Las computadoras se comunican mediante redes. Estas redes pueden estar en una LAN de red de área local o expuestas a Internet. Los rastreadores de red son programas que capturan datos de paquetes de bajo nivel que se transmiten a través de una red. Un atacante puede analizar esta información para descubrir información valiosa, como identificadores de usuario y contraseñas.
En este artículo, le presentaremos técnicas y herramientas comunes de rastreo de redes que se utilizan para rastrear redes. También veremos las contramedidas que puede implementar para proteger la información confidencial que se transmite a través de una red.
Temas cubiertos en este tutorial
- ¿Qué es el rastreo de redes?
- Olfateo activo y pasivo
- Actividad de piratería: Sniff Network
- ¿Qué es la inundación de control de acceso a medios (MAC)?
¿Qué es el rastreo de redes?
Las computadoras se comunican transmitiendo mensajes en una red utilizando direcciones IP. Una vez que se ha enviado un mensaje a una red, la computadora receptora con la dirección IP coincidente responde con su dirección MAC.
El rastreo de redes es el proceso de interceptar paquetes de datos enviados a través de una red. Esto puede realizarse mediante el programa de software especializado o el equipo de hardware. Oler se puede utilizar para;
- Capture datos confidenciales como credenciales de inicio de sesión
- Escuchar a escondidas los mensajes de chat
- Los archivos de captura se han transmitido a través de una red.
Los siguientes son protocolos que son vulnerables a la detección
- Telnet
- Rlogin
- HTTP
- SMTP
- NNTP
- MÚSICA POP
- FTP
- IMAP
Los protocolos anteriores son vulnerables si los datos de inicio de sesión se envían en texto sin formato.
Olfateo pasivo y activo
Antes de analizar el rastreo pasivo y activo, veamos dos dispositivos principales que se utilizan para conectar computadoras en red; concentradores y conmutadores.
Un concentrador funciona enviando mensajes de difusión a todos los puertos de salida excepto al que ha enviado la difusión . La computadora receptora responde al mensaje de transmisión si la dirección IP coincide. Esto significa que cuando se usa un concentrador, todas las computadoras de una red pueden ver el mensaje de transmisión. Opera en la capa física (capa 1) del modelo OSI.
El siguiente diagrama ilustra cómo funciona el concentrador.
Un interruptor funciona de manera diferente; asigna direcciones IP / MAC a puertos físicos en él . Los mensajes de difusión se envían a los puertos físicos que coinciden con las configuraciones de dirección IP / MAC de la computadora receptora. Esto significa que los mensajes de difusión solo los ve la computadora receptora. Los conmutadores operan en la capa de enlace de datos (capa 2) y la capa de red (capa 3).
El siguiente diagrama ilustra cómo funciona el conmutador.
El rastreo pasivo consiste en interceptar paquetes transmitidos a través de una red que utiliza un concentrador . Se llama olfateo pasivo porque es difícil de detectar. También es fácil de realizar, ya que el concentrador envía mensajes de difusión a todas las computadoras de la red.
El rastreo activo consiste en interceptar paquetes transmitidos a través de una red que utiliza un conmutador . Hay dos métodos principales que se utilizan para rastrear redes enlazadas de conmutadores, ARP Poisoning y MAC flooding.
Actividad de piratería: olfatear el tráfico de la red
En este escenario práctico, usaremos Wireshark para rastrear paquetes de datos a medida que se transmiten a través del protocolo HTTP . Para este ejemplo, rastrearemos la red usando Wireshark, luego iniciaremos sesión en una aplicación web que no usa comunicación segura. Iniciaremos sesión en una aplicación web en http://www.techpanda.org/
La dirección de inicio de sesión es Esta dirección de correo electrónico está protegida contra spambots. Necesita tener JavaScript habilitado para verlo. y la contraseña es Password2010 .
Nota: iniciaremos sesión en la aplicación web solo con fines de demostración. La técnica también puede rastrear paquetes de datos de otras computadoras que están en la misma red que la que está utilizando para rastrear. El rastreo no solo se limita a techpanda.org, sino que también rastrea todos los paquetes de datos HTTP y otros protocolos.
Oler la red con Wireshark
La siguiente ilustración muestra los pasos que llevará a cabo para completar este ejercicio sin confusión.
Descargue Wireshark desde este enlace http://www.wireshark.org/download.html
- Abrir Wireshark
- Obtendrá la siguiente pantalla
- Seleccione la interfaz de red que desea rastrear. Nota para esta demostración, estamos usando una conexión de red inalámbrica. Si está en una red de área local, debe seleccionar la interfaz de red de área local.
- Haga clic en el botón de inicio como se muestra arriba
- Abra su navegador web y escriba http://www.techpanda.org/
- El correo electrónico de inicio de sesión es Esta dirección de correo electrónico está protegida contra spambots. Necesita tener JavaScript habilitado para verlo. y la contraseña es Password2010
- Haga clic en el botón enviar
- Un inicio de sesión exitoso debería brindarle el siguiente tablero
- Regrese a Wireshark y detenga la captura en vivo
- Filtrar los resultados del protocolo HTTP solo con el cuadro de texto del filtro
- Busque la columna de información y busque entradas con el verbo HTTP POST y haga clic en él
- Justo debajo de las entradas del registro, hay un panel con un resumen de los datos capturados. Busque el resumen que dice Datos de texto basados en líneas: application / x-www-form-urlencoded
- Debería poder ver los valores de texto sin formato de todas las variables POST enviadas al servidor a través del protocolo HTTP.
¿Qué es un MAC Flooding?
La inundación de MAC es una técnica de rastreo de redes que inunda la tabla MAC del conmutador con direcciones MAC falsas . Esto lleva a sobrecargar la memoria del conmutador y hace que actúe como un concentrador. Una vez que el conmutador se ha visto comprometido, envía los mensajes de difusión a todas las computadoras de una red. Esto hace posible rastrear paquetes de datos a medida que se envían en la red.
Contramedidas contra la inundación de MAC
- Algunos conmutadores tienen la función de seguridad del puerto . Esta función se puede utilizar para limitar la cantidad de direcciones MAC en los puertos. También se puede utilizar para mantener una tabla de direcciones MAC segura además de la proporcionada por el conmutador.
- Los servidores de autenticación, autorización y contabilidad se pueden utilizar para filtrar las direcciones MAC descubiertas.
Contramedidas de olfateo
- La restricción a los medios físicos de la red reduce en gran medida las posibilidades de que se instale un rastreador de red
- Cifrar los mensajes a medida que se transmiten a través de la red reduce en gran medida su valor, ya que son difíciles de descifrar.
- Cambio de la red a un Secure Shell (SSH) a la red también reduce las posibilidades de la red han olieron.
Resumen
- El rastreo de red está interceptando paquetes a medida que se transmiten a través de la red.
- El rastreo pasivo se realiza en una red que utiliza un concentrador. Es difícil de detectar.
- El rastreo activo se realiza en una red que utiliza un conmutador. Es fácil de detectar.
- La inundación de MAC funciona inundando la lista de direcciones de la tabla MAC con direcciones MAC falsas. Esto hace que el interruptor funcione como un HUB.
- Las medidas de seguridad descritas anteriormente pueden ayudar a proteger la red contra el rastreo.
