Buscar este blog

viernes, 4 de enero de 2013

Tutorial WireShark

 
WireShark (antes Ethereal) es un software con el que analizamos el tráfico de nuestra red, y se usa para realizar análisis, solucionar problemas en redes de comunicaciones. WireShark usa la librería winpcap que deberemos de instalar junto al programa. Esta librería es la que se encarga de capturar los paquetes. WireShark es multi-plataforma, o sea que para cada tipo de plataforma hemos de usar una librería diferente, en Windows(winpcap) y en GNU/Linux (libpcap), etc..
WireShark, también se puede usar como sniffer.
Lo primero de todo es bajarnos el programa de la web oficial en español: Wireshark 1.4.2 - 32 bits
Y luego seguimos los pasos de instalación normales en Windows, y recordamos instalar WinPcap.
Lo abrimos y nos sale algo parecido a esto:


1: Nos permite ver en cada uno, los paquetes que esta recibiendo.
1.1: Si ya sabemos cual vamos a elegir, escogemos la interfaz que más paquetes reciba.
2: Son las opciones de captura que podemos configurar.
3: Es una opción para filtrar el tráfico recibido por si queremos todas las conexiones y tráfico.
4: Nos permite abrir unos paquetes ya analizados y guardados.
5: Un manual de la wiki oficial de WireShark en inglés.

Ejemplos básicos de uso:



La interfaz se llama Microsoft y tiene700 paquetes capturados. Siguiente paso, apretar Start y empezamos a leer datos. Entonces aquí ya podemos captar el tráfico de datos que se genere en nuestra red Wi-Fi, como por ejemplo lo que se están diciendo por el Messenger distintos usuarios o que páginas visitan en cualquier momento.
Para ver un ejemplo real, filtramos los paquetes que tengan una dirección de Tuenti para poder ver una posible conversación entre usuarios.


Con la opción 1 odríamos filtrar los paquetes TCP, UDP, etc.. pero esta vez vamos a poner este filtro: http contains "http://www.tuenti.com" , consiguiendo así un filtro para paquetes de Tuenti.
La opción 2 es para empezar una nueva captura.
Y la opción 3 para parar la actual, con opción a guardar todos los paquetes capturados.
El chat del tuenti no está codificado así que podremos ver como podemos ver una conversación sin codificar.


Como podemos ver se ve el texto de una conversación por tuenti, al no estar codificado el chat podemos ver el texto que se mandan entre ellos. Lo mismo lo podemos probar por Messenger, iniciamos sesión y empecemos a hablar con alguien.
Le mandamos a un contacto este mensaje: Prueba para Wireshark


Como veis arriba del todo he filtrado los paquetes con el protocolo MSNMS que son todos los relacionados con la mensajería de Windows Live Messenger, también están la dirección de correo del que envia el paquete y la dirección del que lo recibe. Aparte exceptuando la contraseña(que si que esta codificada) las conversaciones las podemos leer claramente, y poder espiar a nuestra víctima.
Espero que os haya servido este artículo para saber como funciona un poco este gran programa y lo que podéis hacer con el.

1 comentario: