Posee una interfaz gráfica facil de manejar, permite ver todo el trafico de una red (usualmente en una red Ethernet, aunque es compatible con algunas otras).
¿Para que/quien es util Wireshark?
• Administradores lo usan para resolver problemas en la red
• Ingenieros lo usan para examinar problemas de seguridad
• Desarrolladores lo usan para depurar la implementación
de los protocolos de red
• Estudiantes los usan para aprender internamente cómo
funciona una red
Características de Wireshark
• Disponible para Linux y Windows
• Captura de paquetes en vivo desde una intefaz de red
• Muestra los paquetes con información detallada de los
mismos
• Abre y guarda paquetes capturados
• Importar y exportar paquetes en diferentes formatos
• Filtrado de información de paquetes
• Resaltado de paquetes dependiendo el filtro
• Crear estadísticas
Instalación de Wireshark en Ubuntu
Para instalar wireshark en Ubuntu, abrimos el terminal (Aplicaciones/Accesorios/Terminal) y
escribimos lo siguiente:
sudo aptget install wireshark
Una vez instalado, encontraremos wireshark en Aplicaciones/Internet/Wireshark.
para iniciar Wireshark debes de iniciarlo como root para que detecte las interfaces de red
para eso abre una termianl y escrbe gksu Wireshark.
la otra forma es crear un lanzador en el panel
listo y cada vez que inicies el lanzador se iniciara como root
Funcionamiento de wireshark
Para empezar a capturar paquetes nos dirigimos a Capture/Interfaces. Aparecerá entonces una
lista de nuestros interfaces de red nos aparecera la sig. Interfaz.
Pulsando el botón "Start" de una de las interfaces, empezaremos a capturar paquetes de esa
tarjeta de red en mi caso en la Wlan0. Para detener la captura haremos clic sobre
Capture/Stop. En la ventana principal de la aplicación aparecerán entonces los paquetes
capturados.
Filtrando paquetes con Wireshark
Como la información obtenida puede ser muy grande, podemos filtrar los paquetes para
mostrar sólo aquellos que cumplen los requisitos indicados. Para filtrar paquetes debemos
dirigirnos a Filter y poner lo que deseamos filtrar o expression y de aqui ver los paquetes que
queremos filtrar y aplicamos el filtro.
1. Si lo que deseamos es filtrar paquetes de una sola maquina o una pagina en comun solo
tenemos que filtrar por medio de la ip ir a expression y elegimos el filtro
ip.src source == xxx.xx.xx.x seguido de la ip que deseamos capturar paquetes.
2. Si lo que queremos es ver paquetes de messenger o ver que se dicen es necesario poner
el filtro msmms para ver paquetes mensenger, ahora si deseamos capturar los paquetes
de un solo usuario y no de toda la red basta con poner el siguiente filtro msmms &&
ip.src source==xxx.xx.xx.x. Puesto que && finciona como una condicion en lenguje
de programacion deria un if.
3. Si deseamos capturar paquetes de una pagina web para ver usuario y contraseña de un
usuario que se logueo en una pagina “x” vamos a expression y seleccionamos el filtro
http.request.method == "POST" y esperamos a capturar paquetes y seleccionamos el
paquete que genera loginuser.php lo abrimos y pedemos observa como genera el
usuario y su contraseña: ejemplo:
nick=descondes&pass=descondes2&rem=trueHTTP/1.0 200 OK. Si queremos una
captura de un equipo especifico realizamos el filtro que ya lo isimos anteriormente que
aqui les recuerdo http.request.method == "POST" && ip.src source==xxx,xx,xx,x.
4. Si deseamos capturar paquetes de paginas que usan el protoco https com facebook
tendremos que tener algo de suerte yaque la seguridad es mayor y lo unico que se me
ocurrio es el uso de las cookie ya que estos las usan en los navegadores para recoordar
los usuarios y contraseña, esto funciona solo cuando un usuario le da recordar
contraseña a los navegadores o no cerrar sesion como facebook para eso tenemos que
instalar un editor de cookie para nuestro navegador para firefox es el Add N Edit
cookie una ves capturadas las cookies solo basta con pegarlas en este editor y la
proxima vez que carguemos la pagina nos cargara ya con la sesion iniciada del usuario
de donde obtivimos las cookies.
0 Comentarios