Analizador de tráfico
La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la
versión revisada el 4 de mayo de 2022; la verificación requiere
1 edición .
Analizador de tráfico , o sniffer (del inglés a sniff - sniff ): un programa o dispositivo para interceptar y analizar el tráfico de la red (el suyo y / o el de otra persona).
Cómo funciona
Un sniffer solo puede analizar lo que pasa a través de su tarjeta de red . Dentro de un segmento de la red Ethernet, todos los paquetes se envían a todas las máquinas, por lo que es posible interceptar la información de otra persona. El uso de interruptores (interruptor, interruptor-hub) y su configuración competente ya es una protección contra las escuchas. La información se transmite entre segmentos a través de conmutadores. La conmutación de paquetes es una forma de transmisión en la que los datos, divididos en paquetes separados, pueden enviarse desde un origen a un destino por diferentes rutas. Entonces, si alguien en otro segmento envía paquetes dentro de él, el conmutador no enviará estos datos a su segmento.
La interceptación del tráfico se puede realizar:
- la "escucha" habitual de la interfaz de red (el método es efectivo cuando se usa en el segmento de concentradores (hubs) en lugar de conmutadores (conmutadores) , de lo contrario, el método es ineficaz, ya que solo los marcos individuales llegan al rastreador);
- conectar un sniffer a un canal roto;
- bifurcar el tráfico (software o hardware) y enviar su copia al sniffer ( toque de red );
- mediante el análisis de radiaciones electromagnéticas espurias y la restauración del tráfico así escuchado;
- a través de un ataque a nivel de canal (2) ( MAC-spoofing ) o red (3) ( IP-spoofing ), lo que conduce a la redirección del tráfico de la víctima o todo el tráfico del segmento al sniffer, con la consiguiente devolución del tráfico a la dirección correcta.
Aplicación
A principios de la década de 1990, los piratas informáticos lo utilizaron ampliamente para capturar los inicios de sesión y las contraseñas de los usuarios, que en una serie de protocolos de red se transmiten en forma clara o cifrada débilmente. La amplia distribución de concentradores hizo posible capturar tráfico sin mucho esfuerzo en grandes segmentos de red con poco o ningún riesgo de ser detectado.
Los rastreadores se utilizan tanto para propósitos destructivos como buenos. El análisis del tráfico que pasa por el sniffer le permite:
- Detectar tráfico parásito , viral y en bucle, cuya presencia aumenta la carga en los equipos de red y los canales de comunicación (los rastreadores son ineficaces aquí; por regla general, para estos fines utilizan la recopilación de diversas estadísticas por servidores y equipos de red activos y su posterior análisis).
- Detecte software malicioso y no autorizado en la red , por ejemplo, escáneres de red, inundaciones, troyanos, clientes de red punto a punto y otros (esto generalmente se hace utilizando rastreadores especializados, monitores de actividad de red).
- Interceptar cualquier tráfico de usuario no cifrado (ya veces cifrado) para obtener contraseñas y otra información.
- Ubique una falla de red o un error de configuración del agente de red (los administradores de sistemas suelen usar sniffers para este propósito )
Dado que el sniffer "clásico" analiza el tráfico manualmente, utilizando solo las herramientas de automatización más simples (análisis de protocolos, recuperación de un flujo TCP), es adecuado para analizar solo pequeños volúmenes.
Oposición
Puede mitigar la amenaza de detección de paquetes mediante el uso de herramientas como:
Véase también
Notas