El sniffing de paquetes es la práctica de capturar datos de red que no están destinados a tu máquina, generalmente con el propósito de ver tráfico confidencial/sensible, como sesiones telnet o gente leyendo su correo. Por desgracia no existe una forma de detectar un sniffer de paquetes, puesto que es una actividad pasiva, sin embargo mediante la utilización de switches de red y backbones de fibra óptica (que son muy difíciles de pinchar) se puede minimizar la amenaza.
tcpdump
El abuelito de los sniffers de paquetes para Linux, esta herramienta ha existido desde que me es posible recordar, y su uso principal es hacer un debug de problemas de red. No es muy configurable y carece de las características avanzadas de los más novedosos sniffers de paquetes, pero todavía puede ser útil. La mayoría de las distribuciones vienen con tcpdump.
sniffit
Mi sniffer de paquetes favorito, es muy robusto, tiene interesantes posibilidades de filtrado, convierte la carga de los paquetes en texto ASCII para una fácil lectura (como las sesiones telnet), e incluso tiene un modo gráfico (interesante para monitorizar de forma general la actividad y conexiones). Se encuentra disponible en: http://sniffit.rug.ac.be/~coder/sniffit/sniffit.html
Ethereal
Un analizador de protocolos con buena apariencia (alias, un sniffer trucado) con una interfaz muy similar al monitor de red de NT. Permite una sencilla vista de la carga de los paquetes para la mayoría de protocolos de red (tftp, http, Netbios, etc). Está basado en GTK, lo cual significa que probablemente habrá que tener el gnome ejecutándose para utilizarlo. Todavía no lo he probado (aunque tengo intenciones). Se encuentra disponible en: http://ethereal.zing.org
Snort
El Snort es una interesante herramienta de para sniffing de paquetes, que también se puede utilizar para detectar diferentes ataques. Puede vigilar actividades como escaneos mediante huellas TCP-IP con el Queso, escaneos con Nmap y similares. Se encuentra disponible en: http://www.clark.net/~roesch/security.html
SPY
SPY es un sniffer multiprotocolo avanzado que se ejecuta en diferentes plataformas. No es un programa gratuito, sin embargo existe una licencia para un sólo usuario para uso no comercial, con un máximo de 5 hosts. El coste comercial es de alrededor de 6000$ dólares americanos, pero echándole un rápido vistazo a sus características, yo diría que merece la pena si lo que se necesita es un sniffer industrial. Se puede conseguir en: http://pweb.uunet.de/trillian.of/Spy/
Otros sniffers
Existe toda una variedad de sniffers para Linux, basados en la librería libpcap entre otras, he aquí una pequeña lista:
http://www.mtco.com/~whoop/ksniff/ksniff.html - KSniffhttp://ksniffer.veracity.nu/ - Ksnifferhttp://mojo.calyx.net/~btx/karpski.html - karpskihttp://www.ozemail.com.au/~peterhawkins/gnusniff.html - Gnusniffhttp://elektra.porto.ucp.pt/snmpsniff/ - SNMP Snifferhttp://www.xnet.com/~catchmike/mike/Software/ - ipgrabAntiSniff
Como ya se mencionó anteriormente, AntiSniff es una herramienta que prueba dispositivos de red para ver si se están ejecutando en modo promiscuo, al contrario que los modos normales de operación. Se supone que es efectivo, y funcionará con la mayoría de sniffers. Se puede conseguir en: http://www.l0pht.com/antisniff
Copyright © 1999, Kurt Seifried, José Antonio Revilla
Todos los derechos reservados.