www.tuxapuntes.com

Buscar Contacto Colabora... Libro de Visitas
 
.
TuxInicio arrow TuxApuntes arrow Virtualizacion arrow Wireshark. Analiza el tráfico de una red
Wireshark. Analiza el tráfico de una red PDF Imprimir E-Mail
Escrito por utopianegra, on 26-11-2007 14:00
Visitas 4569
Wireshark (antes llamado Ethereal), es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Es un sniffer que te permite capturar tramas y paquetes que pasan a través de tu interfaz de red. Cuenta con todas las características estándar de un analizador de protocolos.

Cómo instalar wireshark

Para instalar wireshark en Ubuntu, abrimos el terminal (Aplicaciones/Accesorios/Terminal) y escribimos lo siguiente:
sudo apt-get install wireshark
Una vez instalado, encontraremos wireshark en Aplicaciones/Internet/Wireshark.

Funcionamiento de wireshark

Para empezar a capturar paquetes nos dirigimos a Capture/Interfaces. Aparecerá entonces una lista de nuestros interfaces de red.


Pulsando el botón "Start" de una de las interfaces, empezaremos a capturar paquetes de esa tarjeta de red. Para detener la captura haremos clic sobre Capture/Stop. En la ventana principal de la aplicación aparecerán entonces los paquetes capturados.

Wireshark muestra la información capturada en tres secciones principales.


En la primera sección aparece un listado de los paquetes capturados con su información más relevante. En la segunda sección podemos observar los detalles del protocolo seleccionado en la sección 1. En la última sección se muestran los paquetes en bruto, es decir, tal y como fueron capturados por la tarjeta de red.

Filtrando paquetes con Wireshark

Como la información obtenida puede ser muy grande, podemos filtrar los paquetes para mostrar sólo aquellos que cumplen los requisitos indicados. Para filtrar paquetes debemos dirigirnos a Capture/Options y escribir el filtro que queramos en "Capture Filter".


Veamos a continuación algunos ejemplos de filtros. Para filtrar paquetes en base a una dirección IP o nombre de equipo se utiliza la palabra reservada "host". Por ejemplo, si quiero capturar solamente el tráfico que vaya hacia o desde la dirección IP 192.168.1.1, escribiría lo siguiente:
  • host 192.168.1.1
Voy a capturar, por ejemplo, los paquetes que se envíen o se reciban desde la dirección IP xxx.xxx.xxx.xxx. Esta IP corresponde al servidor que contiene mi página web (www.loquesea.com). Así pues, voy a Capture/Options y escribo "host xxx.xxx.xxx.xxx" en "Capture Filter". Pulso a continuación sobre el botón "Start" para comenzar a capturar paquetes. Si ahora voy a la dirección www.loquesea.com, podré ver que Wireshark comienza a mostrar una lista de paquetes. En la imagen (clic para agrandar) he seleccionado un paquete capturado. Si observáis detenidamente la información (abajo, en la tercera sección), veréis que el paquete contiene capturado contiene texto que aparece en la web.


Después de la palabra reservada "host" podemos poner una dirección IP o el nombre de un equipo. Por ejemplo:
  • host www.loquesea.com
Para filtrar los paquetes que tienen una dirección exclusivamente como origen podemos utilizar src host. Ejemplo.
  • src host 192.168.1.1
O como destino:
  • dst host 192.168.1.1
Así mismo, es posible filtrar de acuerdo a la dirección de capa 2, es decir, la dirección MAC (en el caso de ethernet). Por ejemplo, para filtrar todo lo que tenga como destino ff:ff:ff:ff:ff:ff utilizariamos el siguiente filtro:
  • ether host ff:ff:ff:ff:ff:ff
O podemos indicar si queremos que capture solo el tráfico que tiene una dirección exclusivamente como origen o destino usariamos alguno de los siguientes:
  • ether src 00:f9:06:aa:01:03
  • ether dst 00:f9:06:aa:01:03
Podemos incluir más de una condición en los filtros que utilicemos. Para ello nos ayudaremos de los operadores lógicos and, or y not. Por ejemplo, si queremos filtrar todos los paquetes que tengan como origen la dirección 192.160.1.1 y tengan como destino la dirección 192.160.1.2, utilizariamos el siguiente filtro:
  • host src 192.160.1.1 and src 192.160.1.2
Filtros de display

Otro tipo de filtros que podemos utilizar son los filtros de display, que son mucho más completos y flexibles.

Los filtros de display se escriben en el lugar en que se indica en la siguiente imagen. Una vez escrito el filtro, tan sólo hay que pulsar sobre el botón "Aplicar". Para eliminar el filtro hay que pulsar sobre el botón "Limpiar".


Wireshark cuenta con un asistente para crear filtros de display. Si hacemos clic sobre el botón "Filter", aparecerá la siguiente ventana en la que aparecen algunos filtros ya predefinidos. Si queremos capturar, por ejemplo, todo el tráfico HTTP, tendríamos que seleccionar HTTP en la lista de filtros.

