Después de algún comentario y correos, vamos a estudiar el posicionamiento o colocación de un sniffer en nuestra red para obtener los resultados que esperamos.
Todo depende de la topología de red y el uso de hub o switch.
Este artículo es válido para cualquier sniffer de los que ya hemos visto. Wireshark, Tshark, WinDump / TCPdump, etc.
Sobre detección de sniffers en redes conmutadas y no conmutadas: Detectando Sniffers en nuestra red. Redes conmutadas y no conmutadas. Actualización.
Posición del sniffer en red no conmutada (HUB).
El escenario más básico lo encontramos en una red conectada mediante hub. En este caso posicionamos el sniffer en cualquier ranura o boca del hub y obtendremos, con la tarjeta en modo promíscuo, todo el tráfico de la red. Esto es así porque en un hub todos los paquetes son transmitidos a todos los hosts conectados en el mismo segmento de red. Se divide el ancho de banda entre cada host de la red, ademas, se transmiten los paquetes a la velocidad del dispositivo más lento del segmento. Se producen también colisiones que derivan en una red más lenta debido a las retransmisiones.
Posición del sniffer en red conmutada (SWITCH).
En este caso, a cada host conectado al switch, le llega solo el trafico dirigido a el (unicast ) y el broadcast/multicast. El tráfico dirigido a otros host NO lo veremos. No divide el ancho de banda, esto significa, a grosso modo, que en un switch 10/100 cada puerto es capaz de transmitir a un máximo de 100 dedicado. Es más eficiente que las redes no conmutadas.
Resumiendo entonces, si ubicamos un sniffer en cualquier puerto del switch, solo veremos el tráfico dirigido solo al host donde se encuentre el sniffer y el tráfico broadcast/multicast tal como ARP.
Soluciones.
Solución 1
Una posible solución podría ser el envenenamiento ARP, un Arp Poison. Pero esto es totalmente desaconsejable porque podemos «destabilizar» la red y crear mayores problemas.
Solución 2
Podríamos también colocar el sniffer en el gateway de salida a internet, ó en un host firewall de varias tarjetas, indicar cual de las interfaces nos interesa «olfatear», de esta forma veremos algo más de tráfico que no sea el broadcast/multicast.
Pero para ver todo el tráfico entre dos hosts las soluciones más eficaces son otras.
Solución 3
Una de ellas es aprovechar alguna de las características de un switch administrable como el SPAN (Switch Port Analysis) o llamado de otra forma el Port Mirroring. Esta es una caraterística que lo que hace es, básicamente, copiar el tráfico entre dos puertos a un tercero (ubicación del host sniffer) del switch. Eel Port mirroring tiene el problema que multiplica la carga del switch.
Solución 4
Pero ¿ que pasa si el switch es antiguo y/o no administrable, o simplemente no soporta Port Mirroring ?.
Para este caso tenemos otra opción. Se trata de conectar un hub a una de las salidas o puerto del switch y a este hub conectar el host sniffer (C) y uno de los host a capturar el tráfico (B). El otro host llamémosle (B) sigue en su ubicación del switch . De esta forma C puede ver el tráfico entre A y B. ( B puede ser cualquier otro host conectado al switch o un servidor ).
Esta opción, al igual que el Arp Poison, es algo problemática y desaconsejable.
Solución 5
Otra opción de la que disponemos es instalar otra interface de red en el host sniffer de forma que tenga dos interfaces de red. Una de las tarjetas la conectamos al switch y la otra a uno de los hosts a analizar. Esta opción se considera pasiva, pero necesita de configuración del host sniffer a nivel de interfaces de red para establecer el modo Bridge. (http://technet.microsoft.com/en-us/library/bb457038(TechNet.10).aspx).
Solución 6
Est solución, quizá la más eficiente y aconsejable aunque también más costosa y quizás más incomoda. Consiste en hacer uso de un Network TAP o «Test Access Port» (Puerto de acceso de pruebas). Con este dispositivo podemos capturar el tráfico de una red conmutada de forma pasiva, es decir, no interfiere en el flujo o tráfico de nuestra red.
Sobre la construcción de un TAP:
http://www.snort.org/docs/tap/
Más información sobre sniffers en redes conmutadas y no conmutadas. Su detección:
Seguridad y Redes 
Buenas, gracias por contestar mi anterior comentario y hacer esta entrada =)
Yo no es que sea un experto en este tema precisamente, mas bien tengo unas nociones (demasiado) basicas.
Voy a describir mejor la situacion en la que quiero despejar mi duda:
Tenemos un router WiFi de esos que te da Telefonica cuando te ponen linea.
Tenemos un ordenador y ejecutamos el Wireshark comenzando a capturar paquetes. Vemos los TCP, HTTP, MSNMS, etc. Hasta ahi todo bien.
El problema esta en analizar, no solo los que vienen al primer ordenador (en el que ejecutamos Wireshark), sino todos los que pasan por el router WiFi en el que estamos conectados. Por lo que si hay otro ordenador conectado al mismo router WiFi hacer que los paquetes aparezcan en el Wireshark igual que los que venian especificamente a mi ordenador.
Realmente no se si eso se puede, he leido (y posteado) en foros preguntando por esto y segun dicen marcando la casilla de «modo promiscuo» obtengo lo que quiero, pero que va.
A lo mejor estoy diciendo una barbaridad, pero me gustaria saber si esto que quiero hacer es posible.
Gracias 🙂
Bueno, perdon por el anterior comentario porque me he informado mas sobre el tema y esta fuera de lugar, porque ya lo has explicado antes, supongo que mi router ira por switch.
Por cierto, el link que tienes puesto de envenenamiento ARP lleva a un post equivocado, Wireshark. Tshark. Detectando tráfico P2P en nuestra red.
Saludos y muy buen post y blog 😉
Gracias Maki, ya está corregido.
Sludos,
Muchas Gracias por esta informacion, pero tengo una duda, estoy escuhando la red, pero esta compuesat por mas de cinco switches y algunos estan en cascada, para este caso cual seria la forma recomendad de conectar el sniffer para escuchar toda la red?
Muy buena su informacion, pero quisiera saber como colocar mi tarjeta en l¡modo promiscuo..
gracias
María,
Wireshark, por ejemplo, por defecto pondrá tu tarjeta en este modo.
Pingback: Security Onion Parte 1 « Tyto Alba
What’s up every one, here every person is sharing these experience, therefore it’s good
to read this blog, and I used to pay a visit this website every day.