Bienvenidos al tema de hoy: Sniffing, el arte del espionaje
Damos un paso hacia delante, asimilamos la encriptación, los hash… y nos centramos ahora en el flujo de información que sale y entra constantemente de nuestras redes, sea información cifrada o no lo sea. Sniffing, para entendernos, es una técnica que permite tener un ojo en ese flujo de información, es decir, tener acceso a la información que es enviada o recibida por nuestros adaptadores de red, y algunas veces por el de otras personas también. Un Sniffer, utilidad que permite el sniffing, se llama de formalmente analizador de paquetes o analizador de red. Y sobre esto vamos a centrar todo este nuevo volumen:
Posiblemente en una primera versión sean estos elementos los que sean integrados en este volumen, posiblemente la versión final esté estructurada algo diferente, creando un volumen nuevo para temas generales de redes, como IP, DNS, modelos OSI…
Herramientas Utilizadas/Material necesario: (No todo es necesario, dependiendo de la plataforma a usar, de cada sección y de lo que a cada cual le sea más cómodo)
-
Windows 7 x64 Ultimate -> OS principal (General)
-
Debian Squeeze x64 -> OS secundario (General)
-
Firefox 4.0b10pre (General)
-
Thunderbird 3.3a2pre (General)
- Herramientas varias: Whois, ARP, route, ipconfig/ifconfig, ip_forward… (General)
-
Wireshark 1.4.3 (Protocolo IP, Analizador de Paquetes)
- Dig (Protocolo DNS)
- Privoxy 3.0.17 (Analizador de Paquetes)
- OpenSSL 1.0.0c (Analizador de Paquetes)
- Paros Proxy 3.2.13 (Analizador de Paquetes)
Que tal theliel, excelente tu blog felicidadez!!!, para cuando publicaras el curso suena bastante interesante, ojala y pudieras ondar o explicarnos en como entender los paquetes y encabezados, de todo el trafico que vayamos a ver con el snif, que sea un volumen para analisis de trafico para problemas en una red (broadcast, paquetes malformados, jabbers) nos ayudaria bastante a todos los seguidores de tu blog.
Tube un problema apenas con una aplicacion web interna entre clientes-servidor, comentan que a veces es lenta y el admin del server comenta que es por ancho de banda o perdida de comunicacion yo monitoreo mi red y la interfce del switch al server es de 100MB tiene apenas de 300 a 700 kb de entrada y salida 50 y 150 kb, la latencia es de < = 1 milisegundo, me imagino que tal vez al analizar el trafico origen destino pudiera encontrar mas respuestas, gracias y adelante con tus volumenes ;).
La verdad es que he estado un poco ocupado estos días y voy un poco retrasado ;), pero por supuesto no está abandonado. El problema que se me plantea con Sniffing es que haría falta un volumen sobre redes en general, como DNS, IP… cuando termine posiblemente sea el primer volumen de todos, en esta publicación lo tomaré como uno o dos capítulos dentro del sniffer, ya con tiempo y voluntad lo corregiré todo y quedará bastante más ordenado.
Es complicado sin tener más datos cual puede ser el problema. Tendríamos que ver de que tipo de aplicación web estamos hablando y por supuesto si el servidor es capaz de satisfacer toda la carga de la red, imagina por ejemplo que en un momento dado el servidor tenga 20 conexiones activas, el ancho de banda se tiene que distribuir.
Antes de siquiera ver un sniffer en tu caso, yo me preguntaría muchas otras preguntas más básicas como te digo:
-Que tipo de aplicacion web hablamos
-Que carga (conexiones) tiene de media el servidor
-Que velocidad de enlace existe, el switch puede ser FastEthernet, pero es posible que drivers, NICs o una mala configuración esté enlazando tan solo a 10Mb/s
Si tengo tiempo mañana le daré un empujon al capítulo primero, que creo que voy a “fusionar” o rescatar algo de un artículo antiguo que tenía al respecto. Si me das mas datos quizás pueda ayudarte.