traducido por Federico Dilla
SNIFFERS: how to detect WITHIN OUR NETWORK?
MATIASCARROCERA
| JAN 19, 2015
0 COMMENTS
not connected to FacebookFacebook "Like" -Dummynot connected to Google+ "Google + 1" -Dummynot connected to LinkedIn "LinkedIn" -Dummynot connected to StumbleUpon "Stumble!" - Dummynot connected to Twitter "Tweet this" -Dummy
The "sniffers" are nothing but information packet sniffers in our network.
The most common uses that are given are:
Automatically capture passwords sent in clear and usernames network. This capability is commonly used by crackers to attack systems, or obtain privileges and then sell to commit crimes.
Creating records network, so that hackers can not know they are being searched.
Measuring traffic, detect bottlenecks somewhere in the network.
Failure investigation to reveal network problems, such as: why Team 1 can not communicate with team 2?
Intrusion detection, makes it easy to discover hackers on our network. Although IDS (Intrusion Detection System, Intrusion Detection System), which are analyzers with specific functionality for this activity are normally used.
WE RECOMMEND: When you change your device, do not forget the most important accessory
Different ways to track "sniffers" within our network are recommended, I selected some random examples to help users track the presence of these malicious applications waiting patients.
The Ping Test
We assume in this case- the option of building a kind request "ICMP echo" with the IP address of the suspect computer to host a sniffer, but with a MAC address deliberately misleading. We ship a package "ICMP echo" our goal with the correct IP address, but with a hardware address unequal destination.
Systems usually refuse this package, since its MAC address is incorrect. However, certain Linux, NetBSD and NT systems since the NIC is in heterogeneous mode, the packet sniffer take this network as a legitimate packet and respond in relationship.
YOU WILL WANT: Protect your web traffic over public networks
If the target we analyze recognizes our request, we clearly is in promiscuous mode.
An advanced cybercriminal can update their sniffers to filter such packets, and make it appear that the NIC is not in promiscuous mode.
The ICMP Ping Latency Test
If we use this tactic, we ping the target and note the Round Trip Time (RTT, round trip delay). We generate a significant amount of false TCP connections on our network in a very short period of time.
We waited for the sniffer solve these packets and analyze whether the latency increases.
If the test result is positive we ping again, and compare the RTT this time with the first value we got. After a series of tests and measurements, we can conclude if a sniffer is actually running on our network or not.
RELATED: Meet the hidden side of free applications
DNS test
In a way it can be a daring method, because the screening tool itself is "open" mode. We generate multiple false TCP connections in our network segment, expecting a poorly written sniffer to capture these connections and resolve the IP address of the nonexistent hosts.
Some sniffers running DNS reverse lookups on packets captured. When a reverse DNS lookup, utility location sniffers "simulates" a request lookup to see if the target is one that makes the request of nonexistent host is running.
The ARP test
We issue an ARP request to our goal with all the fast information except with a hardware address wrong destination. A machine that is not in promiscuous mode never detect that package. If a team is in promiscuous mode, the ARP request will be serviced and core the process and answer. The team that answers it is evident that it is in promiscuous mode.
Sniffers, how do we protect ourselves?
In general action to prevent packet sniffers and prevent them from reaching their goals sniff passwords or failing that we "read sensitive data" in plain text without encryption strongly, we can activate or use certain technical systems such as:
PGP
SSL
SSH
VPN
I also advise the following:
-Install VLANs, that significantly improve security. It is necessary to note that some kind of political / VLAN configuration, can be harnessed to be attacked by ARP Spooofin.
-Also Is worth remembering that some routers / switch implemented additional security measures by anti spoofing rules, etc.
In this note I've just taken some of the many techniques exist to combat sniffers, only to exemplify the ability to protect your computer from attack by cybercriminals.
By Ariel Sepulveda, manager of technical systems F-Secure for Latin America.
SNIFFERS: ¿CÓMO DETECTARLOS DENTRO DE NUESTRA RED?
Los “sniffers” no son otra cosa que analizadores de paquetes de información, en nuestra red.
Los usos más habituales que se les da son:
- Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada habitualmente por crackers para atacar sistemas, u obtener privilegios para luego venderlos para la comisión de delitos.
- Creación de registros de red, de modo que los hackers no puedan saber que están siendo buscados.
- Medición del tráfico, para detectar cuellos de botella en algún lugar de la red.
