praktika2 ehtereal

Práctica 2 Analizadores software o sniffers

Uso de sniffers para la captura de tráfico

Jon Petralanda Urien

David Ortiz Fernandez

Práctica 2 Jon Petralanda Urien Analizadores software o sniffers David Ortiz Fernandez

Índice

Analizadores software o sniffers ................................................................................. 3

Descargar e instalar el analizador Ethereal (WireShark) . Una vez familiarizados con su funcionamiento, realizar la captura de una sesión completa desde vuestro equipo al servidor de Rediris, tanto por FTP como HTTP, empleando para ello los filtros de que dispone la herramienta de captura de datos. ................................................................ 3

Observar el tipo de tramas MAC que se generan en la red local y tratar de relacionarlas con el funcionamiento teórico de los protocolos de nivel de aplicación. ................... 4

Análisis de un ping (ICMP) entre dos equipos, observando las tramas generadas hacia el nivel físico, un acceso a un servidor web (HTTP), a un servidor ftp (FTP), etc. ...... 11

Análisis de capturas ................................................................................................... 13

Realizar una captura de tráfico de la red durante un tiempo razonable y guardarla como fichero en el disco duro del PC. Realizar un análisis de la misma off-line, aplicando diferentes filtros y condiciones que permitan comprender lo que ocurre en determinadas conexiones de red. Emplear la opción Follow TCP Stream del analizador Ethereal para realizar un seguimiento de conexiones completas: ¿qué información de la conexión obtenemos? Observar la expresión correspondiente al filtro que se aplica. .............. 13

¿Qué información aporta el análisis mediante la opción Follow Graph? .................. 15

Arquitectura de red .................................................................................................... 16

Alterando la configuración de red del laboratorio, los equipos dejan de estar conectados a un switch y se conectan directamente a un hub. Realiza capturas de tráfico local y analízalas. .................................................................................................................. 16

Ampliación ................................................................................................................. 18

Desde el sitio web de Ethereal es posible descargar capturas (Sample Captures) de funcionamiento de distintos protocolos de redes locales, metropolitanas y extensas, así como ataques de red. Utilizando una de estas capturas, explicar brevemente el funcionamiento de dicho protocolo o ataque. ............................................................ 18

Empleando un buscador convencional desde el navegador instalado en los PCs del laboratorio, buscar en Internet trazas de tráfico de otro tipo de redes (p.e. FDDI, Token Bus, etc.) susceptibles de ser analizadas en alguno de los analizadores manejados. Identificar las características más representativas de cada subcapa MAC y los servicios estudiados en la asignatura. ....................................................................................... 21

Realiza capturas de tráfico inalámbrico con el Ethereal (WireShark). ...................... 21


Analizadores software o sniffers

• Descargar e instalar el analizador Ethereal (WireShark) . Una vez familiarizados con su funcionamiento, realizar la captura de una sesión completa desde vuestro equipo al servidor de Rediris , tanto por FTP como HTTP, empleando para ello los filtros de que dispone la herramienta de captura de datos.

Tras la conexión FTP al servidor de rediris, y una vez aplicado el filtro para únicamente visualizar las tramas correspondientes al protocolo FTP el resultado obtenido es el siguiente:

Aquí vemos como se establece la conexión, “acordando” utilizar el modo pasivo y a través de que puerto se mantendrá dicha conexión, y como van apareciendo distintos números según haya ido el envío de la trama (los 2xx indican que la transferencia ha sido satisfactoria).

Por otro lado, realizamos la conexión HTTP a la web del propio rediris, y nuevamente, aplicamos el filtro correspondiente:


Y vemos nuevamente como se utiliza el método get para solicitar los contenidos a la web. En esta ocasión recibimos un 304 como respuesta, que nos indica que el contenido de la página no ha sido modificado desde la fecha indicada por el cliente.

Observar el tipo de tramas MAC que se generan en la red local y tratar de relacionarlas con el funcionamiento teórico de los protocolos de nivel de aplicación.

• ¿Cuál es tu dirección MAC? ¿De qué fabricante es tu tarjeta? ¿Conoces alguna otra forma de identificar esta dirección sin emplear el analizador? Identifica las direcciones MAC de destino. ¿Observas diferencias al acceder a distintos destinos locales y remotos? ¿Cuáles? ¿Por qué?

Nuestra tarjeta de red ha sido fabricada por Dell, y la MAC real que le corresponde a nuestro equipo, como explicaremos posteriormente, es la: 00:14:22:57:24:97.

