El objetivo de un cable UTP de sólo recepción consiste en introducir errores en la señal de transmisión de datos del sniffer. Esto evita que el dispositivo conectado pueda reconocer cualquier dato enviado por el sniffer manteniendo, sin embargo, el enlace activo.
A continuación se explican algunos modelos de cables UTP de sólo recepción o sniffing-cable (cable de rastreo). Todos estos cables están diseñados para funcionar con un concentrador (modo half-duplex).
Es importante resaltar que estos modelos no están diseñados para funcionar con conmutadores porque en ese caso no serían de gran utilidad. Un conmutador toma decisiones de reenvío utilizando direcciones hardware, y no redirige el tráfico a todos los puertos (salvo cuando carece de la dirección de destino en su tabla de direcciones). Habría que utilizar técnicas de ARP spoofing (falseamiento de dirección ARP) o similares para poder interceptar otras conversaciones en un conmutador, y nunca recibiríamos todo el tráfico como con un concentrador. No obstante, existen conmutadores con puertos span/mirror (espejo). Estos puertos especiales reciben una copia del tráfico de determinados puertos del conmutador, de forma similar a como ocurre en un concentrador, pero pueden desbordarse si reciben más tráfico del que soportan. Lea el apartado 4.2 `Taps contra puertos span', para más detalles.
Como se puede observar, este modelo utiliza un componente electrónico para introducir un alto nivel de errores en la línea. [2]
El condensador actúa como un filtro paso-alto. De acuerdo con la señal 10Base-T, la frecuencia de corte del filtro debería estar sobre los 5Mhz. Esta es la mínima frecuencia obtenida utilizando la codificación Manchester (con una secuencia alternada de `0s' y `1s').
Podemos determinar el valor del condensador de la siguiente forma:
 |
En una Ethernet de 10 Mbps, la frecuencia es de 5Mhz. La resistencia es de R = (Rsource+Rload) = 200 ohms. Por lo tanto, el valor del condensador debería ser de 150p(F).
Este método debería introducir suficientes errores en la señal de transmisión, manteniendo al mismo tiempo el enlace activo. La figura 6 representa una simulación del aspecto aproximado que tendría la señal de salida (en color azul, con triángulos), con respecto a la original (rojo, con cuadrados). Las pérdidas de potencia de la señal original, provocadas por el condensador, pueden hacer que no sea detectada por el concentrador. Se podrían utilizar condensadores de mayor capacidad para reducir este efecto.
1 He probado este modelo en una LAN Ethernet, enchufado a un concentrador de 10/100 Mbps, pero el enlace no se mantuvo activo.
Una forma más sencilla de hacer un cable de sólo recepción consiste en conectar los pines 1 y 2 (par número 1) del lado de la LAN a los pines 3 y 6 (par número 2) del mismo lado respectivamente. [3]
Este método devuelve cualquier señal enviada desde la LAN a sí misma, actuando como un concentrador. Este modelo funcionó con un un concentrador de 10/100 Mbps sin problemas.
El modelo B puede ser mejorado con tan sólo cambiar el orden de las conexiones.
La figura 8 describe el esquema de cableado para el modelo C. Si conectamos los pines 1 y 2 del lado de la LAN a los pines 6 y 3 respectivamente, la señal devuelta a la LAN está invertida. Este método asegura que el enlace esté activo y debería introducir suficientes errores en la señal de transmisión como para hacerla incomprensible. Como el modelo B, este modelo también funciona. Sin embargo, este método es teóricamente mejor ya que modifica la señal devuelta a la LAN.
El último modelo es incluso más sencillo que los tres anteriores. Simplemente invierte el orden de los pines de la señal de transmisión de datos.
La seal enviada desde el sniffer está invertida, haciéndola incomprensible al extremo de la LAN pero asegurando que el enlace permanece activo. Por desgracia, el concentrador utilizado en las pruebas fue capaz de reconocer la señal enviada por el sniffer.
El escenario típico para el uso de estos cables es descrito en la figura 10, conectados a un concentrador por el que circula el tráfico a analizar. No importa si la LAN es 10Base-T o 100Base-TX, siempre que utilicemos un concentrador que soporte la velocidad requerida. El mayor inconveniente es que sólo pueden trabajar en modo half-duplex. De hecho, el máximo rendimiento de un concentrador está en torno al 40% de la velocidad ideal.
