Basicamente um packet sniffer é um programa que captura os pacotes  queestão trafegando na rede e os exibe na tela ou arma...
<ul><li>Os adaptadores Ethernet acessam o meio físico, através do CSMA/CD (Carrier Sense Multiple Access/Collision Detect)...
Quando se utiliza um programa de sniffing o adaptador tem seu  funcionamento  alterado passando a funcionar no chamado &qu...
ATACANDO <ul><li>Para ter acesso a tudo isto um invasor externo precisa apenas  inva-dir alguma máquina dentro rede, seja ...
<ul><li>Os protocolos mais vulneráveis a um ataque de sniffing são aqueles quetransportam dados sem qualquer tipo de codif...
Exemplo de remontagem de um pacote em LINUX  <ul><li>###################################### 220 artemis FTP server (Versio...
<ul><li>O resultado é que agente não só consegue obter a senha do usuário  como  pode recriar a sessão de FTP, HTTP,IRC,  ...
A real utilidade <ul><li>Os programas de sniffing não são de todo mal. Muitas vezes  preci-samos saber como determinados s...
<ul><li>Outra função prática, seguindo a filosofia do combater fogo com  fogo,é a de usá-lo para descobrir que tipo de rec...
PROTEÇÃO <ul><li>Evitar que uma rede local seja atacada assim é  querer  mexer  naquiloque a faz funcionar, então o máximo...
<ul><li>Assim, uma alternativa seria trocar a configuração da rede,substituín-do os hubs por switches. Mas porque? Ao cont...
Bridges   <ul><li>Um frame que é enviado da máquina A para a máquina B  será  bloqueado,mas um frame de A (ou de B) para C...
<ul><li>Secure Shell  (SSH): Foi inicialmente desenvolvido pela empresa  fin-  landesa SSH e acabou se transformando na fe...
<ul><li>Além destas soluções outras podem ser implementadas (algumas  não  tão fáceis) como: * Kerberos * Secure Sockets L...
Ethereal
Upcoming SlideShare
Loading in …5
×

Sniffers

1,277 views

Published on

Sniffers

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,277
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sniffers

