MANUAL BASICO DE WIRESHARK

Introducción.

Wireshark es un analizador de paquetes de red, comúnmente llamado sniffer.Es utilizado por administradores de redes para ver el tráfico que está pasando en un momento específico.Una de las ventajas que tiene, es que es open source y multiplataforma. Wireshark ofrece distintos tipos de filtros para leer los paquetes. Captura a demás cookies y passwords que veremos a continuación en este tutorial.Para instalar wireshark simplemente hay que ir a su página oficial y descargarlo.

Si conectásemos un equipo con Wireshark a uno de los puertos del switch, solo veríamos las tramas que transcurren entre el switch y nuestra máquina, y eso no es lo que pretendemos. El switch divide la red en segmentos, creando dominios de colisión separados y eliminando, de esta forma, la necesidad de que cada estación compita por el medio. Únicamente envía las tramas a todos los puertos (pertenecientes a la misma VLAN) cuando se trata de difusiones broadcast (por ejemplo, para saber la dirección física de alguna máquina).Una de las alternativas que tenemos para alcanzar nuestro propósito es hacer uso de un hub, como se aprecia en la Figura 1- Modos de captura y conectarlo en el mismo segmento de red donde se encuentra nuestro servidor. Al tratarse ahora de un medio compartido, todo el tráfico entre el switch y el servidor podrá analizarse en nuestro equipo.

Figura 1

Partes de Wireshark

Las partes más importantes del Wireshark.

1 – Muestra un listado de las interfaces disponibles que podemos poner a la escucha de paquetes.2 – Permite configurar algunos parámetros de nuestra interface3 – El filtro permite filtras paquetes separándolos por IP, protocolos, etc4 – Listado de paquetes. Muestra un resumen de los paquetes capturados, presionando con el otro botón del mouse se listaran opciones disponibles para manejarlos a gusto.5 – Panel de vista en Árbol. Muestra el paquete seleccionado con mayor detalle.6 – Panel de detalle  de los datos. Muestra los datos del panel superior en

formato hexadecimal y ascii

También podemos ver en el menú superior las siguientes opciones:

File: Contiene las funciones para manipular archivos y para cerrar la aplicación Wireshark.Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario.View: Permite configurar el despliegue del paquete capturado.Go: Desde acá podemos ir a un paquete especifico, volver atrás, adelante, etc.Capture: Para iniciar y detener la captura de paquetes.Analyze: Desde analyze podemos manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc.Statistics: Podemos definir u obtener las estadísticas del trafico capturado.Telephony: Trae herramientas para telefonía.Tools: Opciones para el firewallInternal: Parámetros internos de WiresharkHelp: Menú de ayuda.

Primeros pasos con Wireshark

Una vez instalado, lo abrimos y presionamos sobre el icono marcado en rojo en la imagen

Esto nos permitirá seleccionar nuestra tarjeta de red que pondremos a la escucha de paquetes.

Para saber que tarjeta poner a la escucha, debemos observar cual es la que recibe paquetes.

Se puede observar en la imagen que en este caso es la wlan0. Una vez identificada, damos en Start para comenzar.Automáticamente el programa comenzara a capturar paquetes de la red.

Por ejemplo al navegar un poco con las computadoras por internetse puede ver que podemos capturar paquetes.

en la figura se muestra un ejemplo de cómo se manifestó wireshark cuando se hace un apt-get install en la consola de Linux

Ahí podemos ver de que ip a que ip se mueven los paquetes y porque protocolo. A demás de esto podemos ver el contenido del paquete que lo veremos más adelante en este mismo manual.Si observamos la imagen, hay una caja de texto llamada Filter.

Esa caja de texto, como bien dice su nombre, permite filtrar paquetes. Y ahora veremos algunos de los filtros que posee Wireshark para que podamos usar este sniffer de una forma más eficiente.En el filtro se pueden usar operadores lógicos como los siguientes:

?123456

== (Igual que)> (Mayor que)< (Menor que)!= (Distinto que)>= (Mayor o igual que)<= (Menor o igual que)

Basándome en el paper de Datasecurity, les dejo a continuación los parámetros más usados en este sniffer

Filtros por IP

[En todos los ejemplos, reemplazar 0.0.0.0 por la ip a filtrar]?

123

ip.addr = = 0.0.0.0ip.addr = = 0.0.0.0 && ip.addr = = 0.0.0.0 (Para filtrar más de una IP )ip.addr = = 0.0.0.0 || ip.addr = = 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes de la fuente en direcciones IPv4 especificas:

?123

ip.src == 0.0.0.0ip.src == 0.0.0.0 && ip.src == 0.0.0.0 (Para filtrar más de una IP )ip.src == 0.0.0.0 || ip.src == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes del destino en direcciones IPv4 especificas:?

123

ip.dst == 0.0.0.0ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para filtrar más de una IP )ip.dst == 0.0.0.0 || ip.dst == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.

Para filtrar paquetes del protocolo ARP entre:?

1234567

arp.src.proto (dirección del protocolo de la fuente)arp.src.hw (dirección hardware de la fuente)arp.dst.hw (dirección hardware del destino)arp.src.hw_mac (dirección MAC de la fuente)arp.dst.hw_mac (dirección MAC del destino)arp.src.proto_ipv4 (dirección IPv4 de la fuente )arp.dst.proto_ipv4 (dirección IPv4 del destino)

Para filtrar paquetes del protocolo Ethernet:?

123

eth.dst == ff:ff:ff:ff:ff:ff (dirección MAC)eth.src == ff:ff:ff:ff:ff:ff (dirección MAC)eth.addr == ff:ff:ff:ff:ff:ff (dirección MAC)

Veremos un ejemplo con uno de los filtros: ip.addr == 192.168.1.37

En este caso debería mostrar los paquetes correspondientes a la ip 192.168.1.37Se puede ver en verde también 192.168.1.1 y esto es porque hace petición al router.

Filtro por protocolo

Como vimos hasta ahora, este filtro es muy poderoso, pero se darán cuenta de su potencial ahora que filtraremos por protocolo. Algunos de los filtros son estos: tcp, http, pop, dns, arp, ssl, etc.

Con un Sniffer podemos obtener datos muy importantes. Desde cookies hasta usuarios y contraseñas. A modo ejemplo, abriré un FTP y veremos lo que hace nuestro Wireshark:

Como se puede ver, solo filtre el protocolo FTP. Y también notaremos que sacó el user y pass del FTP.Veremos ahora otros de los protocolos que suele capturar. En este caso hare un ping a mi blog www.antrax-labs.org

La imagen muestra el protocolo DNS e ICMP. Que si los añadimos en la caja de texto de filtro, nos los filtrara.

Aquí tenemos filtro por DNS

Cabe aclarar que cada protocolo tiene un color diferente (que puede modificarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.

Otros filtros

Veremos ahora otros filtros de gran utilidad, como este otro que nos permite filtrar por dominio o host?

1 http.host == “DOMINIO”

En este caso lo que se hzo fue poner la url de facebook y robo mi cookie. Veremos ahora un ejemplo con otra web, pero filtrando nada más el protocolo TCP:

Se puede ver de qué ip privada navego hacia que ip publica. En este caso, la ip pública es la del foro infiernohacker y abajo muestra la url de referencia.

Otras opciones de Wireshark

Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usar esta opción basta con ir a GO >> Go to Packet en el menú de la barra superior.Permite ir a un número de paquete que especifiquemos en el cuadro de texto.

Otras de las opciones muy útiles que tiene Wireshark es la de poder mostrar en formato ascii la lectura de los paquetes capturados para poder así facilitar su entendimientoPara ir a esta opción colocamos en el filtro HTTP y solo basta con clickear con el botón secundario del mouse y seleccionar Follow TCP Stream

Como se puede ver, se ve mucho más entendible el código y permite también pasarlo a Hexadecimal, C Array etc.