miércoles, 5 de enero de 2011

I. Capturas con Wireshark en una red Ethernet



Primeramente recordemos los tipos de paquetes :

  • Unicast. Son los paquetes que se dirigen a una única dirección de red 
  • Multicast. Se dirigen al grupo de direcciones 224/4 (el fijado en Ipv4 con el primer bit a 1) es decir englobaría desde la 224.0.0.0 a la 239.255.255.255 
  • Broadcast. Se dirigen al todas las direcciones del segmento de red en el que nos encontremos. Para toda la red Ipv4 sería la direccion 255.255.255.255 (FF:FF:FF:FF). Si nos encontrasemos en una red de clase C por ejemplo la 192.168.1.0/24 la direccion de broadcast sería la 192.168.1.255. En una clase A tipo 10.12.1.0/8 broadcast sería 10.255.255.255 

Al grano :

Red Ethernet compartida (HUB) 

En este tipo de topología no tendremos problema para escucharl el tráfico porque todos los paquetes que llegan al HUB son mandados a todos (broadcast).




A nuestra máquina con Wireshark llegará todo el tráfico y con nuestra tarjeta en modo promiscuo aceptaremos todos los paquetes sean o no dirigidos a nosotros.

Modo promiscuo: Normalmete las tarjetas ethernet operan de modo que si el tráfico que reciben viene marcado con su dirección MAC aceptan el paquete y en caso contrario lo rechazan. El modo promiscuo deshabilita este filtro haciendo que la tarjeta acepte todo el tráfico.


Red conmutada (switcheada)
En este caso el switch se encarga de reenviar el paquete del emisor únicamente por el puerto donde sabe que está el receptor (switch con su tabla arp ya rellenada). Es decir el tráfico es unicast y por tanto no recibiremos el tráfico aunque pongamos la tarjeta en modo promiscuo ya que el switch no nos la va a enviar

Para resolver este problema hay diversos métodos, pero comentaremos solo los que no necesitan de manipulación física de la topología (como por ejemplo pinchar un hub entre el segmento/maquina a monitorizar y el switch, pinchar nuestra máquina al mismo tramo entre host y switch ,etc).

Solución 1 (y más común): Man in The Middle
Se emplea la técnica de envenamiento de ARP (ARP Poisoning) , haciendo las dos máquinas entre las que queremos interponernos crean que nuestra MAC sea la del otro host. 


Aviso: Esta técnica crea mucha confusión en el switch y puede crear estragos en ciertos switches y LANs, utilizar con cuidado.

Ventaja: Muy poco coste, sencilla implementación. 
Desventaja: Confusión en el switch pudiendo provocar sensible pérdida de paquetes en momentos de mucho tráfico.

Solución 2: MAC Flooding.
Se trata de saturar al switch generando muchas peticiones con distintas direcciones MAC con objeto de que se llene la memoria de su tabla ARP (donde almacena el mapeo de MAC<-->Puerto fisico). En esa situación el switch entra en modo “failopen” y pasa a actuar como un HUB. Existen herramientas para hacer flooding como macof , una utilidad que viene con dsniff
















                                                                                                                                                                  Ventaja: De nuevo, muy poco coste de implementación.

Desventaja: Afecta al Fullduplex y habrá pérdida de paquetes en situación de mucho tráfico.


En resumen: capturar el tráfico de una red conmutada por MitM o por flooding penaliza el tráfico y puede acarrear problemas de pérdida de paquetes.

       I.Capturas con Wireshark en una red Ethernet

No hay comentarios:

Publicar un comentario