Para acceder a un punto “exterior” de la red, debemos pasar por el gateway, por lo que el destino de nuestros paquetes será el gateway (cuya MAC es 00:30:4F:48:12:B1). Sin embargo, para acceder a un destino local podemos ver directamente la MAC del equipo destino.


Para saber la dirección MAC que nos asigna VMware (nos da una MAC que no es la real) iremos a la consola del sistema operativo sobre el que corre vmware IPCONFIG/ALL (debemos trabajar en modo bridged) y apuntaremos donde pone "dirección física".

Para conocer nuestra MAC real debemos hacer un ping a un compañero utilizando un sistema operativo sobre el que corra VMware, ya que este programa nos oculta la MAC, asignándonos una ficticia. Por otro lado, el compañero debe


trabajar en modo NAT, para que la MAC que le aparezca sea la real. Una vez hecho todo este proceso, nuestra MAC real es la siguiente: 00:14:22:57:24:97. También ejecutar el sistema operativo que está tras VMWare y hacer el ipconfig/all ahí, ahora como estamos en la máquina física sabremos nuestra MAC real.

• ¿Qué ocurre con el campo de longitud/tipo de la trama Ethernet? ¿Qué uso le dan las diversas máquinas? ¿Qué otro tipo de información relevante puedes identificar?

Las tramas de red tienen el siguiente formato:

Preámbulo SOF Destino Origen Tipo Datos FCS

7 bytes 1 byte 6 bytes 6bytes 2 bytes 46 a 1500 bytes 4 bytes

Preámbulo: Campo de 7 bytes (56 bits) que contiene una secuencia de bits usada para sincronizar y estabilizar el medio físico antes de iniciar la transmisión de datos. El patrón del preámbulo es:

10101010 10101010 10101010 10101010 10101010 10101010 10101010

Estos bits se transmiten en orden de izquieda a derecha y en la codificación Manchester representan una forma de onda periódica.

SOF (Start Of Frame) Inicio de Trama :Campo de 1 byte (8 bits) que contiene un patrón de 1 y 0 alternados, y que termina con dos 1 consecutivos. El patrón del SOF es: 10101011 . Indica que el siguiente bit será el bit más significativo del campo de MAC de destino. Aunque se detecte una colisión durante la emisión del preámbulo o del SOF, el emisor debe continuar enviando todos los bits de ambos hasta el fin del SOF.

Dirección de destino: Campo de 6 bytes (48 bits) que especifica la dirección MAC de tipo EUI-48 hacia la que se envía la trama. Esta dirección de destino puede ser de una estación, de un grupo multicast o la dirección de broadcast de la red. Cada estación examina este campo para determinar si debe aceptar el paquete.

Dirección de origen: Campo de 6 bytes (48 bits) que especifica la MAC de tipo EUI-48 desde la que se envía la trama. La estación que deba aceptar el paquete conoce a través de este campo la dirección de la estación origen con la cual intercambiar datos.

Tipo: Campo de 2 bytes (16 bits) que identifica el protocolo de red de alto nivel asociado con el paquete, o en su defecto la longitud del campo de datos. Es interpretado en la capa de enlace de datos.


Datos: Campo de 46 a 1500 Bytes de longitud. Cada Byte contiene una secuencia arbitraria de valores. El campo de datos es la información recibida del nivel de red (la carga útil). Este campo, también incluye los H3 y H4 (cabeceras de los niveles 3 y 4), provenientes de niveles superiores.

FCS (Frame Check Sequence - Secuencia de Verificación de Trama): Campo de 32 bits (4 bytes) que contiene un valor de verificación CRC (control de redundancia cíclica). Este CRC se calcula por el emisor sobre todo el contenido de la trama, y se vuelve a calcular por el receptor para compararlo con el recibido y verificar la integridad de la trama.

Utilizando el protocolo 802.3 aparece la longitud de la trama ethernet (38). Cuando analizamos un paquete que ha sido enviado usando protocolo eth2 no aparece dicha longitud, ya que este protocolo no incluye en la trama ningún campo de tamaño, en su lugar eth2 incorpora un campo que define el tipo de paquete.

En estas 2 imágenes podemos ver las diferencias. En la imagen superior vemos el formato de la trama utilizando el protocolo 802.3 y en la inferior el ethernetII:


• ¿Qué otro tipo de conexiones se pueden observar en la red (ARP, DNS…)? Identificar las tramas de nivel de enlace y, si es posible, los servicios utilizados en ellas.

Además de los comentados o pendientes de comentar (como FTP, HTTP, TCP o ICMP), en las sesiones capturadas se pueden identificar tramas de los siguientes protocolos:

-ARP: Adress Resolution Protocol, para resolver direcciones IP desconocidas mediante consultas

-MSNMS: Protocolo utilizado en el popular programa Msn Messenger para mensajería instantánea.

- STP: Spanning-Tree, para la gestión del enlace

- DNS: Domain Name Server, para la traducción entre nombres de máquinas o servidores e IPs

-DHCP: Dynamic Host Configuration Protocol. Protocolo del tipo cliente-servidor que sirve para que los nodos de red obtengan sus parámetros automáticamente.


-IGMP: Internet Group Management Protocol. Se utiliza para intercambiar información acerca del estado de pertenencia entre enrutadores IP y miembros de grupos de multidifusión. Los hosts miembros individuales informan acerca de la pertenencia de hosts al grupo de multidifusión y los enrutadores de multidifusión sondean periódicamente el estado de la pertenencia.

Y como vemos en esta imagen, hay muchos tipos de tramas del nivel de enlace:

• Alterar la configuración de la tarjeta de red de modo promiscuo a modo no promiscuo. ¿Qué cambios se manifiestan en las capturas?

Con el modo promiscuo recogemos todo el tráfico que vaya por delante nuestro, independientemente de que vaya dirigido a nosotros o no. Si hacemos el análisis en modo no promiscuo, el tráfico que veremos reflejado será exclusivamente el nuestro.

Si utilizamos un hub da lo mismo que trabajemos en modo promiscuo o no promiscuo, ya que toda la información que pase por él la saca por las demás bocas, con lo cual esa información también nos llegará a nosotros.

En resumen, el modo promiscuo se diferencia del no promiscuo en que no sólo se escucha todo, sino que además se puede procesar la info que se ha escuchado porque se puede sacar de la tarjeta ethernet. En modo no promiscuo, simplemente, los datos que no van dirigidos a nuestro ordenador se desechan.

• Indica las principales diferencias que identificas cuando realizas capturas con el Ethereal en tu máquina virtual configurada en modo bridged y en modo NAT.


Cuando trabajamos en modo NAT el sistema operativo sobre el que corre el VMWARE “encubre” la dirección IP (172.x.x.x, creada por VMWARE) y nos crea una MAC también virtual. Sin embargo en el destino se ve nuestra dirección MAC real.

En modo bridged, sin embargo, nuestra IP es la de la máquina física, no una virtual. La dirección MAC de nuestro equipo que veamos también será una virtual.

En modo NAT no vemos lo que ocurre en la red pues nos lo tapa el VMWare, sin embargo en modo bridged vemos todo el tráfico de la red.

Por decirlo de otra manera el PC emulado con VMWare puede utilizar la conexión a Internet del anfitrión con NAT o en modo bridge. En modo puente (bridge), el PC emulado se comporta como si estuviera conectado directamente a la LAN. Esto necesita una dirección IP propia que debe ser valida en la red local.

• Repetir los experimentos anteriores realizando conexiones con otras aplicaciones, como por ejemplo, ping, telnet o ssh para conectaros a otro equipo, observando el tráfico en la red. Asimismo, se pueden utilizar protocolos de red Microsoft, trabajando en Windows, como los utilizados para compartir recursos (carpetas e impresoras, NetBIOS), SMB, etc. o bien otras herramientas de testeo y configuración de red como tracert y net (Windows), traceroute (Linux)…

Para poder realizar un ping al ordenador de un equipo del laboratorio debemos conocer la dirección IP física de dicho PC. Si intentamos realizar el ping utilizando la IP virtual no podremos realizar la conexión, ya que el switch no reconocerá esa IP creada.

Como ejemplo de otras aplicaciones haremos un ping en el siguiente ejercicio y como protocolo de Microsoft, utilizaremos el protocolo MSNMS que sirve para el servicio de mensajería instantánea ofrecida por Microsoft:


En la captura observamos como se establece una conexión de mensajería a través del protocolo TCP a nivel de red y MSNMS a nivel de enlace, una vez realizado esto se envían los paquetes de mensajes correspondientes con respuesta a nivel de TCP, más adelante veremos como estos mensajes se pueden visualizar a través de este sniffer. En el caso de nuestra red, vemos como la comunicación solo se hace a través del Router-Portátil (como podemos observar es una captura de tráfico wireless)

• Como ejemplo simple, se propone de nuevo el análisis de un ping (ICMP) entre dos equipos, observando las tramas generadas hacia el nivel físico, un acceso a un servidor web (HTTP), a un servidor ftp (FTP), etc.