  1. 2. Basicamente um packet sniffer é um programa que captura os pacotes queestão trafegando na rede e os exibe na tela ou armazena em disco parauma análise posterior. Apesar desta aparente mal intencionada função,as primeiras ferramentas de sniffing foram criadas com o objetivo deajudar na administração de redes.
  2. 3. <ul><li>Os adaptadores Ethernet acessam o meio físico, através do CSMA/CD (Carrier Sense Multiple Access/Collision Detect),ou seja, todos os adaptadores competem entre si para transmitir dados e quando dois ou mais tentam fazê-lo ao mesmo tempo há uma colisão,todos ficam &quot;calados&quot; por um tempo para depois transmitirem. E por todos usarem o mesmo meio físico para transmitir, por consequên-cia, o mesmo é usado também para receber. Assim cada adaptador fica &quot;escutando&quot; o meio físico (no nosso caso o cabo),carregando cada frame que aparece por lá, comparando o endereço de destino deles, estampado no início de cada pacote, com o endereço gravado na sua ROM e tratan-do-o. Estes sendo iguais passa adiante (para a camada acima, seja ela IP, IPX, etc...), senão o frame é descartado e começa-se tudo de novo. </li></ul>A Comunicação e os PACOTES.
  3. 4. Quando se utiliza um programa de sniffing o adaptador tem seu funcionamento alterado passando a funcionar no chamado &quot;modo promíscuo&quot;, ou seja, independente do endereço de destino do frame ser igual ou não ao da placa, ele é lido como se fosse dele. É o equivalente ao grampo te-lefônico,só que em escala muito maior pois, dependendo da forma como arede foi montada, todos que estão ligados nela vão estar vulneráveis. O GRAMPO (Vulgo MACACO)
  4. 5. ATACANDO <ul><li>Para ter acesso a tudo isto um invasor externo precisa apenas inva-dir alguma máquina dentro rede, seja explorando alguma falha de segu-rança ou até mesmo mandando um &quot;cavalo de Tróia&quot; para algum usuário incauto do lado de dentro. Mas até aí tudo bem, basta investir em um bom sistema de segurança com firewall, IP Masquerading, etc,escondendo totalmente a rede interna do mundo exterior. Mas e quanto ao invasor interno? Para um usuário de dentro da rede executar um sniffing basta querer, ainda mais sabendo que vai ser difícil de alguém descobrir. </li></ul>
  5. 6. <ul><li>Os protocolos mais vulneráveis a um ataque de sniffing são aqueles quetransportam dados sem qualquer tipo de codificação, isto é,você digita &quot;pato&quot; e as letras &quot;p&quot;, &quot;a&quot;, &quot;t&quot; e &quot;o&quot; vão trafegar pela rede até seu destino final. Incluem-se nesta categoria: Telnet, rlogin, HTTP, SNMP, SMTP, NNTP, POP, FTP, IMAP e além de serviços como talk, finger,whois, etc... </li></ul>ATACANDO
  6. 7. Exemplo de remontagem de um pacote em LINUX <ul><li>###################################### 220 artemis FTP server (Version wu-2.6.0(1) Fri Oct 22 00:38:20 CDT1999) ready.USER giovanni 331Password required for giovanni. PASS minhasenha 230 User giovanni logged in.SYST215 UNIX Type: L8(...) 221-You have transferred 5556 bytes in 1 files. 221-Total traffic for this session was 12566 bytes in 2 transfers. 221-Thank you for using the FTP service on artemis 221 Goodbye. ###################################### </li></ul>
  7. 8. <ul><li>O resultado é que agente não só consegue obter a senha do usuário como pode recriar a sessão de FTP, HTTP,IRC, TELNET etc.. e saber de tudo o que ele fez, inclusive existem programas que fazem isto na rede! </li></ul>
  8. 9. A real utilidade <ul><li>Os programas de sniffing não são de todo mal. Muitas vezes preci-samos saber como determinados serviços estão se comportando na rede, principalmente os que não possuem um sistema eficiente de logging como o SMB (Service Message Block, as &quot;redes de windows&quot;) ou serviços mais ligados à camada física como ARP, RARP, BOOTP, DHCP, etc. Nestes casos é bem mais eficiente analisar o que trafegou pela rede à ficar tentan-do entender o motivo pelo qual, apesar de tudo estar configurado cor-retamente, as coisas teimam em não funcionar como deveriam. </li></ul>
  9. 10. <ul><li>Outra função prática, seguindo a filosofia do combater fogo com fogo,é a de usá-lo para descobrir que tipo de recursos um provável invasorestá usando. Quem é (ou pelo menos quem diz ser), quem está tentandoatacar, que portas está usando, qual o método de ataque, etc. Assim, o sniffing tanto pode ser utilizado para administracao de redescomo para promover o caos nelas. </li></ul>A real utilidade
  10. 11. PROTEÇÃO <ul><li>Evitar que uma rede local seja atacada assim é querer mexer naquiloque a faz funcionar, então o máximo que podemos fazer é complicar edificultar um pouco. A primeira idéia que vem em mente é tentar usaradaptadores de rede que não entram em modo promíscuo. Alguns fabrican-tes até afirmam que possuem produtos assim mas a verdade é que de a- cordo com as recomendações do PC99 da Intel/Microsoft o modo promíscuo é uma característica obrigatória. </li></ul>
  11. 12. <ul><li>Assim, uma alternativa seria trocar a configuração da rede,substituín-do os hubs por switches. Mas porque? Ao contrário do hub, que é apenas uma emenda de barramento, o switch faz o papel de uma bridge, ou seja, ela faz uma ligação entre dois barramentos distintos, dividindo o trá-fego da rede e deixando passar apenas o que realmente é para o outro lado. Por exemplo: </li></ul>
  12. 13. Bridges <ul><li>Um frame que é enviado da máquina A para a máquina B será bloqueado,mas um frame de A (ou de B) para C irá &quot;atravessar a ponte&quot; e chegarao outro lado. Isto não impede o sniffing mas restringe o tráfego darede para as partes onde ele é necessário. Com isto a quantidade deinformação que pode ser adquiria pelo sniffing cai bastante. </li></ul>
  13. 14. <ul><li>Secure Shell (SSH): Foi inicialmente desenvolvido pela empresa fin- landesa SSH e acabou se transformando na ferramenta padrão para ad- ministração remota em máquinas UNIX, substituíndo completamente o </li></ul><ul><li>Telnet. Hoje já existem versões open-source e freeware tando do cli- ente quanto no servidor. No SSH todo o tráfego é encriptado signifi- cando que mesmo alguém capture os pacotes não conseguirá ver nada. </li></ul><ul><li>Virtual Private Network (VPN): É uma solução para fugir dos curiosos Uma VPN é implementanda com uma rede ponto-a-ponto virtual (túnel) ligando dois pontos através de uma rede pública (geralmente a Inter- net). A vantagem da VPN é possuir encriptação nas pontas, isto é, tudo o que passa pela rede pública é devidamente encriptado. </li></ul>
  14. 15. <ul><li>Além destas soluções outras podem ser implementadas (algumas não tão fáceis) como: * Kerberos * Secure Sockets Layer (SSL) * PGP * S/MIME * SMB/CIFS * Smart Cards * Stanford SRP (Secure Remote Password) </li></ul>
  15. 16. Ethereal

×