Sin profundizar demasiado voy a listar algunas de las técnicas conocidas para detectar sniffers que se encuentran capturando trafico en la red.
Verificar las Interfaces de Red
Muy obvio, ya lo sé. En Linux/Unix haciendo un "ifconfig", si logran ver la leyenda "PROMISC" significa que la interface se encuentra en modo promiscuo.
Para Windows, hay una aplicacion de Microsoft llamada Promqry que puede detectar si una interface de red esta en modo promiscuo ejecutando esta herramienta localmente en la PC o escaneando un rango de red remotamente. Siempre y cuando estemos en el contexto del grupo de Administradores.
PING con IP correcta y MAC incorrecta
Esto es viejo, pero la idea es enviar un ICMP Echo Request a la IP del sospechoso con su MAC address incorrecta. Si el sospechoso no esta sniffeando no deberíamos recibir ninguna respuesta ya que la MAC es erronea. En el caso contrario, como se encuentra en modo promiscuo y todos los paquetes son aceptados, deberíamos recibir un ICMP Echo Reply como respuesta.
Examinar los DNS Lookups
Muchos sniffers automáticamente resuelven los nombres de las direcciones IP que están escuchando, por lo que una PC que genere muchos pedidos de DNS podría ser sospechosa. También podríamos enviar un paquete a una dirección IP totalmente inexistente, cuando el sniffer intente resolver esa dirección IP podríamos descubrir al hax0r.
Analizar la Latencia
La idea seria primero estimar cual es la latencia que cada PC de la red posee, simplemente enviándoles unos PINGs, y luego generar mucho tráfico a ningún destino de la red, para mientras tanto volver a estimar la latencia de cada PC. La PC que se encuentra sniffeando debería aumentar su latencia 4 o 5 veces mas que el resto, ya que se encuentra manejando mucho más tráfico.
Escuchar la Actividad ARP
Usando una herramienta como arpwatch podemos monitorear la actividad ARP, en el caso de que se este realizando algún tipo de ARP Poisoning.
Estos son los métodos más comunes, ¿ a alguien se le ocurre otro ?
Muy obvio, ya lo sé. En Linux/Unix haciendo un "ifconfig", si logran ver la leyenda "PROMISC" significa que la interface se encuentra en modo promiscuo.
Para Windows, hay una aplicacion de Microsoft llamada Promqry que puede detectar si una interface de red esta en modo promiscuo ejecutando esta herramienta localmente en la PC o escaneando un rango de red remotamente. Siempre y cuando estemos en el contexto del grupo de Administradores.
PING con IP correcta y MAC incorrecta
Esto es viejo, pero la idea es enviar un ICMP Echo Request a la IP del sospechoso con su MAC address incorrecta. Si el sospechoso no esta sniffeando no deberíamos recibir ninguna respuesta ya que la MAC es erronea. En el caso contrario, como se encuentra en modo promiscuo y todos los paquetes son aceptados, deberíamos recibir un ICMP Echo Reply como respuesta.
Examinar los DNS Lookups
Muchos sniffers automáticamente resuelven los nombres de las direcciones IP que están escuchando, por lo que una PC que genere muchos pedidos de DNS podría ser sospechosa. También podríamos enviar un paquete a una dirección IP totalmente inexistente, cuando el sniffer intente resolver esa dirección IP podríamos descubrir al hax0r.
Analizar la Latencia
La idea seria primero estimar cual es la latencia que cada PC de la red posee, simplemente enviándoles unos PINGs, y luego generar mucho tráfico a ningún destino de la red, para mientras tanto volver a estimar la latencia de cada PC. La PC que se encuentra sniffeando debería aumentar su latencia 4 o 5 veces mas que el resto, ya que se encuentra manejando mucho más tráfico.
Escuchar la Actividad ARP
Usando una herramienta como arpwatch podemos monitorear la actividad ARP, en el caso de que se este realizando algún tipo de ARP Poisoning.
Estos son los métodos más comunes, ¿ a alguien se le ocurre otro ?
4 comentarios:
Muy buenas tardes, puede que mi consulta no vaya muy acorde con el tema de su post, pero estuve revisando algunos en los cuales habla sobre seguridad sobre todo sobre EnCase y veo q esta bien empapado del tema de seguridad. Le comento mi problema:
Resulta q trabajo en una empresa de sistemas y tenía unos documentos muy importantes con información muy valiosa y no se como alguien ingreso por la intranet a estos archivos. No entiendo como le hizo ya que los tenía en "My Private Folder" o no se si tal vez logró sacarlos de mis archivos temporales. El hecho es que ahora me estan pidiendo dinero para no entregar esos archivos a la competencia pues saben q eso me puede perjudicar. Necesito saber desde que equipo se realizo el ataque para intentar judicializar a esta persona. No se si exista algún registro de windows o algo q guarde los accesos de los usuarios a mi máquina...
Ya instale el encase 4.2 en mi máquina pero la verdad no se como hacer para realizar un seguimiento sobre este tipo de información. Algo importante es q las directivas de seguridad de mi máquina no estaban activadas al momento del ataque.
Esto es muy importante para mi... Muchas gracias por su colaboración
John, no dejaste ningun mail de contacto sino no hubiera permitido tu comentario y te hubiera contestado directamente, ya que me parece un tema muy delicado.
Si realmente te esta pasando todo lo que me contas, te sugiero hacer la denuncia policial y contratar a un especialista forense para que te ayude.
El analisis forense tiene como objetivo llevar al culpable de un delito a juicio, si vos realizas de manera erronea cualquier parte de un analisis forense, todas las evidencias que tengas van a quedar invalidadas para la justicia.
Siento mucho no poder ayudarte mas y espero que tomes mis consejo.
Saludos,
Leonardo
(perdon por la ortografia, teclado en ingles)
Consulta:
Algunas de las tecnicas las conocia, pero siempre se me presento la duda:
Supongamos que tenemos los permisos a nivel SO (por ejemplo Windows), no existe otra defensa para evitar Sniffers, usando filtros en los routers (internos en la LAN) con reglas de filtros de IP y Puertos.
El Sniffers no solo funciona con HUB, los cuales ya no se usan??
Anónimo,
Se puede usar Sniffers en una red de Switches utilizando técnicas de ARP Poisoning.
En ese caso, las contramedidas pueden ser:
- Configurar el ARP estático con la IP del Gateway en la PCs de los usuarios. Obviamente esto significa mucho trabajo.
- Utilizar herramientas de monitoreo como Arpwatch o algunos IDS/IPS para detectar el Poisoning.
- Utilizar Port Security en los Switches. Esto no va a evitar que se realice un Poisoning, pero podes controlar quienes tienen permiso de conectarse a un puerto del Switch.
Espero no olvidarme nada...
Saludos,
Leonardo
Publicar un comentario