Sniffer

2
desde el punto de vista positivo
(diagnóstico de red) como el
negativo (compromete la
confidencialidad de las
comunicaciones).


c) Un sniffer es un programa de
captura de las tramas de red. Es
algo común que, el medio de
transmisión (cable coaxial, UTP,
fibra óptica etc.) sea compartido
por varias computadoras y
dispositivos de red, lo que hace
posible que un ordenador capture
las tramas de información no
destinadas a él. Para conseguir esto
el sniffer le dice a la computadora
que deje de ignorar todo el tráfico
no destinado al equipo y le ponga
atención, esto es conocido como
poner en estado "promiscuo" a la
NIC (Network Interface Card).

d) Un sniffer es un dispositivo que
permite a cualquier elemento
conectado a una red tener acceso al
tráfico que no va destinado
expresamente a él o a broadcast;
tráfico, por tanto, al que no debería
tener acceso.

1
Paco López. Artículo de Redes (RAL). 2006.
http://www.colasoft.com/practica-etheral.pdf
2
Introducción al Analyser. Redes de
Computadores. 2004. http://analyzer.polito.it/
3
Sniffer. Redes y Telecomunicaciones. 2007.
http://www.mundocisco.com/2009/08/que-es-
un-sniffer.html
4
Julio Cesar Hernández. Laboratorio de
Seguridad en Tic.
http://www.revistasic.com/revista42/agorarevi
sta_42.htm

 Utilidad
Los principales usos que se le pueden
dar son:
 Captura automática de contraseñas
enviadas en claro y nombres de
usuario de la red. Esta capacidad
es utilizada en muchas ocasiones
por crackers para atacar sistemas a
posteriori.

 Conversión del tráfico de red en un
formato inteligible por los
humanos.


 Análisis de fallos para descubrir
problemas en la red, tales como:
¿por qué el ordenador A no puede
establecer una comunicación con
el ordenador B?

3
 Medición del tráfico, mediante el
cual es posible descubrir cuellos
de botella en algún lugar de la red.


 Detección de intrusos, con el fin
de descubrir hackers. Aunque para
ello existen programas específicos
llamados IDS
(IntrusionDetectionSystem,
Sistema de Detección de intrusos),
estos son prácticamente sniffers
con funcionalidades específicas.

 Creación de registros de red, de
modo que los hackers no puedan
detectar que están siendo
investigados.


 Para los desarrolladores, en
aplicaciones cliente-servidor. Les
permite analizar la información
real que se transmite por la red.

 Packet Sniffer y la Topología de
Redes
La cantidad de tramas que puede
obtener un sniffer depende de la
topología de red, del modo donde esté
instalado y del medio de transmisión.
Por ejemplo:
 Para redes antiguas con topologías
en estrella, el sniffer se podría
instalar en cualquier nodo, ya que
lo que hace el nodo central es
retransmitir todo lo que recibe a
todos los nodos. Sin embargo en
las redes modernas, en las que solo
lo retransmite al nodo destino, el
único lugar donde se podría poner
el sniffer para que capturara todas
las tramas sería el nodo central.

 Para topologías en anillo, doble
anillo y en bus, el sniffer se podría
instalar en cualquier nodo, ya que
todos tienen acceso al medio de
transmisión compartido.


 Para las topologías en árbol, el
nodo con acceso a más tramas
sería el nodo raíz, aunque con los
switches más modernos, las tramas
entre niveles inferiores de un nodo
viajarían directamente y no se
propagarían al nodo raíz.

4

Es importante remarcar el hecho de
que los sniffers sólo tienen efecto en
redes que compartan el medio de
transmisión como en redes sobre cable
coaxial, cables de par trenzado (UTP,
FTP o STP), o redes WiFi.
El uso de switch en lugar de hub
incrementa la seguridad de la red ya
que limita el uso de sniffers al
dirigirse las tramas únicamente a sus
correspondientes destinatarios.

