¿Qué es la detección / captura de paquetes y cómo funciona?

No soy un experto en redes de ninguna manera, pero puedo darle una idea general de cómo funciona la captura / detección de paquetes.

Primero, hay dos medios para detectar paquetes: pasivo y activo. El rastreo pasivo es cuando un host o aplicación observa silenciosamente datos en la red destinados a otro host o aplicación. El rastreo activo es cuando el host envía datos al enrutador para engañarlo y enviar paquetes de regreso destinados a otro host.

El rastreo de paquetes de aplicaciones cruzadas es bastante sencillo. Aunque las aplicaciones rara vez tienen un uso legítimo para los datos de red de otra aplicación, si los programas se ejecutan en el mismo host, siempre habrá formas de obtener acceso a la red sin procesar para la captura de paquetes. En algunos sistemas operativos, puede requerir privilegios elevados, pero una vez que tenga eso, puede ver y analizar los datos que pasan a través del adaptador de red.

Para el rastreo de paquetes entre hosts, se basa principalmente en redes no conmutadas. Idealmente, los datos solo deben entregarse al host exacto para el que están destinados. Pero, en realidad, existen limitaciones técnicas que impiden que esto suceda.

Para las redes cableadas, existe el costo de hardware y rendimiento de tener una red completamente conmutada, ya que se necesita potencia de procesamiento y tiempo para analizar el paquete o el encabezado de la trama y enrutarlo al host preciso. Por lo tanto, una red puede tener un enrutador conectado a Internet, un conjunto de interruptores directamente detrás de eso para pasar los datos al piso correcto, pero luego usar solo concentradores en cada piso para transmitir / repetir los datos a cada host en ese piso.

Normalmente, el controlador de interfaz de red (NIC) está configurado para ignorar cualquier dato que no esté destinado a esa máquina (no está dirigido a su dirección MAC). Sin embargo, puede poner fácilmente una NIC en “modo promiscuo” a través del software (por ejemplo, pcap) para que todo el tráfico de red que recibe sea procesado por la CPU y, por lo tanto, accesible para los programas que se ejecutan en la computadora.

Cuando ejecuté WireShark (llamado Ethereal en ese entonces) en mi escritorio en el dormitorio de mi universidad en ese día, me sorprendió la cantidad de tráfico no encriptado que se transmitía. No solo vi el tráfico HTTP (que esperaba), sino también las contraseñas FTP (en ese momento ya no había ninguna razón para que alguien usara FTP para algo más que descargas de archivos públicos) e incluso conversaciones de mensajería instantánea. En realidad, fue un poco espeluznante ver las conversaciones de mensajería instantánea de mi compañero de cuarto en tiempo real, mientras que él no tenía idea de que lo estaba leyendo.

Pero también hay redes totalmente conmutadas y, en estos días, la red inalámbrica cada vez más presente. En realidad, nunca me he molestado en rastrear paquetes en tales entornos, ya que la mayoría de mis usos para la captura de paquetes se relacionan con la resolución de problemas de mis propias aplicaciones (donde tengo control total sobre al menos un punto final), monitoreando mi propio sistema o tratando de realizar ingeniería inversa. protocolo de red de una aplicación que me interesa. Sin embargo, como se demuestra en la descripción de la pregunta, existen numerosos programas / herramientas populares que pueden realizar la detección de paquetes más allá de simplemente poner una NIC en modo promiscuo.

Para redes conmutadas, la suplantación de ARP es probablemente el método más común. El protocolo de resolución de direcciones es el medio por el cual la capa de red resuelve una dirección IP en una dirección MAC. Entonces, si envía al enrutador un mensaje ARP falsificado que le indica que asocie la dirección IP de un host objetivo con su dirección MAC, comenzará a enviarle todos los datos destinados al host objetivo. Ahora, no estoy seguro de los detalles de cómo hacer que esto sea transparente para el host de destino, pero estoy seguro de que ya se ha resuelto y popularizado.

Las redes inalámbricas obviamente no pueden evitar que los datos que envían sean interceptados por dispositivos maliciosos. La transmisión direccional es una cosa, pero no es una garantía contra la intercepción. Entonces las redes inalámbricas dependen del cifrado. Sin embargo, para algoritmos de cifrado rotos como WEP, todo lo que se necesita es unos minutos para interceptar paquetes cifrados y una PC moderna puede descifrar la clave de cifrado y comenzar a enviar / recibir datos como quien quiera. Eso es lo que hace Firesheep, creo.

Afortunadamente, existen algoritmos de cifrado más fuertes y filtros de paquetes que pueden prevenir o detectar al menos algunas de estas clases de ataques.

¿Qué lenguajes de programación son los más utilizados para hackear?

¿Podría codificarse el binario de un software para enviar una alerta a un tercero remoto si un usuario intenta descompilarlo?

