Tipos de Sniffer

Ya que comenzamos con este tipo de tecnicas me di la tarea de encontrar estos tipos de Sniffer (espero pronto dejar hipervinculos de descargas para estas herramientas) ya que cada uno de los Sniffer tiene una funcion en comun, que es recibir lo que se manda en la red, pero cada uno de estos tiene una tarea aparte de la que es recibir todo lo que se envia una red, como son realizar estadisticas, manejar reportes en ambiente grafico, etc, etc.

Espero les interese esta informacion y sobre todo quieran invetigra mas sobre estas tecnicas y herramientas de hacking…

TCPDUMP

Tcpdump muestra las cabeceras de los paquetes que captura de un interfaz de red dado y que cumplen la expresión pasada al ejecutar, es decir, te permite monitorizar tráfico de red en tiempo real.
Los filtros que se pueden crear para mostrar tan sólo la información que nos interesa , hacen de tcpdump una herramienta muy potente para el análisis de tráfico en redes de comunicaciones. Tcpdump es una aplicación “peligrosa”, por lo que en los sistemas UNÍX sólo se permite su utilización al usuario root. Luego, tcpdump permite examinar todas las conversaciones, incluyendo mensajes de broadcast SMB y NMB . Mientras que sus capacidades en detección de errores están principalmente a nivel de capa de red OSI, todavía puedes usar su salida para obtener una idea general de qué están intentando hacer el servidor y el cliente. En Windows, en lugar del tcpdump se usa el siWindump.

Darkstat y Traffic-Vis

Darkstat

Darkstat es una herramienta para monitorizar una red, que analiza el tráfico de la misma y genera un informe estadístico en formato HTML, basándose en los datos obtenidos. Entre las observaciones que realiza el programa permite: realizar la estadística de direcciones que se generan en la comunicación entre hosts, el tráfico que se produce, y los diferentes números de puerto usados por los diversos protocolos. Adicionalmente, el programa permite obtener un breve resumen y gráficos por períodos de tiempo de los paquetes analizados desde que se empieza a ejecutar el programa.

Traffic-Vis

Traffic-vis proceso demonio que monitoriza el tráfico TCP/IP y convierte esta información en gráficos en ASCII, HTML o Postscript. Traffic-vis también permite analizar el tráfico entre hosts para determinar qué hosts han comunicado y el volumen de su intercambio (tenga en cuenta que necesita libpcap. traffic-vis puede obtenerse en http://www.ilogic.com.au/~dmiller/traffic-vis. html.

NGREP

Muestra y busca paquetes.
Ngrep se esfuerza por proveer de la mayoría de características comunes del “grep” de GNU, aplicándolas a la capa de network ({“network layer”} del modelo de referencia OSI). ngrep es consciente de la presencia de pcap y permite usar expresiones regulares que concuerden con el “payload” ( o sea la carga, el cuerpo, y _no_ los encabezados) de los paquetes. Actualmente reconoce TCP, UDP, e ICMP sobre Ethernet, PPP, SLIP e interfaces nulas {“null interfaces”}, y comprende la lógica de un filtro “bpf” de la misma manera que herramientas más comunes de sniffing como tcpdump y snoop.

SNORT

Snort es un IDS o Sistema de detección de intrusiones basado en red (NIDS). Implementa un motor de detección de ataques y barrido de puertos que permite registrar, alertar y responder ante cualquier anomalía previamente definida como patrones que corresponden a ataques, barridos, intentos o aprovechar alguna vulnerabilidad, análisis de protocolos, etc., conocidos, todo esto en tiempo real. Está disponible gratuitamente bajo licencia GPL, y funciona en plataformas Windows y UNIX/Linux. Es uno de los más usados y dispone de una gran cantidad de filtros o patrones predefinidos, así como actualizaciones constantes ante casos de ataques, barridos o vulnerabilidades que vayan siendo detectadas a través de los distintos boletines de seguridad.
Este IDS implementa un lenguaje de creación de reglas flexibles, potente y sencillo. Durante su instalación ya nos provee de cientos de filtros o reglas para backdoor, ddos, finger, ftp, ataques web, CGI, escaneos Nmap…
Puede funcionar como sniffer (podemos ver en consola y en tiempo real lo que ocurre en nuestra red, todo nuestro tráfico), registro de paquetes (permite guardar en un archivo los logs para su posterior análisis, un análisis offline) o como un IDS normal (en este caso NIDS).
Daremos una importancia mayor a su funcionamiento como NIDS y, sobre todo, a la creación personalizada de reglas e interpretación de las alertas.
La colocación de Snort en nuestra red puede realizarse según el tráfico que se quiera vigilar: paquetes que entran, paquetes salientes, dentro del firewall, fuera del firewall, etc., casi donde queramos.

