Professional Documents
Culture Documents
Wireshark es un analizador de paquetes de red, comnmente llamado sniffer. Es utilizado por administradores de redes para ver todo el trfico que est pasando en un momento especfico. Una de las ventajas que tiene, es que es open source y multiplataforma. Wireshark ofrece distintos tipos de filtros para leer los paquetes. Captura a dems cookies y passwords que veremos a continuacin. Para instalar wireshark simplemente hay que ir a su pgina oficial y descargarlo.
Las partes ms importantes del Wireshark para describirlas por separado. 1. Muestra un listado de las interfaces disponibles que podemos poner a la escucha de paquetes. 2. Permite configurar algunos parmetros de nuestra interface 3. El filtro permite filtrar paquetes separndolos por IP, protocolos, etc 4. Listado de paquetes. Muestra un resumen de los paquetes capturados, presionando con el otro botn del mouse se listaran opciones disponibles para manejarlos a gusto. 5. Panel de vista en rbol. Muestra el paquete seleccionado con mayor detalle. 6. Panel de detalle de los datos. Muestra los datos del panel superior en formato hexadecimal y ascii
File: Contiene las funciones para manipular archivos y para cerrar la aplicacin Wireshark. Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario. View: Permite configurar el despliegue del paquete capturado. Go: Desde ac podemos ir a un paquete especifico, volver atrs, adelante, etc. Capture: Para iniciar y detener la captura de paquetes. Analyze: Desde analyze podemos manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc. Statistics: Podemos definir u obtener las estadsticas del trafico capturado. Telephony: Trae herramientas para telefona. Tools: Opciones para el firewall Internal: Parmetros internos de Wireshark Help: Men de ayuda.
Esto nos permitir seleccionar nuestra tarjeta de red que pondremos a la escucha de paquetes
Para saber que tarjeta poner a la escucha, debemos observar cual es la que recibe paquetes. Se puede observar en la imagen que en mi caso es la wlan0. Una vez identificada, damos en Start para comenzar. Automticamente el programa comenzara a capturar paquetes de todos los hosts conectados a la red. Ahora navegare un poco con mis ordenadores por internet para ver que podemos capturar.
Les mostrare un ejemplo de cmo se manifest mi wireshark cuando hice un apt-get install en la consola de Linux
Ah podemos ver de que ip a que ip se mueven los paquetes y porque protocolo. A dems de esto podemos ver el contenido del paquete. Si observamos la imagen, hay una caja de texto llamada Filter.
Esa caja de texto, como bien dice su nombre, permite filtrar paquetes. Y ahora veremos algunos de los filtros que posee Wireshark para que podamos usar este sniffer de una forma ms eficiente. En el filtro se pueden usar operadores lgicos como los siguientes:
1== (Igual que) 2> (Mayor que) 3< (Menor que) 4!= (Distinto que) 5>= (Mayor o igual que) 6<= (Menor o igual que)
Filtros por IP
En todos los ejemplos, reemplazar 0.0.0.0 por la ip a filtrar]
1ip.addr = = 0.0.0.0 2ip.addr = = 0.0.0.0 && ip.addr = = 0.0.0.0 (Para filtrar ms de una IP ) 3ip.addr = = 0.0.0.0 || ip.addr = = 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
En este caso me debera mostrar los paquetes correspondientes a la ip 192.168.1.37 Se puede ver en verde tambin 192.168.1.1 y esto es porque hace peticin al router.
Como se puede ver, solo filtre el protocolo FTP. Y tambin notaremos que sac mi user y pass del FTP. Veremos ahora otros de los protocolos que suele capturar. En este caso hare un ping a un blog como es: www.antrax-labs.org
La imagen muestra el protocolo DNS e ICMP. Que si los aadimos en la caja de texto de filtro, nos los filtrara. Aqu tenemos filtro por DNS
Cabe aclarar que cada protocolo tiene un color diferente (que puede modificarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.
Otros filtros
Veremos ahora otros filtros de gran utilidad, como este otro que nos permite filtrar por dominio o host
1http.host == DOMINIO
Ac lo que hice fue poner la url de facebook y robo mi cookie. Veremos ahora un ejemplo con otra web, pero filtrando nada ms que el protocolo TCP:
Se puede ver de qu ip privada navego hacia que ip publica. En este caso, la ip pblica es la del foro infiernohacker y abajo muestra la url de referencia.
Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usar esta opcin basta con ir a GO >> Go to Packet en el men de la barra superior. Permite ir a un nmero de paquete que especifiquemos en el cuadro de texto.
Otras de las opciones muy tiles que tiene Wireshark es la de poder mostrar en formato ascii la lectura de los paquetes capturados para poder as facilitar su entendimiento Para ir a esta opcin colocamos en el filtro HTTP y solo basta con clickear con el botn secundario del mouse y seleccionar Follow TCP Stream
Como se puede ver, se ve mucho ms entendible el cdigo y permite tambin pasarlo a Hexadecimal, C Array etc