![[x]](http://www.diosdelared.com/images/add.ico)
![[x]](http://ddlr.servepics.com/rd.php?go=http://img205.imageshack.us/img205/2549/whitemaskcopia.jpg "h131h")
Nick: h131h
![[x]](http://www.diosdelared.com/images/tecnico.jpg "Artículo técnico"){kind=small}
Detectar sniffers en tu red.Publicado el 24/02/2010 12:02:00 en Redes. Total de votos: 3 Votar
COMO DETECTAR SI HAY ALGÚN SNIFFER EN TU RED.Antes de comenzar con el contenido, primero una breve explicación de los sniffers. Los sniffers son unas aplicaciones de monitorización y análisis del trafico de una red poniendo en modo promiscuo el equipo desde el cual se vaya a realizar dicho análisis para poder interceptar todos los paquetes que circulan por su red.
Ahora pasare a comentar algunos métodos para detectar si se está usando algún sniffer en tu red.
1 – PRUEBA DE ICMP.
Para este método usaremos el protocolo ICMP (Internet Control Message Protocol). Veremos como realizando un ping a la dirección IP que queramos analizar. Abrimos un terminal, realizamos un ping a la dirección IP que queramos analizar. Ahora debemos de fijarnos en los tiempos por milisegundos aproximados de ida y vuelta. En este ejemplo analizaremos la dirección
192.168.1.128.
Como podemos observar en la imagen tarda una media de 1.50 a 3.00 ms. Ahora lo que haríamos es crear unas falsas conexiones TCP en esa red durante un determinado periodo de tiempo esperando
que el posible sniffer procese los paquetes incrementando así el tiempo de latencia. Ahora volvemos
a hacer un segundo ping volviendo a fijarnos en la media del tiempo de ida y vuelta.
Ahora podemos ver claramente como el tiempo de ida y vuelta ha aumentado notablemente por el
sniffer.
2 – PRUEBA DE ARP.
ARP (Address Resolution Protocol) se trata de un protocolo de la capa de red (también trata la capa de enlace). Este test se trata de realizar una petición tipo ICMP a la dirección IP que queramos analizar, pero con una dirección MAC errónea.
Para esto agregaremos a nuestra tabla ARP la dirección IP que queramos analizar e incluir la dirección MAC errónea “sudo arp -s 192.168.1.128 00:11:22:33:44:55”, así escribiremos “arp -a”
veremos que está la dirección IP que hemos añadido.
Y ahora realizamos un ping a la dirección IP que estemos analizando, como podemos ver al hacer ping a la dirección IP agregada con la dirección MAC falsa, no nos responderá.
Ahora. ¿Qué pasará cuándo hagamos el ping a la dirección IP con la MAC falsa y dicho host esté usando un sniffer? En algunos sistemas al estar en modo promiscuo responderá al ping (NO EN TODOS LOS SISTEMAS). (En está foto no podré poner captura ya que a mi es uno de los casos en los que no responde, que si no me equivoco en la actualidad quizás no responda en gran número de... [/trombi]
Continúa aquí...
Comentarios: 6 | Leer comentarios