NWATCH

NWatch es un succionador, pero se puede conceptuar como portuario pasivo del explorador, en que está solamente interesado en tráfico del IP y organiza resultados como un explorador portuario. Esto agrega la ventaja de que cualquier herramienta que funcione encendido tal salida (NDiff) puede utilizar los datos. NWatch se diferencia de un explorador portuario real de muchas maneras. Por ejemplo, cogerá los puertos que se abren solamente transitorio, algo que en un explorador portuario faltaría probablemente. Para la seguridad de la red NWatch es un complemento excelente a la puerto-exploración regular de sus redes. Por defecto, NWatch permanece activo indefinidamente hasta que recibe un SIGINT (CTRL-c). Durante ese tiempo mira el interfaz del defecto (eth0), siguiendo cada combinación del IP host/port que descubre. En el último caso sería típicamente útil para espiar o quizás muestreo y análisis de los patrones del uso neto más bien que supervisión de la seguridad.

ETHEREAL

Ethereal que ahora se llama Wireshark, es un potente analizador libre de protocolos de redes, funciona bajo Unix, Mac OS X y Windows. Nos permite capturar los datos directamente de una red u obtener la información a partir de una captura en disco (puede leer más de 20 tipos de formato distintos). Destaca también por su impresionante soporte de más de 300 protocolos, gracias sin duda a la licencia GPL y sus más de 200 colaboradores de todo el mundo.
Una de las cosas que más cuesta entender cuando uno comienza con ethereal es la utilización de los filtros a la hora de capturar datos (el típico error: Unable to parse filter string (parse error), puesto que utiliza un sistema para visualizar los datos y otro totalmente diferentes e incompatible para realizar las capturas (tcpdump).
La potencia y posibilidades del Ethereal son excelentes.

ETTERCAP

Ettercap es un sniffer/interceptor/logger para redes LAN con switchs, que soporta la disección activa y pasiva de muchos protocolos(incluso cifrados) e incluye muchas características para el análisis de la red y del host (anfitrión)”.
  • Entre sus funciones, las más destacadas son las siguientes:
    • Injection de caracteres en una conexión establecida emulando comandos o respuestas mientras la conexión está activa.
    • Compatibilidad con SSH1: Puede interceptar users y passwords incluso en conexiones “seguras” con SSH.
    • Compatibilidad con HTTPS: Intercepta conexiones mediante http SSL (supuestamente seguras) incluso si se establecen a través de un proxy.
    • Intercepta tráfico remoto mediante un túnel GRE: Si la conexión se establece mediante un túnel GRE con un router Cisco, puede interceptarla y crear un ataque “Man in the Middle”.
    • “Man in the Middle” contra túneles PPTP (Point-to-Point Tunneling Protocol).
    • Soporte para Plug-ins.

KISMET

Kismet es un sniffer específico a Linux para redes inalámbricas. Específicamente , es un detector de la red 802.11 layer2,un succionador, y un sistema sin hilos para la detección de la intrusión. Funciona correctamente con los dos principales tipos de tarjetas inalámbricas , es decir , trabajará con cualquier tarjeta sin hilos que apoye modo de supervisión crudo (rfmon) y puede “oler” 802.11b , 802.11a y el tráfico 802.11g.
Kismet identifica redes de modo pasivo, recogiendo paquetes y detecta redes nombradas estándares, redes ocultas e infiere la presencia de redes nonbeaconing vía tráfico de los datos.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s