Introduccin.
Wireshark es un analizador de paquetes de red, comnmente llamado sniffer.
Es utilizado por administradores de redes para ver el trfico que est pasando
en un momento especfico.
Una de las ventajas que tiene, es que es open source y multiplataforma.
Wireshark ofrece distintos tipos de filtros para leer los paquetes. Captura a
dems cookies y passwords que veremos a continuacin en este tutorial.
Para instalar wireshark simplemente hay que ir a su pgina oficial y
descargarlo.
Si conectsemos un equipo con Wireshark a uno de los puertos del switch, solo
veramos las tramas que transcurren entre el switch y nuestra mquina, y eso no
es lo que pretendemos. El switch divide la red en segmentos, creando dominios
de colisin separados y eliminando, de esta forma, la necesidad de que cada
estacin compita por el medio. nicamente enva las tramas a todos los puertos
(pertenecientes a la misma VLAN) cuando se trata de difusiones broadcast (por
ejemplo, para saber la direccin fsica de alguna mquina).
Una de las alternativas que tenemos para alcanzar nuestro propsito es hacer uso
de un hub, como se aprecia en la Figura 1- Modos de captura y conectarlo en el
mismo segmento de red donde se encuentra nuestro servidor. Al tratarse ahora de
un medio compartido, todo el trfico entre el switch y el servidor podr analizarse
en nuestro equipo.
Figura 1
Partes de Wireshark
detalle.
6 Panel de detalle de los datos. Muestra los datos del panel superior en
formato hexadecimal y ascii
Tambin podemos ver en el men superior las siguientes opciones:
File: Contiene las funciones para manipular archivos y para cerrar la aplicacin
Wireshark.
Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscar un
paquetes especifico, aplicar una marca al paquete y configurar la interfaz de
usuario.
View: Permite configurar el despliegue del paquete capturado.
Go: Desde ac podemos ir a un paquete especifico, volver atrs, adelante, etc.
Capture: Para iniciar y detener la captura de paquetes.
Analyze: Desde analyze podemos manipular los filtros, habilitar o deshabilitar
protocolos, flujos de paquetes, etc.
Statistics: Podemos definir u obtener las estadsticas del trafico capturado.
Telephony: Trae herramientas para telefona.
Tools: Opciones para el firewall
Internal: Parmetros internos de Wireshark
Help: Men de ayuda.
Para saber que tarjeta poner a la escucha, debemos observar cual es la que
recibe paquetes.
Se puede observar en la imagen que en este caso es la wlan0. Una vez
identificada, damos en Start para comenzar.
Automticamente el programa comenzara a capturar paquetes de la red.
Por ejemplo al navegar un poco con las computadoras por internetse puede ver
que podemos capturar paquetes.
Esa caja de texto, como bien dice su nombre, permite filtrar paquetes. Y ahora
veremos algunos de los filtros que posee Wireshark para que podamos usar
este sniffer de una forma ms eficiente.
En el filtro se pueden usar operadores lgicos como los siguientes:
?
1 == (Igual que)
2 > (Mayor que)
3 < (Menor que)
4 != (Distinto que)
5 >= (Mayor o igual que)
6 <= (Menor o igual que)
Basndome en el paper de Datasecurity, les dejo a continuacin los parmetros
ms usados en este sniffer
Filtros por IP
[En todos los ejemplos, reemplazar 0.0.0.0 por la ip a filtrar]
?
1 ip.addr = = 0.0.0.0
2 ip.addr = = 0.0.0.0 && ip.addr = = 0.0.0.0 (Para filtrar ms de una IP )
3 ip.addr = = 0.0.0.0 || ip.addr = = 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
1 ip.src == 0.0.0.0
2 ip.src == 0.0.0.0 && ip.src == 0.0.0.0 (Para filtrar ms de una IP )
3 ip.src == 0.0.0.0 || ip.src == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Para filtrar paquetes del destino en direcciones IPv4 especificas:
?
1 ip.dst == 0.0.0.0
2 ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para filtrar ms de una IP )
3 ip.dst == 0.0.0.0 || ip.dst == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.
Para filtrar paquetes del protocolo ARP entre:
?
1
2
3
4
5
6
7
Como se puede ver, solo filtre el protocolo FTP. Y tambin notaremos que sac
el user y pass del FTP.
Veremos ahora otros de los protocolos que suele capturar. En este caso hare
un ping a mi blog www.antrax-labs.org
Cabe aclarar que cada protocolo tiene un color diferente (que puede
modificarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.
Otros filtros
Veremos ahora otros filtros de gran utilidad, como este otro que nos permite
filtrar por dominio o host?
1 http.host == DOMINIO
En este caso lo que se hzo fue poner la url de facebook y robo mi cookie.
Veremos ahora un ejemplo con otra web, pero filtrando nada ms el protocolo
TCP:
Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usar esta
opcin basta con ir a GO >> Go to Packet en el men de la barra superior.
Permite ir a un nmero de paquete que especifiquemos en el cuadro de texto.
Otras de las opciones muy tiles que tiene Wireshark es la de poder mostrar en
formato ascii la lectura de los paquetes capturados para poder as facilitar su
entendimiento
Para ir a esta opcin colocamos en el filtro HTTP y solo basta con clickear con
el botn secundario del mouse y seleccionar Follow TCP Stream