Sniffing con Wireshark

16:51 Redes 34 Comentarios

Introduccin.
Wireshark es un analizador de paquetes de red, comnmente llamado
sniffer.
Es utilizado por administradores de redes para ver todo el trfico que est
pasando en un momento especfico.
Una de las ventajas que tiene, es que es open source y multiplataforma.
Wireshark ofrece distintos tipos de filtros para leer los paquetes. Captura
a dems cookies y passwords que veremos a continuacin en este paper.
Para instalar wireshark simplemente hay que ir a su pgina oficial y
descargarlo.
http://www.wireshark.org/download.html
Desde linux, se puede descargar desde la consola.
Sudo apt-get install wireshark

Partes de Wireshark

Enumere las partes ms importantes del Wireshark para describirlas por

separado.
1 Muestra un listado de las interfaces disponibles que podemos poner a
la escucha de paquetes.
2 Permite configurar algunos parmetros de nuestra interface
3 El filtro permite filtras paquetes separndolos por IP, protocolos, etc

4 Listado de paquetes. Muestra un resumen de los paquetes

capturados, presionando con el otro botn del mouse se listaran opciones
disponibles para manejarlos a gusto.
5 Panel de vista en rbol. Muestra el paquete seleccionado con mayor
detalle.
6 Panel de detalle de los datos. Muestra los datos del panel superior
en formato hexadecimal y ascii
Tambin podemos ver en el men superior las siguientes opciones:
File: Contiene las funciones para manipular archivos y para cerrar la
aplicacin Wireshark.
Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscar
un paquetes especifico, aplicar una marca al paquete y configurar la
interfaz de usuario.
View: Permite configurar el despliegue del paquete capturado.
Go: Desde ac podemos ir a un paquete especifico, volver atrs,
adelante, etc.
Capture: Para iniciar y detener la captura de paquetes.
Analyze: Desde analyze podemos manipular los filtros, habilitar o
deshabilitar protocolos, flujos de paquetes, etc.
Statistics: Podemos definir u obtener las estadsticas del trafico
capturado.
Telephony: Trae herramientas para telefona.
Tools: Opciones para el firewall
Internal: Parmetros internos de Wireshark
Help: Men de ayuda.

Primeros pasos con Wireshark

Una vez instalado, lo abrimos y presionamos sobre el icono marcado en
rojo en la imagen

Esto nos permitir seleccionar nuestra tarjeta de red que pondremos a la

escucha de paquetes.

Para saber que tarjeta poner a la escucha, debemos observar cual es la

que recibe paquetes.
Se puede observar en la imagen que en mi caso es la wlan0. Una vez
identificada, damos en Start para comenzar.
Automticamente el programa comenzara a capturar paquetes de todos
los hosts conectados a la red.
Ahora navegare un poco con mis ordenadores por internet para ver que
podemos capturar.

Les mostrare un ejemplo de cmo se manifest mi wireshark cuando hice

un apt-get install en la consola de Linux

Ah podemos ver de que ip a que ip se mueven los paquetes y porque

protocolo. A dems de esto podemos ver el contenido del paquete que lo
veremos ms adelante en este mismo paper.

Si observamos la imagen, hay una caja de texto llamada Filter.

Esa caja de texto, como bien dice su nombre, permite filtrar paquetes. Y
ahora veremos algunos de los filtros que posee Wireshark para que
podamos usar este sniffer de una forma ms eficiente.
En el filtro se pueden usar operadores lgicos como los siguientes:
== (Igual que)
> (Mayor que)
< (Menor que)
!= (Distinto que)
>= (Mayor o igual que)
<= (Menor o igual que)

Basndome en el paper de Datasecurity, les dejo a continuacin los

parmetros ms usados en este sniffer

Filtros por IP
[En todos los ejemplos, reemplazar 0.0.0.0 por la ip a filtrar]
ip.addr = = 0.0.0.0
ip.addr = = 0.0.0.0 && ip.addr = = 0.0.0.0 (Para filtrar ms de una IP )
ip.addr = = 0.0.0.0 || ip.addr = = 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes de la fuente en direcciones IPv4 especificas:

ip.src == 0.0.0.0
ip.src == 0.0.0.0 && ip.src == 0.0.0.0 (Para filtrar ms de una IP )
ip.src == 0.0.0.0 || ip.src == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes del destino en direcciones IPv4 especificas:

ip.dst == 0.0.0.0

ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para filtrar ms de una IP )

ip.dst == 0.0.0.0 || ip.dst == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.

Para filtrar paquetes del protocolo ARP entre:
arp.src.proto (direccin del protocolo de la fuente)
arp.src.hw (direccin hardware de la fuente)
arp.dst.hw (direccin hardware del destino)
arp.src.hw_mac (direccin MAC de la fuente)
arp.dst.hw_mac (direccin MAC del destino)
arp.src.proto_ipv4 (direccin IPv4 de la fuente )
arp.dst.proto_ipv4 (direccin IPv4 del destino)

Para filtrar paquetes del protocolo Ethernet:

eth.dst == ff:ff:ff:ff:ff:ff (direccin MAC)
eth.src == ff:ff:ff:ff:ff:ff (direccin MAC)
eth.addr == ff:ff:ff:ff:ff:ff (direccin MAC)

Veremos un ejemplo con uno de los filtros: ip.addr == 192.168.1.37

En este caso me debera mostrar los paquetes correspondientes a la ip

192.168.1.37
Se puede ver en verde tambin 192.168.1.1 y esto es porque hace
peticin al router.

Filtro por protocolo

Como vimos hasta ahora, este filtro es muy poderoso, pero se darn
cuenta de su potencial ahora que filtraremos por protocolo.
Algunos de los filtros son estos: tcp, http, pop, dns, arp, ssl, etc.
Con un Sniffer podemos obtener datos muy importantes. Desde cookies
hasta usuarios y contraseas. A modo ejemplo, abrir un FTP y veremos
lo que hace nuestro Wireshark:

Como se puede ver, solo filtre el protocolo FTP. Y tambien notaremos que
sac mi user y pass del FTP.
Veremos ahora otros de los protocolos que suele capturar. En este caso
hare un ping a mi blog www.antrax-labs.org

La imagen muestra el protocolo DNS e ICMP. Que si los aadimos en la

caja de texto de filtro, nos los filtrara.
Aqu tenemos filtro por DNS

Cabe aclarar que cada protocolo tiene un color diferente (que puede
modificarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.

Otros filtros
Veremos ahora otros filtros de gran utilidad, como este otro que nos
permite filtrar por dominio o host
http.host == DOMINIO

Ac lo que hice fue poner la url de facebook y robo mi cookie. Veremos

ahora un ejemplo con otra web, pero filtrando nada ms que el protocolo
TCP:

Se puede ver de qu ip privada navego hacia que ip publica. En este

caso, la ip pblica es la del foro infiernohacker y abajo muestra la url de
referencia.

Otras opciones de Wireshark

Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usar

esta opcin basta con ir a GO >> Go to Packet en el men de la barra
superior.
Permite ir a un nmero de paquete que especifiquemos en el cuadro de
texto.
Otras de las opciones muy tiles que tiene Wireshark es la de poder
mostrar en formato ascii la lectura de los paquetes capturados para poder
as facilitar su entendimiento
Para ir a esta opcin colocamos en el filtro HTTP y solo basta con
clickear con el botn secundario del mouse y seleccionar Follow TCP
Stream

Como se puede ver, se ve mucho ms entendible el cdigo y permite

tambien pasarlo a Hexadecimal, C Array etc.
Espero que les haya sido de utilidad