Sniffing Con Wireshark

7/26/2019 Sniffing Con Wireshark

1/12

Sniffing con Wireshark

16:51 Redes 34 Comentarios

Introduccin.

Wireshark es u n analizador de paquetes de red, comnmente llamadosniffer.Es utilizado por administradores de redes para ver todo el trco que estpasando en un momento especco.Una de las ventajas que tiene, es que es open source y multiplataforma.

Wireshark ofrece distintos tipos de ltros para leer los paquetes. Capturaa dems cookies y p asswords que veremos a continuacin en este paper.Para instalar wireshark simplemente hay que ir a su pgina ocial ydescargarlo.http://www.wireshark.org/download.html Desde linux, se puede descargar desde la consola.

Sudo apt-get install wireshark

Partes de Wireshark
http://www.antrax-labs.org/search/label/Redeshttp://www.wireshark.org/download.html%20http://www.wireshark.org/download.html%20http://www.wireshark.org/download.html%20http://www.antrax-labs.org/search/label/Redes


2/12

Enumere las partes ms importantes del Wireshark para describirlas porseparado.1 Muestra un listado de las interfaces disponibles que podemos poner ala escucha de paquetes.2 Permite congurar algunos parmetros de nuestra interface3 El ltro permite ltras paquetes separndolos por IP, protocolos, etc


3/12

4 Listado de paquetes. Muestra un resumen de los paquetescapturados, presionando con el otro botn del mouse se listaran opcionesdisponibles para manejarlos a gusto.5 Panel de vista en rbol. Muestra el paquete seleccionado con mayordetalle.6 Panel de detalle de los datos. Muestra los datos del panel superioren formato hexadecimal y ascii

Tambin podemos ver en el men superior las siguientes opciones:

File: Contiene las funciones para manipular archivos y para cerrar laaplicacin Wireshark.Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscarun paquetes especico, aplicar una marca al paquete y congurar lainterfaz de usuario.View: Permite congurar el despliegue del paquete capturado.Go: Desde ac podemos ir a un paquete especico, volver atrs,adelante, etc.Capture: Para iniciar y detener la captura de paquetes.Analyze: Desde analyze podemos manipular los ltros, habilitar odeshabilitar protocolos, ujos de paquetes, etc.Statistics: Podemos denir u obtener las estadsticas del tracocapturado.Telephony: Trae herramientas para telefona.Tools: Opciones para el rewallInternal: Parmetros internos de WiresharkHelp: Men de ayuda.

Primeros pa sos co n Wireshark

Una vez instalado, lo abrimos y pr esionamos sobre el icono marcado enrojo en la imagen


4/12

Esto nos permitir seleccionar nuestra tarjeta de red que pondremos a laescucha de paquetes.

Para saber que tarjeta poner a la escucha, debemos observar cual es laque recibe paquetes.Se puede observar en la imagen que en mi caso es la wlan0 . Una vezidenticada, damos en Start para comenzar.Automticamente el programa comenzara a capturar paquetes de todoslos hosts conectados a la red.Ahora navegare un poco con mis ordenadores por internet para ver quepodemos capturar.


5/12

Les mostrare un ejemplo de cmo se manifest mi wireshark cuando hiceun apt-get install en la consola de Linux

Ah podemos ver de que ip a que ip se m ueven los paquetes y po rqueprotocolo. A dems de esto podemos ver el contenido del paquete que loveremos ms adelante en e ste mismo paper.


6/12

Si observamos la imagen, hay una caja de texto llamada Filter.

Esa caja de texto, como bien dice su nombre, permite ltrar paquetes. Yahora veremos algunos de los ltros que posee Wireshark para quepodamos usar este sniffer de una forma ms eciente.En el ltro se pueden usar operadores lgicos como los siguientes:

== (Igual que)

> (Mayor que)

< (Menor que)

!= (Distinto que)

>= (Mayor o igual que)


7/12

ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para fltrar m s de una IP )

ip.dst == 0.0.0.0 ip.dst == 0.0.0.0 (Para fltrar una IP de "ualquiera de las dos)

Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.

Para ltrar paquetes del protocolo ARP entre:

arp.sr".proto (dire""i#n del proto"olo de la $uente)

arp.sr".% (dire""i#n %ard are de la $uente)

arp.dst.% (dire""i#n %ard are del destino)

arp.sr".% 'ma" (dire""i#n M de la $uente)

arp.dst.% 'ma" (dire""i#n M del destino)

arp.sr".proto'ip*+ (dire""i#n IP*+ de la $uente )

arp.dst.proto'ip*+ (dire""i#n IP*+ del destino)

Para ltrar paquetes d el protocolo Ethernet:

et%.dst == ,-,-,-,-,-, (dire""i#n M )

et%.sr" == ,-,-,-,-,-, (dire""i#n M )

et%.addr == ,-,-,-,-,-, (dire""i#n M )

Veremos un ejemplo con uno de los ltros: ip.addr == 192.168.1.37

En este caso me debera mostrar los paquetes correspondientes a la ip192.168.1.37Se puede ver en verde tambin 192.168.1.1 y esto es porque hacepeticin al router.


8/12

Filtro por protocolo

Como vimos hasta ahora, este ltro es muy poderoso, pero se darn

cuenta de su potencial ahora que ltraremos por protocolo.Algunos d e los ltros s on estos: tcp, http, pop, dns, arp, ssl, etc.Con un Sniffer podemos obtener datos muy importantes. Desde cookieshasta usuarios y co ntraseas. A modo ejemplo, abrir un FTP y veremoslo que hace nuestro Wireshark:

Como se puede ver, solo ltre el protocolo FTP. Y tambien notaremos quesac mi user y pass del FTP.Veremos ahora otros de los protocolos que suele capturar. En este casohare un ping a mi blog www.antrax-labs.org


9/12

La imagen muestra el protocolo DNS e ICMP. Que si los aadimos en lacaja de texto de ltro, nos los ltrara.Aqu tenemos ltro por DNS

Cabe aclarar que cada protocolo tiene un color diferente (que puedemodicarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.

Otros ltros

Veremos a hora otros ltros de gran utilidad, como este otro que nospermite ltrar por dominio o host

%ttp.%ost == D/MI I/1


10/12

Ac lo que hice fue poner la url de facebook y r obo mi cookie. Veremosahora un ejemplo con otra web, pero ltrando nada ms que el protocoloTCP:

Se puede ver de qu ip privada navego hacia que ip publica. En estecaso, la ip pblica es la del foro inernohacker y abajo muestra la url dereferencia.


11/12

Otras opciones d e Wireshark

Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usaresta opcin basta con ir a GO >> Go to Packet en el men de la barrasuperior.Permite ir a un nmero de paquete que especiquemos en el cuadro detexto.

Otras de las opciones muy tiles que tiene Wireshark es la de podermostrar en formato ascii la lectura de los paquetes ca pturados para poderas facilitar su entendimientoPara ir a esta opcin colocamos en el ltro HTTP y solo basta conclickear con el botn secundario del mouse y seleccionar Follow TCPStream


12/12

Como se puede ver, se ve m ucho ms entendible el cdigo y permitetambien pasarlo a Hexadecimal, C Array etc.

Espero que les haya sido de utilidad

Sniffing Con Wireshark

Documents

Transcript of Sniffing Con Wireshark