Mode promiscu

De Viquipèdia
Dreceres ràpides: navegació, cerca

En informàtica, el mode promiscu és aquell en el qual una ordinador a connectada a una xarxa compartida, tant la basada en cable de coure com la basada en tecnologia sense fils, captura tot el trànsit que circula. Aquest mode està molt relacionat amb els sniffers que es basen en aquesta mode per realitzar la seva tasca.

Com funciona?[modifica | modifica el codi]

Exemple de mode promiscu.

En les xarxes d'ordinadors, la informació es transmet en una sèrie de paquets amb l'adreça física (o adreça MAC) de qui l'envia i qui l'ha de rebre, de mode que quan transmetem un fitxer, aquest es divideix en diversos paquets amb una mida per defecte i el receptor és l'únic que captura els paquets avaluant si porten la seva direcció.

En el mode promiscu, una màquina intermèdia captura tots els paquets, que normalment deixalleria, incloent-hi els paquets destinats a ell mateix ia la resta de les màquines. Resulta a destacar que les topologies i maquinari que es facin servir per comunicar les xarxes, influeix en el seu funcionament, ja que les xarxes en bus, xarxes en anell, així com totes les xarxes que obliguin a que un paquet circuli per un mitjà compartit, al qual tots tenen accés, les modes promiscus capturaran encara més paquets que si estan en una xarxa amb topologia en arbre. Per completar la mode, les màquines en mode promiscu solen simplement copiar el paquet i després tornar-lo a posar a la xarxa perquè arribi al seu destinatari real (en el cas de topologies que requereixin de retransmissió). [1]

Per a què serveix?[modifica | modifica el codi]

Exemple de captura en mode promiscu.

La mode promiscu resulta molt útil per veure quins paquets travessen la teva xarxa. La seva utilitat es basa en el fet que tots els paquets que passen per una xarxa té la informació de a quin protocol pertany i les opcions de reacoblament. Fins i tot, si no estan xifrats, tenen la informació en clar, és a dir, que és possible saber que conté el paquet.

És especialment útil en els routers que uneixen diverses xarxes, ja que amb eines que analitzen els paquets podem detectar errors, atacs, pèrdua de paquets, sobrecàrregues, etc. En capturar tot el tràfic que travessa un router, es poden determinar també, usos, serveis que han de rebre amplada de banda prioritari, accessos no permesos a equips o protocols, etc.

També és usat en el costat contrari: per realitzar atacs contra xarxes. Darrerament, aquest terme és molt usat per a tractar d'atacar xarxes WIFI xifrades així com el Wardriving que és la detecció de xarxes WIFI.

Sniffers[modifica | modifica el codi]

Es refereix a les aplicacions o programes que tenen la capacitat d'analitzar el trànsit de la xarxa.

Vegeu Sniffer

Mode promiscu i xarxes sense fil[modifica | modifica el codi]

Les xarxes Wifi es basen en l'enviament de trames en l'espectre radioelèctric, la qual cosa s'assembla a les xarxes de cable amb topologia hub, ja que totes les trames són capturables per qualsevol equip que es trobi connectat a la xarxa. [2]

Això resulta especialment útil per determinar els rangs de IP de les màquines de la xarxa, o realitzar atacs contra els xifrats WEP que es basen a capturar, bàsicament, tots els paquets necessaris per trencar el xifrat.

Gran part de les targetes Wi-Fi té la possibilitat de capturar trànsit, és a dir, treballar en mode promiscu.

Activar mode promiscu en una targeta de xarxa[modifica | modifica el codi]

  • FreeBSD/Linux: ifconfig <interfaz> promisc (-promisc per treure el mode promiscu)
  • Windows: Mitjançant drivers [3] i programari especialitzat. També mitjançant el protocol de monitor de xarxa.

Detecció de màquines en mode promiscu a la xarxa[modifica | modifica el codi]

Hi ha eines per detectar interfícies de xarxa que es trobin en mode promiscu. Es basen en l'enviament de paquets que ningú respondrà, excepte per equips en mode promiscu.

  • Detecció de Latència en paquets ICMP: Aquest mètode llança moltes peticions, TCP errònies perquè cap equip les tingui en consideració. Després d'això, s'envia ping a totes les màquines. La màquina en mode promiscu trigarà a respondre, ja que està ocupant processant els paquets. L'atacant podria bloquejar l'entrada de peticions ICMP al tallafocs del seu equip per evitar ser descobert.
  • Detecció mitjançant paquets ping ICMP: Es llança un ping a una màquina sospitosa, amb l'adreça MAC del paquet errònia. Si la màquina està en mode promiscu, respondrà sense comprovar que l'adreça MAC és errònia. L'atacant podria bloquejar l'entrada de peticions ICMP al tallafocs del seu equip per evitar ser descobert.
  • Detecció mitjançant paquets Address Resolution Protocol: S'envia un paquet de petició Address Resolution Protocol amb destinació a l'adreça IP de la màquina sospitosa ja una l'adreça MAC inexistent. Si l'equip està en mode promiscu, processarà aquesta consulta Address Resolution Protocol i respondrà. Aquest procés se sol repetir per a totes les IPs vàlides en el rang de la xarxa local per comprovar tots els equips. L'atacant podria utilitzar una distribució de Linux modificada perquè no respongui a aquest tipus de consultes i evitar així ser descobert per aquest mètode.
  • Detecció d'acord amb resolucions DNS: Molts programes de captura de trames de xarxa que funcionen en mode promiscu solen tenir per defecte activada l'opció de resoldre les IP dels equips remitents i destinataris dels paquets capturats. Un programa de detecció pot enviar paquets des d'una IP inexistent a una altra per comprovar si posteriorment es realitzen les corresponents resolucions DNS. L'atacant podria desactivar les resolucions DNS en el programa de captura de trames per evitar ser descobert.

Enllaços externs[modifica | modifica el codi]

Comunitats d'estudi[modifica | modifica el codi]


Referències[modifica | modifica el codi]

  1. [http ://es.tldp.org/Manuales-LuCAS/doc-unixsec/unixsec-html/node276.html Seguretat en Unix, Secció Intercepció]
  2. fornes/RSR/2005/SeguridadWIFI/Trabajo% 20WIFI.pdf Seguretat Wi-Fi
  3. Driver per mode promiscu en targetes Wi-Fi