Introduccion al Wire SHARK
Ing. Freddy Alfonso Beltran
Desarrollado por Gerald Combs programador de ciencias computacionales de la universidad de misiouri, su primera versión llamada ethereal fue desarrollada en 1998 bajo GPL
En el año 2006 sale al mundo y el mundo GNU ha aportado a su desarrollo más de 500 mejoras a la versión Original
Que tipos de Protocolos son soportados por wireshark:
Son Mas de 850 protocolos para analizar desde los más básicos IP y TCP hasta los más avanzados como Apple talk y torrent un ejemplo de ellos tenemos los siguientes
Como se visualizan los paquetes en wireshark?
Panel list
paquetes con informacion básica de la captura
Panel list
paquetes con informacion básica de la captura
Panel detalle de captura de paquetes informacion detallada lista para decodificar
Panel detalle de captura de paquetes informacion detallada lista para decodificar Panel bytes
captura de paquetes en formato Raw
Panel bytes captura de paquetes en formato Raw
Panel de captura: muestra todos los paquetes de la actual captura mostrados en columnas con los siguientes campos:
N° Numero del paquete
Time: momento en el cual el paquete fue capturado
Source: direccion Ip origen de donde se origino el paquete
Destination: direccion ip destino el cual se origina el paquete
Protocol: tipo de protocolo asociado al paquete
Informacion: informacion asociada a la captura del paquete.
Panel de detalle: muestra la informacion jerarquizada y detallada de la captura por cada uno de los paquetes capturados como lo muestra la figura
Estos paneles son expandibles como lo muestra la figura, para este caso estoy expandiendo informacion detallada de Internet protocol
Panel de Bytes: muestra los paquetes en formato RAW (no procesados) es decir visualiza los paquetes tal como cruzan por el medio.
Como personalizo mi wireshark para efectuar capturas?Otra opción importante es la Opción preferencias: en la cual se customiza al wireshark
este dividido en 2 partes principales user Interface, y protocolos cada uno con sus ítems asociados para ser customizados
un ejemplo de cambiar el layout: es decir la forma de presentar los paneles
Otro ejemplo :
Si quiero customizar el color de cada paquete que se captura de paquetes
Se observa que cada paquete tiene un código de color que podrá ser cambiado según su necesidad
Escogiendo la Opcion edit
escojo la opción ICMP errors
se definen dos parámetros forground color de la letra y background color de fondo
Para este caso ICMP tiene color de fondo negro y color fore verde
Ejemplo: definir un nuevo código color para DNS
Defino el nombreura de la captura el filtro de la captura para este caso DNS en el puerto TCP 53
Escogemos el color foregorund rojo
Y el background en negro
Ok , se observa su cambio , y en el momento de la captura vamos a identificar mas fácilmente los paquetes ya que nosotros hemos personalizado su color
Como buscar o filtrar informacion en wireshark?
Bueno para buscar un paquete en el panel lista de paquetes filtrar la búsqueda de dos formas
Una forma larga
Por ejemplo tenemos los tipos de paquetes que queremos filtrar
L a otra forma es la corta más fácil, utilizando la opción filter y expresssion en el panel principal
COMO USO EL WIRESHARK
DEFINIR Y APLICAR UN FILTRO PARA CONOCER PUERTOS ABIERTOS EN LA MAQUINA REMOTA.
Antes de empezar a escanear se debe tener Nmap y wireshark instalado en la maquina window
Ahora se ejecuta el wireshark para tenerlo listo, despues lanzar la solcitid de nmap a un equipo de la red que he definido con anterioridad ip destino 172.16.4.254
Abrimos el wireshark escojo la interfaz de captura: para este caso sera la tarjeta de red local intel pro
Despues lanzo la captura en el wireshark dando click sobre este icono
Se lanza un scaneo basico del nmap sin ningun filtro como lo muestra la figura, para conocer que puertos tiene abiertos la dirección IP 172.16.4.254.
Ahora paramos el wireshark y comenzamos a mirar cual es el procedimeinto de escaneo y que puertos estan respondiendo como abiertos en el sistema.
Aplicando el filtro obetenemos todos los paqutes de la direccion destino que es 172.16.4.254
Detallando la informacion obtenida en la captura tenemos lo siguiente:
Aquí obtenemos que la información capturada por el wireshark fue tomada del escaneo que se hizo con el nmap.
Comparando con el nmap se observa el puerto cerrado
Ahora capturemos por puerto TCP, aplicando el fitlro tenemos tcp=445
Se observa la siguiente:
Se observan las dos mac de origen y la destino y además el tipo de protocolo 0x800 que es el IP
Se observa que la dirección Ip lanza la consulta para este caso es la 172.16.5.3 y la Ip destino es la 172.16.4.254 y el tipo de versión del protocolo que para este caso es versión 4
Se observa el puerto origen que es un puerto aleatorio que género el equipo 172.16.5.3 a el equipo 172.16.4.254 a el puerto 445
Aquí me muestra la MTU (unidad máxima de transmisión) del paquete enviado.
DEFINIR Y APLICAR UN FILTRO PARA CONOCER LOS PUERTOS CERRADOS EN LA MAQUINA REMOTA
Ahora viendo los puertos cerrados el parámetro RST tiene que estar activado
Habiendo lanzado el escaneo con el NMAP capturando tráfico se define un filtro de entrada por dirección destino 172.16.4.254 para que solo me capture este tráfico y se obtiene lo siguiente:
Ahora utilizamos un escaneo mediante Flags de TCP donde se realizara un rastreo mediante la activación de banderas o flags para determinar la conectividad del equipo utilizando el siguiente filtro: tcp.flags.reset == 1
Tendríamos que mirar ahora los puertos en las flags del TCP que se identifiquen como RST se define un filtro por flag del paquete TCP en 1 para identificar que el puerto 3389 efectivamente está cerrado.
Se observa que el puerto de la captura en estado RST concuerda con el puerto cerrado de la captura con el NMAP.
FORMA DE SABER DESDE LA CAPTURA DE RED QUE SISTEMA OPERATIVO TIENE LA MAQUINA QUE ESTAMOS ESCANEANDO
Por medio del parametro –O se puede averiguar el sistema operativo que tiene la maquina que estamos escaneando. Esta opción activa la detección remota del sistema operativo por medio de la huella TCP/IP. En otras palabras, usa unas tecnicas para detectar sutilezas en la pila de red subyacente del sistema operativo de los servidores que se escanean.
Efectivamente nos muestra que el sistema operativo de la maquina destino es un Wndows xp.