=UID Run program with UID (after dropping root)
-g --gid=GID Run program with GID (after dropping root)
-t --test=[testname] Perform specific test
Where [testname] is a list composed by:
dns DNS test
arp ARP response test
icmp ICMP ping response test
latency ICMP ping latency test
-v --verbose Run in verbose mode
-h, --help Show this help screen and exit
--version Show version info and exit

Defaults:
Interface: "eth0"
Log file: "sniffdet.log"
Config file: "/etc/sniffdet.conf"
Plugins Directory: "/usr/lib/sniffdet/plugins"
Plugin: "stdout.so"

You have to inform at least one test to perform
--------------------------------------------------------------------------------


vemos un ejemplo resultado de este software:

code:--------------------------------------------------------------------------------
------------------------------------------------------------
Sniffdet Report
Generated on: xxxxxxxxx 2003
------------------------------------------------------------
Tests Results for target 192.168.2.1
------------------------------------------------------------
Test: ARP Test
Check if target replies a bogus ARP request (with wrong MAC)
Validation: OK
Started on: xxxx
Finished on: Mxxxxx
Bytes Sent: 84
Bytes Received: 60
Packets Sent: 2
Packets Received: 1
------------------------------------------------------------
RESULT: POSITIVE
------------------------------------------------------------
------------------------------------------------------------
Number of tests with positive result: #1
------------------------------------------------------------
--------------------------------------------------------------------------------


Otras formas de detectar posibles sniffers

* Detectar y controlar los logs que suelen generar los sniffers.
* Detectar y controlar las conexiones al exterior.
* Monitorizados los programas que acceden al dispositivo de red.
* Normalmente una interface en modo promiscuo, queda reflejada en el fichero de logs:
* $ cat /var/log/messages

Otras técnicas de detección

Sólo por nombrar algunas, son usadas por los programas anti-sniffers. Comentaremos la última:

* Ping de latencia
* Test ARP
* Uso de un IDS. Por ejemplo Snort que contiene un preprocesador (arpspoof) que nos puede servir. Aquí las líneas de snort.conf configurando el preprocesador:

code:--------------------------------------------------------------------------------
# arpspoof
#----------------------------------------
# Experimental ARP detection code from Jeff Nathan, detects ARP attacks,
# unicast ARP requests, and specific ARP mapping monitoring. To make use
# of this preprocessor you must specify the IP and hardware address of hosts on # the same layer 2 segment as you. Specify one host IP MAC combo per line.
# Also takes a "-unicast" option to turn on unicast ARP request detection.
# Arpspoof uses Generator ID 112 and uses the following SIDS for that GID:
# SID Event description
# ----- -------------------
# 1 Unicast ARP request
# 2 Etherframe ARP mismatch (src)
# 3 Etherframe ARP mismatch (dst)
# 4 ARP cache overwrite attack

preprocessor arpspoof
preprocessor arpspoof_detect_host: 192.168.2.1 f0:0f:00:f0:0f:00
--------------------------------------------------------------------------------

* Test DNS

Test DNS: Creamos falsas conexiones TCP contra hosts
inexistentes en la subred a testear. Si un sniffer se encuentra activo, enviará peticiones a la DNS para resolver el nombre del host. Interceptando dichas peticiones averiguaremos si en el segmente de red exite o no un sniffer activo.

Protegerse contra la acción de los sniffers

A grandes rasgos para protegernos de los sniffers y para que éstos no cumplan sus objetivos de olfateo de contraseñas y en general nos "lean datos sensibles" en texto plano -sin cifrado fuerte-, podemos hacer uso de diversas técnicas o utilizar sistemas como:

* Redes conmutadas (no siempre es efectivo)
* PGP
* SSL
* SSH
* VPN,
* etc.

 
                   
salu2

------------------------------------------
Alfon
www.seguridadyredes.tk
http://www.beeeeee.net/nautopia/
-------------------------------------------


« Última modificación: 17 Febrero 2004, 15:04 pm por ..sR. aDiKtO.. » En línea

Alfon

Desconectado Desconectado

Mensajes: 2



Ver Perfil
Re:Sniffers en Sistemas Linux...
« Respuesta #1 en: 17 Febrero 2004, 10:07 am »

Hola,

No se de donde has copiado el texto. Sólo tres sitios tiene acuerdos de colaboración con mi persona para la distribución de mis artículos de forma íntegra o parcial.

