WireShark: Tutorial básico
WireShark (antes Ethereal) es un programa que analiza el tráfico de nuestra red, se usa para realizar análisis y solucionar problemas en redes de comunicaciones. Este programa se parece a tcpdump, el cual analiza y monitorea todo el tráfico en una red determinada, las diferencias son que este no está disponible en Windows, y que usa libpcap.
Nuestro programa, WireShark, en cambio, usa la libreria winpcap que se habrá de instalar junto al programa. Esta librería es la que se encarga de capturar los paquetes. He de añadir que WireShark es multi-plataforma, teniendo en cuenta que para cada tipo de plataforma hemos de usar una libreria diferente, en Windows(winpcap) y en GNU/Linux (libpcap); pero bueno a nosotros eso no nos importa.
WireShark, también se puede usar como sniffer.
Lo primero de todo es bajarnos el programa de la web oficial:
Wireshark 1.4.2 - 32 bits
Bien seguimos los pasos de instalación normales en Windows, y recordamos instalar WinPcap
Bueno es un tutorial básico os mostraré que podemos hacer para empezar a familiarizarnos con la interfaz y sus utilidades.
Lo abrimos y nos sale algo parecido a esto:
1: Nos permite ver en cada uno, los paquetes que esta recibiendo.
1.1: Si ya sabemos cual vamos a elegir, escogemos la interfaz que más paquetes reciba.
2: Son las opciones que podemos modificar luego iremos a este paso.
3: Es un filtro que nos servirá más adelante para poder hacer una selección de lo que queremos ver en pantalla, y no tener que ir buscandolo entre todo el tráfico.
4: Nos permite abrir unos paquetes ya analizados y guardados.
5: Un manual de la wiki oficial de WireShark en inglés.
Bueno esto no creo que haya sido muy esclarecedor pero a partir de ahora empezaré los ejemplos básicos de uso.
En mi caso la interfaz se llama Microsoft y tenía 700 paquetes capturados. Siguiente paso, apretar Start y comienza el juego ;)
A partir de aquí, vamos a hacernos la idea de que una de dos, hay alguien metido en nuestra red Wi-Fi sin contraseña, o que por algun casual estamos dentro de una red en la que hay más gente conectada. El primer caso lo podemos autoprovocar dejando nuestra red sin contraseña, con eso conseguiríamos atraer víctimas para conseguir saber que se están bajando, que están diciendo por el Messenger e incluso en que página se encuentran en ese mismo instante.
Yo ya he empezado mi captura y bueno he seleccionado que solo me filtre los paquetes que contengan la direccion del Tuenti para poder así analizar la posible conversación que pueda tener nuestra víctima si empiezan a aparecer paquetes es que está navegando por tuenti.
Bueno el 1 son las opciones, con las que puedes filtrar paquetes como solo filtrar paquetes TCP, UDP, etc.. si pones en Filter: http contains "http://www.tuenti.com" ya tienes tu analizador filtrando solo los paquetes del tuenti.
El 2 es para empezar una nueva captura.
Y el 3 para parar la actual, con opción a guardar todos los paquetes capturados.
Y buena "sorpresa" el chat del tuenti no está codificado así que os enseñaré como he podido sacar una porción de una conversación sin codificar.
Si eso es de una conversación por tuenti, eso lo estaba mandando yo como podeis observar. Eso es una ventaja de que no codifiquen el contenido por el chat, ahora vayamos a probarlo al Messenger, iniciamos sesión y empecemos a hablar con alguien.
Le he mandado a un contacto este mensaje: Prueba para Wireshark
Como veis arriba del todo he filtrado los paquetes con el protocolo MSNMS que son todos los relacionados con la mensajería de Windows Live Messenger, también están la dirección de correo del que envia el paquete y la dirección del que lo recibe. Aparte exceptuando la contraseña(que si que esta codificada) las conversaciones las podemos leer claramente, y poder espiar a nuestra víctima.
No hay comentarios:
Publicar un comentario