El primer paso en pruebas de análisis y otro tráfico malicioso es verlo con nuestros propios ojos. Es de sentido común requerir visualizar el interior de un sistema cuando no funciona adecuadamente. Esta es la razón por la cual un sniffer es la herramienta favorita de los administradores de sistemas y redes. Debido a los sniffers pueden recolectar toda la información transmitida sobre una red en un momento definido; incluyendo contraseñas y otros datos sensibles; son muy populares entre los ciberatacantes.
Los sniffers pueden ser dispositivos de hardware los cuales físicamente se conectan hacia la red, pero más comúnmente, son programas de software ejecutándose sobre computadoras en red. Los sniffers incluidos con el sistema operativo están diseñados como herramientas para el administrador del sistema. Sin importar sus necesidades, intereses, o presupuesto, probablemente exista un sniffer cumpliendo aquello requerido. Algunos sniffers están diseñados para propósitos más especializados y nefastos. Los sniffers incluidos con rootkits frecuentemente están diseñados para buscar nombres de usuarios y contraseñas en los datos de la red y extraerlos hacia archivos. Para utilizar este tipo de sniffer los ciberatacantes no necesitan conocimientos técnicos. Simplemente ejecutan un programa, y después un tiempo, se tiene un archivo completo de nombres de usuarios y contraseñas los cuales pueden ser utilizados posteriormente para realizar una intrusión sobre la red.
Los ciberatacantes pueden también utilizar sniffers propios en su contra. ¿Esto es un argumento en contra de utilizar sniffers como herramientas para el análisis de red? Por supuesto que no; los sniffers son demasiado valiosos como para prescindir de estos por completo, y los ciberatacantes siempre pueden traer los suyos propios. Pero vale el esfuerzo de mantener los sniffers fuera del alcance de un posible ciberatacante. Es suficientemente malo uno de sus servidores de producción sea comprometido, pero es peor si el ciberatacante puede utilizar una copia instalada localmente de tcpdump para capturar contraseñas u otra información sensible.
Fuentes:
https://www.tcpdump.org/
https://www.wireshark.org/
https://snort.org/
https://github.com/tecknicaltom/dsniff
https://www.kismetwireless.net/