En mi página personal, donde están depositados los originales, existe unas condiciones de uso sujetas al registro de estos artículos. Resumiendo las condiciones, diré que al menos hay que cuitar autor y dirección del sitio origina, así como pedir permiso al autor.

Como supongo que el texto parcuial de unos de mis artículos aquí posteado  "lo obtuve por medio de un amigo que usa linux".. sólo pido que se cite su autor, mail  y sitio de procedencia.

A parte de esto, decir que el artículo está ampliado, revisado y actualizado, por lo que si, se cumplen las cuatro cosillas que os pido, no me importaría ceder el material para que todos os aprovechéis de el.

------------------------------------------
Alfon
www.seguridadyredes.tk
http://www.beeeeee.net/nautopia/
-------------------------------------------


« Última modificación: 17 Febrero 2004, 10:35 am por Alfon » En línea

..sR. aDiKtO..
Ex-Staff
*
Desconectado Desconectado

Mensajes: 1.451


..enseña lo que sabes, aprende lo que no..


Ver Perfil
Re:Sniffers en Sistemas Linux...
« Respuesta #2 en: 17 Febrero 2004, 15:06 pm »

Yo no sabia que el texto era copiado, sino hubiera puesto la fuente, te pido disculpas por el usuario que lo escribio y acabo de modificar su mensaje para que cite la fuente.
SALU2
En línea

Alfon

Desconectado Desconectado

Mensajes: 2



Ver Perfil
Re:Sniffers en Sistemas Linux...
« Respuesta #3 en: 18 Febrero 2004, 08:11 am »

Bueno, ya imaginé que no sabías de donde al habértelo pasado un amigo. Sólo quería que se pusiera la fuente. Gracias por hacerlo.  A veces a uno se le quitan las ganas cuando investiga, invierte tiempo, escribe para compartir y vienen otros y copian/pegan sin citar quien es su verdadero autor... al menos eso.. es lo mínimo que uno pide.

Lo dicho gracias... y para cualquier cosa ya sabeis donde encontrarme.
En línea

murphy_s

Desconectado Desconectado

Mensajes: 16


viva el sofware libre!!


Ver Perfil
Re:Sniffers en Sistemas Linux...
« Respuesta #4 en: 30 Marzo 2004, 11:06 am »

Hola soy nuevo en foro  :) y queria saber si hay alguien q pueda guiarme un poco en el tema de los sniffers en Linux. El caso es que estoy bastante verde  :-\ en el tema y necesito implemetar un codigo que capture tramas de una red y las analice indicando la fecha de captura, el tipo de trama, direccion origen y destino, longitud en bytes, etc. utilizando la libreria pcap.h entre otras.

Pido perdon si la respuesta a mi post ya está contestada en el foro, pero es un foro muy extenso y no he tenido mucho tiempo  ::), por cierto ¡¡ESTE FORO ESTÁ DE p**a MADRE!!

Muchas Gracias!  ;)
En línea

sxmxone!

Desconectado Desconectado

Mensajes: 4



Ver Perfil
Re: Sniffers en Sistemas Linux...
« Respuesta #5 en: 17 Noviembre 2007, 17:31 pm »

Graziaz x el dato me zirvio mucho ya que no eztube metido en ezta converzazion pero paze un rato por aqui y vi el kontenido nezezitaba zaber zobre como sniffar la red con linux y me ah zervido!

Zaludoz!
En línea

sumzone!
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Instalacion y uso de kismet en sistemas linux. --2da parte--
Hacking Wireless
CloudswX 0 2,629 Último mensaje 29 Agosto 2014, 20:33 pm
por CloudswX
Variante del malware KillDisk cifra sistemas Linux
Noticias
wolfbcn 0 1,349 Último mensaje 11 Enero 2017, 15:41 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines