(4) Sniffing y enumeración

Vista previa del material en texto

Sniffing y enumeración
Índice
3
3
4
4
5
13
1 | Sniffing
1.1 | Definición
1.2 | Tipos
1.3 | Wireshark
1.4 | Ejercicios
2 | Enumeración
Sniffing y enumeración | TELEFÓNICA // 3
Un sniffer1 es un programa que permite la captura de las tramas de 
red que ocurre en la comunicación entre varios dispositivos de red, 
a través del medio de transmisión por el que circule la información. 
Interceptar la información que se transmite a través de los distintos 
medios puede ser de gran importancia, ya que pueden utilizarse 
para fines de lucro o realizar distintos delitos informáticos, por lo 
que la seguridad en las redes es muy importante.
Al capturar la información se obtiene toda la información que se 
intercambian entre las dos computadoras, ya sea textos, imágenes, 
así como información a nivel más bajo como puertos, direcciones ip 
de origen y destino, …
El uso de un sniffer permite asegurar nuestra red al conocer que 
información viaja por los distintos medios y así poder limitar dicha 
información. Pero también permite a un atacante obtener esa 
información comprometida si está bien asegurada.
Los usos más importantes que se le pueden dar a un sniffer son:
• Captura de datos sensibles como pueden ser contraseñas sin 
cifrar y nombres de usuario de la red.
• Análisis de fallos que permiten revelar problemas en la red.
• Medición de las estadísticas del tráfico con los que es posible 
descubrir cuellos de botella en algún punto de la red.
• En aplicaciones cliente-servidor permite analizar la información 
real que se transmite y se comparte por la red.
1. Sniffing
1.1 | Definición
1 https://es.wikipedia.org/wiki/Anexo:Tipos_de_packet_sniffers
http://es.wikipedia.org/wiki/Anexo
Sniffing y enumeración | TELEFÓNICA // 4
Podemos encontrar diversos tipos de sniffers entre los que 
distinguimos aquellos que sólo trabajan con un determinado 
protocolo o con un número amplio de ellos, así como a nivel más 
básico. Los más utilizados son:
• Wireshark, analizador de protocolos utilizado para el análisis de 
las comunicaciones y solucionar problemas existentes. Dispone 
de las características estándar de un analizador de protocolos 
muy completo.
• Ettercap, permite realizar análisis a redes con dispositivos switch. 
Soporta direcciones activas y pasivas de varios protocolos, así 
como la posibilidad de realizar ataques Man-in-the-middle.
• Kismet, es un analizador y detector de intrusiones para redes 
inalámbricas 802.11.
• Tcpdump, es un analizar de tráfico a través de línea de comandos. 
Permite la captura en tiempo real e ir mostrando los paquetes 
recibidos y enviados en la red.
Wireshark es un software analizador de tráfico que se basa en las 
librerías pcap. Soporta una gran cantidad de protocolos como ICMP, 
HTTP, TCP, DNS, … Está disponible para distintas plataformas como 
Windows, Linux, Mac OS,… 
Es una de las herramientas que se deben de utilizar en muchas de 
las auditorías que se pueden llevar a cabo en un proceso de hacking 
Ético.
Una de las ventajas que tiene Wireshark es que captura los paquetes 
en tiempo real, y se puede exportar e importar dichas capturas para 
un posterior análisis. 
Se puede descargar gratuitamente desde la web oficial y realizar el 
proceso de instalación de una forma sencilla.
1.2 | Tipos
1.3 | Wireshark
Imagen 57 Fingerprinting con nmap
Sniffing y enumeración | TELEFÓNICA // 5
Con Wireshark se puede elegir la interfaz a través de la cual se va a 
realizar el proceso de captura de paquetes y análisis del tráfico de red.
Imagen 70 Wireshark - Interfaz en Linux
Imagen 71 Wireshark - Interfaz Windows
1.4 | Ejercicios
Sniffing y enumeración | TELEFÓNICA // 6
Cuando se elija la interfaz por la que analizar el tráfico comenzará 
a capturar paquetes. Por defecto, en las interfaces inalámbricas se 
activará el modo promiscuo.
Una vez tengamos suficientes paquetes podemos detener la captura 
y empezar a analizar el contenido.
Como puede observarse los paquetes vienen identificados por colores, 
indicando el tipo de paquete y si se ha realizado correctamente la 
captura. Además, nos muestra información de dicho paquete, como 
puede ser el numero identificativo, la ip origen y destino, el protocolo, 
la longitud e información resumida del paquete. Si seleccionamos 
uno de ellos, en la parte inferior aparece detallado según la capa, 
además de mostrar en bruto, en hexadecimal la información, el 
paquete capturado.
Imagen 72 Wireshark - Captura de tráfico de red
Imagen 73 Wireshark - Identificación de los paquetes
Sniffing y enumeración | TELEFÓNICA // 7
Podemos en cualquier momento cambiar de interfaz, así como 
poder importar un archivo almacenado con anterioridad desde el 
menú File - Open, así como realizar la copia de los datos capturados.
Wireshark permite filtrar la información obtenida para un mejor 
manejo de los datos y poder analizar más fácilmente la información, 
ya que después de un tiempo la información capturar puede ser 
importante.
Los filtros de tipo Display permiten filtrar los paquetes obtenidos 
mostrando aquellos que cumplen unas determinadas condiciones. 
Para utilizarlos se debe indicar, por ejemplo, el protocolo por el cual 
se quiere filtrar: http, tcp, arp, ip,…
La forma más sencilla a la hora de aplicar un filtro es escribir en la 
parte superior el protocolo junto con los atributos determinados 
para cada uno de ellos. Si se escribe http se filtrará la información 
solo de los paquetes http que existan.
Imagen 74 Wireshark - Selección Interfaz
Imagen 75 Wireshark - Filtro http
Sniffing y enumeración | TELEFÓNICA // 8
Se pueden consultar preestablecidos y crear nuevos filtros desde el 
menú Analyze – Display Filters.
Con la opción Follow TCP Stream se puede observar la conexión 
entre dos máquinas y cuál ha sido el flujo de información entre ellos. 
A través de esta opción se pueden visualizar las comunicaciones y 
seguirlas, e incluso reconstruir archivos.
Imagen 77 Wireshark - Follow TCP Stream
Imagen 76 Wireshark - Filtros
Imagen 78 Wireshark - Detalle Follow TCP Stream
Sniffing y enumeración | TELEFÓNICA // 9
Al cerrar la ventana, en la zona de filtros muestra el filtro aplicado 
para conseguir el seguimiento anterior.
Al seleccionar un paquete, en la parte inferior permite ver en 
detalle el contenido de ese paquete a través de las distintas capas. 
Esta opción es muy interesante ya que nos permite analizar en 
profundidad la información a nivel más bajo de las comunicaciones.
Imagen 79 Wireshark - Filtro Follow TCP Stream Imagen 80 Wireshark - Detalle paquete
Sniffing y enumeración | TELEFÓNICA // 10
Al seleccionar un paquete podemos crear un filtro de la comunicación 
que ese paquete ha realizado aplicando un filtro a dicho paquete, y 
ver los pasos que se han realizado.
Wireshark dispone de varios módulos de estadísticas muy 
interesantes, capaces de mostrar en tiempo real porcentajes y 
estadísticas sobre tramas capturadas. En la pestaña Statistics se 
pueden encontrar distintas opciones, entre las que destacamos 
Protocol Hierachy que muestra en porcentajes los paquetes 
capturados de qué tipo son, a qué nivel de red pertenecen, …
Imagen 81 Wireshark - Filtro por IP Imagen 82 Wireshark - Protocol Hierachy
Sniffing y enumeración | TELEFÓNICA // 11
Otra opción interesante es la que nos permite visualizar la 
comunicación con el tráfico TCP o general, con la opción Flow Graph.
Wireshark permite de una forma rápida obtener los archivos 
capturados en la comunicación y poder almacenarlos a través de la 
opción File – Export Objects – HTTP.
Imagen 83 Wireshark - Secuencia comunicacion TCP Imagen 84 Wireshark - Exportar archivos
Sniffing y enumeración | TELEFÓNICA // 12
Imagen 85 Wireshark - Archivos en la comunicación
Imagen 86 Wireshark - Imágen obtenida de la comunicación
Sniffing y enumeración | TELEFÓNICA // 13
Continuando con la búsqueda de información de un objetivo, un 
atacante podría obtener cierta información relevante, como pudiera 
seridentificar cuentas de usuario válidas o recursos compartidos 
mal configurados. 
Hay muchas maneras de extraer la cuenta válida o los nombres 
de recursos compartidos de un sistema utilizando el proceso 
denominado Enumeración. 
La fase de Enumeración implica conexiones activas a un sistema 
y consultas dirigidas. Gran parte de la información recolectada a 
través de la enumeración puede parecer inofensiva, pero puede ser 
información valiosa para determinar un ataque a dicho objetivo. Una 
vez que se enumera un nombre de usuario o un recurso válido, suele 
ser sólo cuestión de tiempo antes de que se rompa la contraseña 
correspondiente o identifique alguna debilidad asociada con el 
protocolo de uso compartido de recursos. 
El tipo de información enumerada puede agruparse en las siguientes 
categorías: 
1. Recursos de red y recursos compartidos.
2. Usuarios y grupos.
3. Aplicaciones y banners.
Como veremos más adelante, se utilizan diversas herramientas 
que permiten obtener esta información de un sistema, con la que 
ir configurando la estructura del objetivo y poder determinar que 
vulnerabilidades o fallas de seguridad posee el sistema.
2. Enumeración