Sniffer

Imagen de migueman

Forums: 

Hola amigos, tengo una duda...

Cómo es que funcionan los sniffers en la red cableada? Necesito una respuesta de alguien que realmente conozca del tema porque esto debo poner en mi tesis y no encuentro nada al respecto.

En una red inalámbrica entiendo pues todos los paquetes son enviados en forma de broadcast a todas las estaciones pero en la cableada no entiendo como es que mi NIC puede capturar paquetes de datos de otras pcs que están en una red donde no hay dominio de colision (no hubs) solo switch y estos "conmutan" todos los paquetes y de esta forma evito propagar en forma de broadcast los paquetes de información.

Se que también hay paquetes de contro y de algunos protocolos que obligatoriamente son broadcast y estos son susceptibles de ser capturados pero como se explica que un sniffer capture el resto de paquetes?

Me baje un sniffer que incluso se supone que puede capturar las conversaciones actuales del messenger, ver toda la actividad que hace en la red cierta pc, etc.

Porfa si alguien me puede ayudar con este tema le agradecería montón...

Para el uso de sniffers lo

Para el uso de sniffers lo que se acostumbra es configurar el puerto del switch en el que conectas la PC con el sniffer como "Port mirroring". Que lo que hace es copiar el trafico de uno o más puertos del switch hacia otro.

La implementación y forma de configuración depende de la marca del switch.

Saludos,

----
Edwin Boza
about.me/edwinboza

Algunos sniffers como

Imagen de acl

Algunos sniffers como ettercap envían paquetes de ARP para "envenenar" el cache de ARP de algún cliente en la red y forzarle a que envíe los paquetes al sniffer. La manera en que se hace es enviando paquetes de ARP gratuitamente al host que quieres envenenar (el cliente que envia el password) con el ip de la victima (el servidor) y la MAC del sniffer. Con ello logras que el cliente envíe los paquetes al sniffer en lugar de al servidor (y opcionalmente, el sniffer los reenvía al destino original).

Es básicamente un "man in the middle attack" con direcciones MAC. El punto es que estos sniffers se aprovechan del hecho que ARP no es un protocolo con protecciones de autorización y autenticación y cualquiera puede decir "yo soy el ip a.b.c.d" sin ser esto cierto.

Muy interesante, gracias por

Imagen de migueman

Muy interesante, gracias por sus respuestas.

Me pueden pasar algún link donde pueda enterarme más de esto? o como dar solución a este problema?
Supongo que debe haber como bloquear que cualquier máquina envíe peticiones arp a la nuestra no?

..o algún programa que detecte este comportamiento anormal en la red?

------- :-D --------

Saludos.

Migueman

[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]

Si eso mismo me dicen todos..

Imagen de migueman

Si eso mismo me dicen todos..

Les agradecería cualquier ayuda con links para leer o libros pa bajar o comprar...

Gracias por el dato men..

------- :-D --------

Saludos.

Migueman

[img]http://www.danasoft.com/sig/hackman7140923.jpg[/img]