Si hacemos un ping al equipo de un compañero del laboratorio, vemos que las tramas generadas son tramas ICMP y vemos como la secuencia es la siguiente: desde nuestro equipo enviamos un paquete al equipo destino y desde éste se nos contesta. Esta secuencia se repite 4 veces, tal y como podemos ver en la siguiente imagen:


Por otro lado, en la siguiente captura hemos analizado una sesión FTP (es la misma sesión que la utilizada al comienzo de la práctica). En ella vemos como se intercalan, entre otras, tramas spanning-tree (de gestión del enlace).

Y si hacemos lo mismo con una captura de sesión HTTP:


Análisis de capturas

• Realizar una captura de tráfico de la red durante un tiempo razonable y guardarla como fichero en el disco duro del PC. Realizar un análisis de la misma off-line, aplicando diferentes filtros y condiciones que permitan comprender lo que ocurre en determinadas conexiones de red. Emplear la opción Follow TCP Stream del analizador Ethereal para realizar un seguimiento de conexiones completas: ¿qué información de la conexión obtenemos? Observar la expresión correspondiente al filtro que se aplica.

Mediante la opción Follow TCP Stream, una de las más útiles del sniffer, se nos muestran todos los paquetes relacionados con el paquete que hayamos seleccionado, con lo cual, es más fácil ver una comunicación con una página web, o con cualquier otro protocolo. En este nuevo estado, podremos seleccionar ver los paquetes en ASCII, en Hexadecimal, en arrays de C... según queramos o necesitemos.

Las ventajas de la opción de seguimiento de trazas TCP son:

1. Nos permite realizar un completo seguimiento de una comunicación TCP,

incluso dentro de una captura mucho mayor. 2. Evita tener que interpretar una gran cantidad de mensajes de control (ACK,

SYN, etc.) añadidos implícitamente por el propio protocolo de transporte. 3. Podemos separar de forma rápida los datos enviados/recibidos por

emisor/receptor de los mensajes de control añadidos por TCP.


Gracias a esta opción podemos ver textos planos enviados de un usuario a otro haciendo un seguimiento del protocolo msnms (cuando se mande un mensaje en info nos avisará con un MSG). Para este ejemplo hemos hecho una captura wireless desde nuestro portátil a una conversación MSN mantenida entre nosotros 2:

En esta captura podemos apreciar cómo Wireshark separa emisor y receptor asignándole un color distinto a los mensajes de cada uno (rojo para el emisor y azul para el receptor).


Para cada mensaje transmitido Wireshark nos muestra su cabecera MIME, gracias a ella podemos distinguir entre los mensajes de control (text/x-msmsgscontrol) y los de información (text/plain: charset-UTF-8). Observar que al final de cada mensaje de información podemos leer los datos tal cual fueron enviados/recibidos.

¿Qué información aporta el análisis mediante la opción Follow Graph?

Aparte de los temas relacionados con la seguridad, Wireshark también aporta una funcionalidad más cercana al área de la Auditoría, concretamente nos permite recoger todo tipo de estadísticas sobre una captura previa. Gracias al uso de estas estadísticas podemos supervisar más cómodamente el uso que se está haciendo de los recursos de la red.

Desde el menú de estadísticas podemos obtener un pequeño resumen de la captura realizada, en él aparece la siguiente información:

• Tiempo y tamaño de la captura.

• Formato de la captura.

• Número de paquetes capturados.

• Media de paquetes por segundo.

• Tamaño medio de paquete.

• ...

Para el caso específico de los servidores podemos obtener estadísticas sobre el número de accesos, la distribución de estas peticiones a lo largo del tiempo, etc. Toda esta información puede ser recogida de forma visual en una gráfica creada automáticamente por Wireshark.

Ahora miraremos un ejemplo. En negro, podemos visualizar el tráfico total. En rojo, el trafico TCP y en azul, la cantidad de paquetes con la dirección IP 10.96.4.4 gracias al uso de filtros y los colores, podemos hacer las combinaciones que queramos para ver las estadísticas de uso de los distintos protocolos.


