Como capturar paquetes de una red. (.SIC)


Hace mucho que no escribo algo en este abandonado blog, por fortuna hoy se me ocurrió algo que puede ser de interes.

Cuando pretendemos capturar paquetes de una red o monitorear la red, a veces no tomamos en cuenta ciertos aspectos esenciales para poder obtener los datos que nos interesan.

Lo primero que debemos tener en cuenta es que dispositivo es el que nos permite el acceso a la red. Segundo, en que parte de la red estamos ubicados y tercero las características de nuestro equipo.

Del primer punto puedo decirles que en este articulo veremos 2 casos: Red con un Hub y Red con Switch. Asumiremos que lo hacemos en nuestra red casera por lo que sabemos exactamente en que parte de la red estamos y sobre el tercer punto debemos saber que necesitamos saber que es indispensable que nuestro equipo con el programa Packet Sniffer debe tener una tarjeta de red que tenga una velocidad igual a la velocidad máxima de nuestra red.

Red con un Hub: Este es el caso más sencillo, cuando las computadoras de nuestra red estan conectadas a un Hub. El Hub es básicamente un repetidor que no distingue de ninguna manera entre una u otra computadora por lo que solo envía paquetes broadcast. Esto influye en el rendimiento de la red, existen muchas colisiones por lo que se ralentiza notablemente nuestra velocidad de conexión.

Hub

Sin embargo, para capturar paquetes es perfecto, solo necesitamos conectarnos y empezar a capturar el tráfico, podemos capturar todo lo que circula por la red sin problemas.

Red con un Switch: En el caso del Switch es más difícil, el Switch si identifica una computadora de otra, por lo que requerimos básicamente un un Switch configurable.

switch.jpg

Supongamos que la computadora A de la figura tiene nuestro Packet Sniffer y que desea ver la información que llega a la computadora C. Si tenemos un Switch configurable podemos hacer que el Switch mande una réplica del tráfico que llega a C al puerto de la máquina A (puerto espejo). Esto es lo ideal si se desea tener un IDS sin correr el riesgo de saturar la red.

¡No tengo un Switch configurable o simplemente no es tan poderoso! Entonces hay más opciones, después de todo, es tu red y puedes cambiarla sin problemas.

machine.jpg

En el esquema de arriba vemos lo que se llama “Máquina en medio” no confundir con “Hombre en medio”. En “Máquina en medio” la computadora A que tiene nuestro Packet Sniffer sirve como puente para conectar a la máquina C y el Switch. Atención en el detalle de que A requiere dos tarjetas de red.

¡No puedo cambiar la topología de mi red o la red no es mía! Puedes hacer “Hombre en medio”, un ejemplo sería modifica la tabla ARP de la máquina C. Más fácil todavía es hacer MAC Spoofing, sin embargo considera errores en los paquetes y perder algunos más.

Recuerda que en redes inalámbricas aunque el medio sea totalmente compartido se necesita estar autenticado en la red para poder capturar los paquetes, en caso contrario aspiras a que solo obtengas Beacons y tramas similares. También recuerda que en redes inalámbricas siempre habrá pérdida de paquetes.

Una respuesta a “Como capturar paquetes de una red. (.SIC)

  1. Señores pòr favor me cuentan si Yo al final de una red pongo en cortocircuito los cables fisicamente, que pasa con el resto de maquinas conectadas. se cae la red, falla la comunicaion de los otros?

    Muchas Gracias

    REPUESTA

    Antes que nada, perdón por la tardanza. Nunca lo he hecho, si entendí bien creo que no debería pasar nada en una red Ethernet, pero también depende del estándar que sigas. Si alguien puede experimentar, que nos cuente el resultado.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s