- Investigación de fallos para revelar problemas en la red, tales como: ¿por qué el equipo 1 no puede comunicar con el equipo 2?
- Detección de intrusos, facilita la posibilidad de descubrir hackers en nuestra red. Aunque normalmente se utilizan IDS (Intrusion Detection System, Sistema de Detección de intrusos), los cuales son analizadores con funcionalidades específicas para esta actividad.
Se recomiendan diferentes formas para rastrear “sniffers” dentro de nuestra red, he seleccionado algunos ejemplos al azar, para ayudar a los usuarios a rastrear la presencia de estas aplicaciones maliciosas que esperan pacientes.
El Test del Ping
Asumimos la opción –en este caso- de construir una petición tipo “ICMP echo” con la dirección IP del equipo sospechoso de hospedar un sniffer, pero con una dirección MAC deliberadamente errónea. Enviamos un paquete “ICMP echo” a nuestro objetivo con la dirección IP correcta, pero con una dirección de hardware de destino desigual.
Normalmente los sistemas denegarán este paquete, ya que su dirección MAC es incorrecta. No obstante, ciertos sistemas Linux, NetBSD y NT, puesto que el NIC está en modo heterogéneo, el sniffer tomará este paquete de la red como un paquete legítimo y responderá por relación.
TE VA A INTERESAR: Protege tu tráfico web en las redes públicas
Si el objetivo que analizamos reconoce a nuestra petición, tendremos claro que se encuentra en modo promiscuo.
Un cibercriminal avanzado puede actualizar sus sniffers para filtrar tales paquetes, y hacer que parezca que el NIC no está en modo promiscuo.
El Test ICMP Ping de Latencia
Si utilizamos esta táctica, hacemos ping al objetivo y anotamos el Round Trip Time (RTT, retardo de ida y vuelta). Generamos una cantidad importante de falsas conexiones TCP en nuestra red, en un período de tiempo muy breve.
Esperamos a que el sniffer resuelva estos paquetes y analizamos si el tiempo de latencia incrementa.
Si el resultado del análisis es positivo hacemos ping otra vez, y comparamos el RTT esta vez con el primer valor que obtuvimos. Luego de una serie de tests y medidas, podemos concluir si un sniffer está realmente funcionando en nuestra red o no.
RELACIONADO: Conoce el lado oculto de las aplicaciones gratis
DNS test
En cierto modo puede resultar un método osado, pues la herramienta de detección en sí misma está en modo “abierto”. Generamos múltiples conexiones TCP falsas en nuestro segmento de red, esperando un sniffer pobremente escrito para atrapar estas conexiones y resolver la dirección IP de los hosts inexistentes.
Ciertos sniffers ejecutan búsquedas inversas DNS en los paquetes que capturan. Cuando se ejecuta una búsqueda inversa DNS, la utilidad de localización de sniffers “simula” una petición de operaciones de búsqueda para ver si el objetivo es aquel que hace la petición del host inexistente.
El test ARP
Expedimos una petición ARP a nuestro objetivo con toda la información rápida excepto con una dirección hardware de destino errónea. Una máquina que no está en modo promiscuo nunca detectará dicho paquete. Si un equipo se encuentra en modo promiscuo, la petición ARP será atendida y el núcleo la procesará y contestará. El equipo que contesta queda en evidencia de que se encuentra en modo promiscuo.
Sniffers, ¿cómo nos protegemos?
En líneas generales para prevenir la acción de los sniffers y evitar que éstos alcancen sus objetivos de husmear contraseñas o en su defecto que nos “lean datos sensibles” en texto plano -sin cifrado fuerte-, podemos activar ciertas técnicas o recurrir a sistemas como:
- PGP
- SSL
- SSH
- VPN
También aconsejo lo siguiente:
-Instalar VLANs, que mejoran notablemente la seguridad. Es necesario tener en cuenta que algunos tipo de políticas / configuración VLANs, pueden ser aprovechadas para ser atacadas mediante ARP Spooofin.
-También es bueno recordar que algunos routers / switch implantan medidas de seguridad adicionales anti spoofing mediante reglas, etc.
En esta nota solo he tomado algunas de las múltiples técnicas que existe para combatir sniffers, solo para ejemplificar la posibilidad de proteger su equipo ante el ataque de cibercriminales.
Por Ariel Sepulvéda, gerente de sistemas técnicos de F-Secure para Latinoamérica.
