Detectar tarjetas de red en modo promiscuo

¿Qué es el modo promiscuo en una tarjeta de red?. Es el estado en el cuál una tarjeta de red, captura no solo los paquetes destinados a esta PC, sino además los paquetes destinados a otras PC's. Es en este concepto en el cuál, se basan los sniffers para husmear y capturar datos, contraseñas, etc. Debemos buscar una herramienta sencilla que nos permita detectar, que tarjetas de red en nuestra dominio, podrían estar en modo promiscuo, ¡sniffeando nuestro tráfico de red!.

Para esto Microsoft ha publicado una herramienta sencilla, que nos permite detectar este tipo de ataques. Dicha herramienta es Promqry, una utilidad de línea de comandos.

Veamos algunos comandos :

1. Descargar el Promqry desde http://www.microsoft.com/downloads/details.aspx?
familyid=4DF8EB90-83BE-45AA-BB7D-1327D06FE6F5&displaylang=en


2.- Al ejecutar el archivo, te pedirá una carpeta donde descomprimir el ejecutable. del programa. (Por default intenta crear la carpeta Promqry en la raíz del disco C:)

3.- Una vez descomprimido, entramos a la línea de comandos, y nos posicionamos dentro de la carpeta donde este el promqry.exe

4.- Escribimos promqry.exe, sin ningún parámetro, esto hará un chequeo pero solo de manera local (es decir en nuestra PC).


5.- Pero nosotros queremos consultar otra PC, no mi PC local, para esto vuelvo a escribir el comando promqry.exe, pero le añado una IP remota, aparte de la opción -nv, para evitar que me muestre detalles del resultado. En este caso el resultado es negativo, es decir no está en modo promiscuo.

promqry.exe 192.168.1.46 -nv

6.- Hacemos la misma consulta que en el caso anterior, pero esta vez nos muestra un resultado positivo, es decir la tarjeta está en modo promiscuo. En está PC estaba corriendo el Cain.

7.- Ahora vamos a hacer una consulta, pero a un rango de la red.
promqry.exe 192.168.1.1:192.168.1.255 -nv

Primero hace un ping hacia la ip, para ver si esta "viva", si lo está, ejecuta la consulta, sino simplemente continua con la ip siguiente en el rango.


8.- También podrías usar el mismo programa, pero ya con una interfza gráfica, el PromqryUI.

http://www.microsoft.com/downloads/details.aspx?
familyid=1A10D27A-4AA5-4E96-9645-AA121053E083&displaylang=en

APM

10 comentarios:

Slayer_X dijo...

Eso lo puedes hacer en cualquier Linux (y en la mayoria de Unix ciertamente) con el comando ifconfig que aparte de mostrarte informacion de tu IP y la interface tambien te dará ese dato.

Ah y viene de serie, no hay que instalar nada ;)

apeves dijo...

eso es verdad...

5h4rk dijo...

hola, puedes hacer una parecida pero con Linux? Hize un ifconfig, como puedo saber que mi NIC esta en el estado promiscuo o no? Y como la puedo dejar en promiscuo?

Solo una opinion, para futuras guias, puedes especificar si es para Windows o Linux plz si no es mucho pedir... :D :P

Saludos y gracias.

eliot dijo...

disculpa yo tengo win vista y wlan broadcom wireless y no he encontrado ningun programa como airodump y esos que sea compatible con mi tarjeta de red. espero que me puedas ayudar.
mi nombre es eliot lepe
bayronmachin@hotmail.com
gracias

Juan Carlos dijo...

Para poner una tarjeta (eth0, por ejemplo) en modo promiscuo (en linux):
> ifconfig eth0 promisc

Para sacarla del modo promiscuo:
> ifconfig eth0 -promisc

Adam Schouler dijo...

¿Hola alguien de ustedes me puede ayudar?, como hago para saber cuando una tarjeta de red està averiada?. Mi problema es que tengo una pc que cada vez que hace uso de internet provoca latencia de hasta 900 en ping hacia el router. Hasta ahora he detectado una sol màquina y con un metodo muy empirico que es navengando xD, pero resulta que tengo 20 pc's. ALguien podria ayudarme plz

Anónimo dijo...

Hola, una consulta: al hacer todo esto me da:
Querying 192.168.1.46....

Error: El servidor RPC no está disponible. (Exception from HRESULT: 0X800706BA)

Y se me pone de nuevo

C:\promgry>

Cómo solucionarías este error?

Gracias por anticipado.

Anónimo dijo...

hola, un favor, corro el programa y sale
Error: El servidor RPC no está disponible

sae igual así desconecte el firewall, que puede indicar? gracias.

Anónimo dijo...

hola tu error puede ser causado por lo siguiente

Promqry y PromqryUI requieren Microsoft .NET Framework ejecutar y las herramientas deben ejecutar bajo el contexto de seguridad de administrador.

Además, las herramientas tienen las siguientes limitaciones:
no pueden detectar rastreadores independiente.
no pueden detectar rastreadores que se ejecutan en sistemas operativos anteriores a Microsoft Windows 2000.
remota no pueden detectar rastreadores que se ejecutan en Windows sistemas donde se modificó el hardware de red específicamente para evitar la detección.

Anónimo dijo...

hola que tal una pregunta a mi me estan envenenando con arp, hay alguna manera de contrarestarlo, y ejecuto en cmd el promqry y me dice acceso denegado y lo ejecuto kmo admin, k hago ?? saludos