Arquitectura de red

• Alterando la configuración de red del laboratorio, los equipos dejan de estar conectados a un switch y se conectan directamente a un hub. Realiza capturas de tráfico local y analízalas.

En primer lugar definiremos el funcionamiento de un switch y el de un hub.

Hub: trabaja a nivel físico, lo que entre por cualquiera de las bocas lo saca por las demás, por lo que si dos equipos quieren hablar a la vez hay colisión. Precisamente por esto, por el gran número de colisiones que provocan, hoy en día apenas se utilizan.

Switch: trabaja a nivel2, por lo que conoce la capa ethernet. La trama solo sale por la boca que corresponde a la dirección destino. El switch se encarga de saber donde esta cada MAC. Cuando no sabe donde esta una dirección destino se comporta como un hub y saca la información por todas las bocas. Los switches se suelen utilizar cuando se desea conectar múltiples redes, fusionándolas en una sola. Al igual que los bridges, dado que funcionan como un filtro en la red, mejoran el rendimiento y la seguridad de las redes LAN.


Si conectamos 3 equipos en un hub, y, por ejemplo, uno hace un ping al otro (sin que el nuestro esté involucrado) vemos que ese tráfico también va dirigido a nosotros, ya que como hemos dicho, el hub saca la información por todas las bocas, con lo cual esa información también nos la manda. Por ejemplo, en esta captura en la que hacemos cual un ping al equipo de un compañero mientras estamos 3 equipos conectados por el hub, vemos como aparecen múltiples ARPs que no van dirigidas a ninguno de los equipos “implicados” en el ping, ya que el ping es entre los equipos 192.168.1.110 y 192.168.1.124 y se le realizan consultas al 192.168.1.104:

Ahora nos hacen un ping a nosotros con la misma configuración (3 equipos conectados a través de un hub), pero trabajando en modo no promiscuo. Como hemos dicho antes, en este modo de análisis solo aparecerá el tráfico correspondiente a nuestra tarjeta de red, es decir, en este caso solo aparecerán las consultas ARP que se nos hagan y el ping que recibimos:


Ampliación

• Desde el sitio web de Ethereal es posible descargar capturas (Sample Captures) de funcionamiento de distintos protocolos de redes locales, metropolitanas y extensas, así como ataques de red. Utilizando una de estas capturas, explicar brevemente el funcionamiento de dicho protocolo o ataque.

Como la parte de redes de área extensa hemos tratado en otros apartados (hemos visto los protocolos FTP, TCP, HTTP,…) en este apartado nos centraremos en las restantes cuestiones.

Como ejemplo de un protocolo de red local (LAN) hemos tomado el NFS, para las redes MAN (de área metropolitana) el protocolo DQDB, y como ejemplo simple de un ataque hemos seleccionado un intento de saturación de una red local mediante el envío masivo de ARPs.

Redes Locales Para la parte de un protocolo utilizado en redes locales, nos descargamos una captura de NFS (Network File System), que permite que los equipos pertenecientes a una red local accedan a recursos remotos como si fueran recursos locales. Las principales características de este protocolo son:


- Se basa en la tecnología cliente-servidor. Los clientes acceden a los datos

almacenados en el servidor. - Como los datos se hallan centralizados en un lugar remoto, pero pueden ser

leídos y modificados por las distintas estaciones locales, éstas necesitan menos espacio en disco.

- Los directorios /home pueden ser creados en el servidor, para que posteriormente se pueda acceder a ellos desde cualquier equipo de la red.

- Se pueden compartir dispositivos de almacenamiento, con lo que se reduce el gasto en hardware.

- Las operaciones sobre los ficheros son síncronas. Si analizamos la siguiente captura, vemos como en primer lugar el cliente (cuya IP es 10.65.200.21) intenta establecer la conexión con el servidor (de IP 10.65.200.11). Una vez establecida la conexión, el cliente pide al servidor que le envíe un paquete (podemos pensar que está tratando de leer un fichero). Una vez se ha completado la transferencia el cliente le envía una petición de finalización indicando de momento puede dar por finalizada la conexión. Acto seguido le envía una nueva petición de establecimiento de conexión, que el servidor acepta. Tras el envío de un nuevo paquete el servidor le indica mediante un “FIN” que no tiene más tramas que enviar, y que por lo tanto se puede finalizar la conexión. Pasados unos instantes, el cliente acepta la petición de finalización de conexión. Después se vuelve a establecer una conexión, tras lo que comienza un intercambio de paquetes en muy poco tiempo, por lo que podemos pensar que se trata de la escritura de un fichero remoto (el cliente recibe paquetes y envía el mismo en un breve intervalo de tiempo). La captura de la sesión en cuestión es la siguiente:

Redes Metropolitanas


El protocolo más extendido en las redes de área metropolitana (MAN) es el estándar DQDB o 802.6. Este estándar se define como dos buses de datos, en el que la información circula en ellos en el sentido contrario al que lo hace en el otro (uno de ida y otro de vuelta). Estos dos buses están conectados a las distintas estaciones, y en cada extremo tienen un generador de segmentación. Si realizáramos una captura de este protocolo, veríamos como los paquetes que circulan por un bus se “copian” en el otro. Se podría decir que por uno de los buses sale del origen y por el otro bus le llega al destino. Por lo tanto veríamos el mismo paquete dos veces, separados por un breve intervalo de tiempo, que sería el tiempo que tardaría en enviarse el paquete. Lamentablemente no hemos podido encontrar ninguna captura de este protocolo, en parte porque las redes MAN han dejado de ser utilizadas, ya que en su lugar se implementan redes de área extensa (WAN). Ataque de Red A continuación analizaremos un ejemplo simple de un ataque de red. En este ataque se intenta sobrecargar una red local mediante el envío masivo de consultas ARP. Vemos como desde un mismo equipo se llegan a realizar alrededor de 600 consultas en menos de 30 segundos, es decir, a 20 consultas por segundo, capaz de ralentizar considerablemente el tráfico de datos por la red. En estas capturas vemos el tráfico que produce el equipo atacante mientras realiza este ataque de saturación (el destino será principalmente el Gateway de esa LAN, con lo que también se ralentizarán sus respuestas a otros usuarios):

Y en esta captura vemos que el atacante llega a provocar que circulen 622 paquetes en 29 segundos (21 paquetes por segundo):


• Empleando un buscador convencional desde el navegador instalado en los PCs del laboratorio, buscar en Internet trazas de tráfico de otro tipo de redes (p.e. FDDI, Token Bus, etc.) susceptibles de ser analizadas en alguno de los analizadores manejados. Identificar las características más representativas de cada subcapa MAC y los servicios estudiados en la asignatura.

No nos ha sido posible realizar este ejercicio puesto que no hemos encontrado ninguna traza de tráfico de otro tipo de red susceptible de ser analizada en algún analizador manejado. La mayor aproximación que podríamos hacer hacia este tipo de redes es la de basarnos en la arquitectura de la misma. Por ejemplo en una red Token Ring en el analizador deberíamos de ser capaces de ver cosas como el testigo y como se va pasando de terminal en terminal para poder realizar la transferencia de datos

• Realiza capturas de tráfico inalámbrico con el Ethereal (WireShark).

Aquí un ejemplo de una captura de tráfico con WireShark:


Aquí podemos ver la relación entre el terminal Wi-fi y el punto de acceso en los distintos tipos de conexiones. La principal característica del tráfico wireless es, sin duda, la falta de seguridad en este tipo de redes, en internet hay cientos de páginas y manuales para poder hackear claves, redes y demás variantes. Lo cierto es que nos ha sorprendido ver con que relativa facilidad se puede acceder a cierta información de otra red a través de un sniffer como WireShark. Además hemos llegado a la conclusión de que mucha de la información que transmitimos por la red viaja como texto plano. Esto supone un grave fallo de seguridad ya que cualquier sniffer que esté escuchando puede capturar toda esta información. Una posible solución a este problema sería el uso de encriptación aunque haya varios desencriptadores que funcionan bastante bien.

Como curiosidad y a modo de ejemplo de esta vulnerabilidad, podemos mirar el tráfico de la red del vecino si nos conectamos a su red Wireless, podemos ver donde accede o, gracias al protocolo msnms saber su e-mail. Además su clave la podemos ver encriptada si captamos muchos paquetes en modo promiscuo (unos 5000) y gracias a un programa de desencriptación descifrar su contraseña.

praktika2 ehtereal

Documents

anlisis de capturas

capturas de trfico local

red local

capturas de trfico inalmbrico

ataques de red

configuracin de red

arquitectura de red

sniffers uso de sniffers