 Aplicaciones de Packet Sniffers
Algunos sniffers trabajan sólo con
paquetes de TCP/IP, pero hay otros
más sofisticados que son capaces de
trabajar con un número más amplio de
protocolos e incluso en niveles más
bajos tal como el de las tramas del
Ethernet. Algunos los más utilizados
tenemos los siguientes:
 Wireshark, antes conocido como
Ethereal, es un analizador de
protocolos utilizado para realizar
análisis y solucionar problemas en
redes de comunicaciones para
desarrollo de software y
protocolos, y como una
herramienta didáctica para
educación.

 Ettercap, es un
interceptor/sniffer/registrador para
LANs con switch. Soporta
direcciones activas y pasivas de
varios protocolos (incluso aquellos
cifrados, como SSH y HTTPS).


Es importante conocer el
funcionamiento de estas
aplicaciones para en un
dado caso podamos
utilizarlas en una
determinada circunstancia.

III. El Análisis de Tráfico

El análisis del tráfico de red se basa
habitualmente en la utilización de
sondas con interfaz Ethernet conectadas
al bus. Dichas sondas, con su interfaz
Ethernet funcionando en modo
promiscuo, capturan el tráfico a analizar
y constituyen la plataforma en la que
se ejecutarán, de forma continua,

5
aplicaciones propietarias o de dominio
público, con las que se podrá
determinar el tipo de información que
circula por la red y el impacto que
pudiera llegar a tener sobre la misma.
Así por ejemplo, podríamos determinar
la existencia de virus o el uso
excesivo de aplicaciones que
comúnmente degradan las prestaciones de
la red, sobre todo si hablamos de los
enlaces principales que dan acceso a
Internet.

Revista Informática de Estudios Telemáticos.
Análisis del Tráfico de la Red. Universidad
Rafael Chacín. 2005.
http://redalyc.uaemex.mx


 Metodología de los Estudios de
Tráfico
Los estudios de tráfico en redes IP se
basan en la captura o registro de la
información contenida en el frame
(trama) o datagrama IP que se
transfiere por un Segmento red LAN
por un enlace WAN.

 Análisis de tráfico y carga de los
sistemas de telecomunicaciones:
El análisis sobre la carga de tráfico es
un aspecto de diseño a considerar
necesariamente en las redes de
datos, tales como las de
conmutación de paquetes, las de
retransmisión de tramas y las redes
ATM, además en la interconexión de
redes (Internet).

 Modelado de Tráfico
Entendemos por modelo de tráfico
una abstracción matemática más o
menos compleja que trata de imitar
alguna o varias características
estadísticas de un tipo de tráfico real o
de un flujo concreto en particular. Los
modelos poissonianos,
tradicionalmente usados con el tráfico
telefónico, se han demostrado
insuficientes para caracterizar las
nuevas fuentes de tráfico, buena parte
del esfuerzo investigador en estos
últimos años se ha centrado en el
modelado de muestras obtenidas en
redes reales.

