En informática, un packet sniffer es un programa de captura de las tramas de red.

Es algo común que, por topología de red y necesidad material, el medio de transmisión (cable coaxial, UTP, fibra óptica etc.) sea compartido por varias computadoras y dispositivos de red, lo que hace posible que un ordenador capture las tramas de información no destinadas a él. Para conseguir esto el sniffer pone la tarjeta de red o NIC en un estado conocido como "modo promiscuo" en el cual en la capa de enlace de datos (ver niveles OSI) no son descartadas las tramas no destinadas a la MAC address de la tarjeta; de esta manera se puede capturar (sniff, esnifar) todo el tráfico que viaja por la red.

Los packet sniffers tienen diversos usos como monitorizar de redes para detectar y analizar fallos o ingenieria inversa de protocolos de red. También es habitual su uso para fines maliciosos, como robar contraseñas, interceptar mensajes de correo electrónico, espiar conversaciones de chat, etc.

Topología de redes y packet sniffers

La cantidad de tramas que puede obtener un sniffer depende de la topología de red, del modo donde esté instalado y del medio de transmisión. Por ejemplo:

• Para redes antiguas con topologías en estrella, el sniffer se podría instalar en cualquier nodo, ya que lo que hace el nodo central es retransmitir todo lo que recibe a todos los nodos. Sin embargo en las redes modernas, en las que solo lo retransmite al nodo destino, el único lugar donde se podría poner el sniffer para que capturara todas las tramas sería el nodo central.
• Para topologías en anillo, doble anillo y en bus, el sniffer se podría instalar en cualquier nodo, ya que todos tienen acceso al medio de transmisión compartido.
• Para las topologías en árbol, el nodo con acceso a más tramas sería el nodo raíz, aunque con los switches más modernos, las tramas entre niveles inferiores de un nodo viajarían directamente y no se propagarían al nodo raíz.

Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes que compartan el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi.

El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios.

Utilidad

Los principales usos que se le pueden dar son:

• Captura automática de contraseñas enviadas en claro y nombres de usuario de la red. Esta capacidad es utilizada en muchas ocasiones por crackers para atacar sistemas a posteriori.
• Conversión del tráfico de red en un formato inteligible por los humanos.
• Análisis de fallos para descubrir problemas en la red, tales como: ¿por qué el ordenador A no puede establecer una comunicación con el ordenador B?
• Medición del tráfico, mediante el cual es posible descubrir cuellos de botella en algún lugar de la red.
• Detección de intrusos, con el fin de descubrir hackers. Aunque para ello existen programas específicos llamados IDS (Intrusion Detection System, Sistema de Detección de intrusos), estos son prácticamente sniffers con funcionalidades específicas.
• Creación de registros de red, de modo que los hackers no puedan detectar que están siendo investigados.
• Para los desarrolladores, en aplicaciones cliente-servidor. Les permite analizar la información real que se transmite por la red.

Existen packet sniffers para Ethernet/LAN y algunos de ellos son Wireshark (anteriormente conocido como Ethereal ), Ettercap, TCPDump, WinDump, WinSniffer, Hunt, Darkstat, traffic-vis, KSniffer) y para Redes inalámbricas como Kismet o Network Stumbler.

Enlaces externos

• ¿Que es un Sniffer?

Véase también

• Trama de red
• Topología de red
• Unshielded twisted pair (UTP)
• Shielded Twisted Pair (STP)
• Switch
• Hub
• WiFi
• Tipos de Sniffer
• Detección de sniffer
• Test de Detección de Sniffer