Si Quora dice que ya inicié sesión desde San José (y no he estado allí), ¿eso significa que mi cuenta ha sido pirateada?

¿Ha comenzado la primera guerra mundial cibernética?

¿Cómo se puede mejorar la seguridad para promover la confianza en las inversiones en criptomonedas?

¿Es necesario aprender programación para convertirse en un hacker de sombrero blanco? ¿Debo tener un excelente dominio sobre mis habilidades de codificación?

Hay una extensión llamada HTTPSEverywhere que redirige los sitios web a su interfaz HTTPS automáticamente cuando esté disponible. Muchos sitios web tienen una interfaz HTTPS, pero el sitio web no requiere que se use a menos que vaya específicamente allí. HTTPSEverywhere hace eso por ti.

Además, tenga en cuenta que los rastreadores de paquetes no son realmente una herramienta de “pirateo”. Existen muchos usos legítimos para los rastreadores de paquetes, incluido el diagnóstico de problemas con una aplicación, dispositivo o red que no tienen nada que ver con la seguridad.

Jeff Nelson

Por defecto, el contenido de los paquetes de datos no está encriptado. Las computadoras se comunican entre sí enviando paquetes de datos que pueden entender. Por lo general, no están encriptados, por lo que cualquier persona que quiera obtener estos datos de cualquier red puede hacerlo con mucha facilidad. Esto está olfateando y puede conducir a lo que se llama un ataque de Hombre en el Medio.

Pero, por supuesto, los paquetes también se pueden enviar de forma segura.

¿Alguna vez has notado que a veces los sitios web comienzan con “http” mientras que otros comienzan con ” https: // & quot;? Debes haber visto esto en Facebook y en Twitter al menos una vez. HTTP es el protocolo de transferencia de hipertexto. Este tipo está a cargo de tratar con sus paquetes descritos, y los trata sin encriptarlos.

HTTPS es el protocolo de transferencia de hipertexto * seguro *. Los paquetes que envía con este protocolo están encriptados, por lo que su complemento no podrá ver el contenido de los paquetes. Estos afirman que son seguros, solo para que los vea la computadora que envió los paquetes y la computadora que estaba lista para recibirlos.

Por este motivo, debe habilitar HTTPS en todos los sitios web que tengan esa opción. Facebook y Twitter no tienen HTTPS habilitado de forma predeterminada, pero el uso puede habilitarlos en su configuración. Si no lo hace, alguien que realmente quiera comprometer sus cuentas podrá hacerlo simplemente usando la extensión que está usando y conectándose a la misma red. Muchos sitios web deben aplicar HTTPS, como los sitios web bancarios. Si su banco no usa conexiones HTTPS, es hora de ir a un nuevo banco.

En este punto, probablemente te estés preguntando, ¿por qué no todos los sitios web solo usan HTTPS? Eso es porque HTTPS se realiza utilizando lo que se llama un certificado SSL. Los certificados SSL pueden hacer dos cosas muy útiles: una de ellas es encriptar el tráfico (HTTPS), y otra es verificar que el sitio web con el que está tratando es realmente el sitio web que espera. Los certificados SSL cuestan dinero, y el precio puede variar mucho de 100 $ a más de 2000 $ al año, dependiendo del tipo de certificado que necesite. Si bien puede hacer su propio certificado SSL en la línea de comando, si su intención es solo cifrar el tráfico, todas las personas que visiten su sitio verán una advertencia fea que dice que su sitio puede ser peligroso por proporcionar un certificado SSL no válido.

Calvin Huang

More Interesting

¿Qué tipo de acción legal se puede tomar contra los acosadores cibernéticos?

Piratería informática (seguridad): ¿es posible cambiar la dirección MAC? En caso afirmativo, ¿cómo?

¿Cómo están debilitando los ciberataques nuestra economía?

¿Cómo hacen los hackers páginas falsas para hackear correos electrónicos?

¿Cuáles son algunos virus informáticos (gusanos útiles) que infectan un sistema y luego lo protegen de nuevos ataques?

¿Cómo puedo saber si un correo electrónico es falso? ¿Encontrar la dirección IP del correo electrónico y rastrearlo es confiable? ¿Puedo concluir que el correo electrónico es falso si la IP proporciona una dirección en otro país? ¿Hay otra forma de verificar? ¿Cómo es esto legal?

Si el escándalo de piratería telefónica es Watergate del Reino Unido, ¿quién sufrirá el destino de la renuncia del presidente Nixon? ¿Cuáles son las consecuencias?

Quiero convertirme en un buen hacker. No el tipo que se muestra en las películas, sino el tipo que realmente puede hacer una auditoría del sistema. ¿Cuáles son algunos consejos?

¿Es segura la tecnología biométrica?

¿Cómo podemos denunciar delitos cibernéticos?