6
IV. Los Sniffer como Aplicación de
Doble Filo
Un sniffer es la herramienta más
importante que recolecta información para
un hacker. El sniffer da al hacker un
cuadro completo (topología de la red, las
direcciones del IP) de los datos enviados y
recibidos por la computadora o la red que
está supervisando. Estos datos incluyen,
pero no se limitan a todos los mensajes del
email, contraseñas, nombres del usuario, y
documentos.
 ¿Cómo los hackers utilizan los
sniffers?
Según lo mencionado previamente, los
sniffers como estos se utilizan cada día
para localizar averías de tráfico en la
red del equipo. Los hackers pueden
utilizar este o las herramientas
similares para detectar datos con fijeza
dentro de una red. Sin embargo, estos
no están afuera para localizar averías,
en lugar de eso, están afuera para
espiar contraseñas y otros datos de
total confidencialidad.
 ¿Cómo detectar un Sniffer?
Hay algunas maneras que un técnico
de red puede detectar un NIC al
funcionar en modo promiscuo. Una
forma es comprobar físicamente todas
las computadoras locales para saber si
hay cualquier dispositivo o programa
de sniffer. Hay también programas de
detección de software que pueden
explorar las redes para los dispositivos
que estén funcionando con programas
de sniffer (por ejemplo, AntiSniff).
Estos programas del explorador
utilizan diversos aspectos del servicio
del DomainName y de los
componentes de TCP/IP de un sistema
de red para detectar cualquier
programa o dispositivo malévolo que
esté capturando los paquetes (que
funcionan en modo promiscuo).
 Técnicas Locales de Detección
Aunque no se trata de una tarea
trivial, ésta es, con mucho, la
situación en que resulta más
sencillo localizar un sniffer.
Normalmente basta con revisar la
lista de programas en ejecución
para detectar alguna anomalía
(CTRL+ALT+SUPR o
psaux|more).
 Detección Remota desde el
mismo Segmento de Red

7
Es en este entorno donde más
frecuentemente el administrador
de seguridad tiene que realizar su
investigación. Existe un cierto
número de técnicas heurísticas
que son de utilidad y que se
presentan a continuación, pero
hay que tener claro que estas
técnicas tienen bastantes
limitaciones y que no resulta en
absoluto improbable que exista un
sniffer en la red y que no sea
detectado (falso negativo) o que
máquinas o usuarios
completamente inocentes sean
detectados como sniffers (falsos
positivos). Ninguna de estas
técnicas tiene un balance óptimo
entre estos dos riesgos, y, por
tanto, la recomendación más
sensata es, quizá, usarlas todas y
conocerlas en profundidad para
ser capaces de interpretar y
relativizar sus resultados.
 Límites Teóricos
A veces resulta completamente
imposible detectar un sniffer. Por
ejemplo, si el sniffer ha sido diseñado
exclusivamente para esta tarea
(generalmente dispositivos hardware),
entonces no devolverá jamás un
paquete, no establecerá nunca una
comunicación, sino que permanecerá
siempre en silencio y su detección
remota será, simplemente, imposible.
 ¿Cómo puedo bloquear un
Sniffer?
Hay realmente una forma de proteger
su información contra los sniffer:
¡Utilice el cifrado! Con asegurar los
sitios SSL protegidos y otras
herramientas de la protección, usted
del Web puede cifrar sus contraseñas,
mensajes del email y sesiones de
charla. Hay muchos programas libres
disponibles que sean fáciles de
utilizar. Aunque usted no necesita
siempre proteger la información
pasada durante una sesión de charla
con sus amigos, usted debe por lo
menos tener la opción disponible
cuando sea necesario.

8

V. ESTRUCTURA DE UN PACKET SNIFFER

Aquí se muestra la estructura de un packet
sniffer. A la derecha están los protocolos
(en este caso, protocolos Internet) y
aplicaciones (tal como un webbrowser o
un cliente ftp) que normalmente corre en
su computadora.


VI. BIBLIOGRAFÍA

 Introducción al Analizador de
Protocolos de Red Ethereal
José Francisco Garzón, Artículo
2007

http://dc.exa.unrc.edu.ar/nuevodc/
materias/telecom/Laboratorios/Lab
1_Introduccion.pdf

 Articulo de Redes (RAL)
Paco López, 2006

http://www.colasoft.com/practica-
etheral.pdf

 Sniffers
Redes y Telecomunicaciones,
2007

http://www.mundocisco.com/2009/
08/que-es-un-sniffer.html

9


 Sniffers: qué son y cómo
protegerse
Matthew Tanase, Febrero 2002

http://www.symantec.com/connect/
es/articles/sniffers-what-they-are-
and-how-protect-yourself

 Análisis del Tráfico de la Red.
Revista Informática de Estudios
Telemáticos. Universidad Rafael
Chacín. 2005.

http://redalyc.uaemex.mx