Para utilizar filtros de display también podemos hacer clic sobre el botón "Expression". Aparecerá entonces una ventana como la siguiente.

En esta ventana se muestran una lista enorme de campos para que seleccionemos aguno. Así mismo, es necesario indicar como lo vamos a comparar usando la columna "Relation" y finalmente el valor con el que se será comparado que se indica en "Value".

Descubriendo contraseñas con Wireshark

En primer lugar comentar que con cualquier sniffer, se pueden capturar paquetes de contraseñas, no cifradas, es decir cualquier contraseña introducida en un formulario WEB, sin cifrar ( por ejemplo la pagina web de nuestro router ).

Si empezamos a capturar tramas con Wireshark y esperamos un tiempo prudencial hasta que pensemos que alguien se ha en una red local, donde se producen conexiones a formularios no seguros, en poco tiempo tendremos paquetes con passwords.

Asi pues, para detectar contraseñas WEBS, se debe filtrar paquetes HTTP. Así pues, escribo http en "Filter" (filtro de display). Lo siguiente que se me ocurre es obtener la dirección IP de la dirección del formulario,  para filtrar los paquetes que van dirigidos a esa dirección. ¿Cómo obtengo la dirección IP de la WEB, Pues muy sencillo, con un simple ping a direccion web (www.loquesea.com)
  • ping www.loquesea.com
Haciendo un ping obtengo la dirección IP xxx.xxx.xxx.xxx. Voy ahora a Wireshark y escribo el siguiente filtro: http and ip.dst==xxx.xxx.xxx.xxx . !Ahora salen tan sólo tres tramas!. Examino la información de las 3 tramas y me encuentro con esto:

Ya he obtenido la contraseña!  Obviamente la contraseña la he podido averiguar porque se transmite en texto plano sin ningún tipo de codificación y a través de una página no segura. La cosa sería muy diferente si ésta fuera encriptada por la red...

Veamos otro ejemplo.

Un servidor de ficheros con IP 192.168.1.254. Voy a copiar un documento de texto plano, que tengo en mi ordenador, a una carpeta del servidor. Se trata de averiguar con Wireshark el contenido de dicho fichero de texto (sin abrirlo, claro). Así que en pongo en marcha Wireshark, copio el documento de texto a una carpeta del servidor y a continuación detengo la captura de tramas.

A continuación filtro las tramas para que sólo se me muestren aquellos paquetes que van dirigidos a la dirección 192.168.1.254.
  • ip.dst==192.168.1.254
Examinando la lista de paquetes en Wireshark, observo que en la columna "Info" aparece "Write and Request". Hago clic sobre el paquete y observo, que en la sección inferior, aparece el contenido del documento de texto (en un lugar de la mancha....)

fuene: alejandrox
Comparteme:
Meneame
Delicious
Digg
Technorati
YahooMyWeb
MLinuxfera

Revisado el: 25-11-2007 23:23

Publicado el : Manuales (HowTo), Seguridad

Comentarios de usuarios (0)

Ningún comentario guardado

Añade tu comentario



mXcomment 1.0.5 © 2007-2008 - visualclinic.fr
License Creative Commons - Some rights reserved
 
< Anterior   Siguiente >
[Volver]


Si te resulta util esta informacion y quieres contribuir mediante alguna donación para el mantenimiento y mejora de ese site, te dejamos un enlace para que puedas ayudarnos por medio de paypal.

 Muchas gracias.








Enlaces

Cursos
Masters
MBA

Menu Principal

TuxInicio
TuxApuntes
TuxAyuda
TuxFAQs
TuxDescargas

Tux Gadgets

PacMan *
Sudoku Online
Slot Machine
Invaders
BlackJack
Video Poker
Top10 YouTube

Login






¿Recuperar clave?
¿Quiere registrarse? Regístrese aquí
Hay 32 invitados en línea

Translate

Top WebLinks

Enlaces - Blogroll
feed image

Tux Estadisticas

OS: Linux h
PHP: 5.2.6
MySQL: 5.0.67-community-log
Hora: 16:32
Caching: Disabled
GZIP: Enabled
Usuarios: 4025
Noticias: 1051
Enlaces: 50
Visitantes: 3680359

Galaxia Linux

TUXrank .. SITES



Creative Commons License


Esta obra está bajo una
licencia de Creative Commons.


¿Quieres anunciarte aquí?

Tux del Dia

th_1834.jpg

Tux Encuesta

¿Aconsejas Ubuntu a tús amigos?
 
¿Has actualizado a Intepid Ibex 8.10?
 

[+]
  • Narrow screen resolution
  • Wide screen resolution
  • Auto width resolution
  • Increase font size
  • Decrease font size
  • Default font size
  • default color
  • blue color
  • green color