WireShark, Sniffer de red

Wireshark es un sniffer de red, anteriormente llamado Ethereal. Esto es un

programa que captura todo el trfico de la red. Para usarlo con seguridad,
Wireshark nos pedir usar un usuario que no sea el root en Linux.
Lo primero, creamos un grupo llamado wireshark y le metemos un nuevo usuario
llamado hacker, asignando la ruta y permisos al directorio de la aplicacin que usa
wireshark.

Ahora arrancamos el Wireshark, para ello vamos a Aplicaciones, Kali Linux,

Husmeando, Husmeando redes, Wireshark.
Nos aparecer la siguiente pantalla, que es la interface grfica del WireShark.
 Vamos a Capture, Options. Marcamos nuestra interface por la que vamos a
esnifar los datos. Es importante dejar marcada la opcin promiscua para que el
programa pueda escuchar toda la informacin de red.
 Si por ejemplo hacemos un ping desde otro equipo al Kali Linux donde tengo el
Wireshark, saldr lo siguiente. La ventana que sale por defecto es la captura en
tiempo real del trfico.
 Le damos a Stop para ver lo que a sucedido o minimizamos esa ventanita para ir
viendo los paquetes en tiempo real.
Ahora miramos si hacemos un ping a la direccin IP del Kali y luego un arp a.
 Vamos al Wireshark y vemos como muestra el protocolo ARP.

Ahora vamos a poner que el XP pase a conectarse por el Kali. Para ello ponemos
la IP local del Kali como puerta de enlace del Windows XP. Esto vendra a ser como
si realizramos un ataque MAN In The Middle, o estuvisemos en una red local
conectados, ya sea por cable o Wifi.
En Kali escribimos lo siguiente para habilitarlo y que en las IPTABLES (Firewall de
Linux) saque el trfico por el interface externo, as saldr mediante nat a internet.

Ya deberamos tener internet en el Windows XP a travs del Kali. Ahora vemos

que sucede en el Wireshark. Vemos como se ha movido trfico entre la mquina
XP y el servidor de Google.
 Ahora para no liarnos, vamos a realizar filtros. Podemos filtrar por direccin IP
para redes con muchas mquinas, pero no es el caso, ya que slo tenemos el
Windows XP trabajando.
Marcamos http.method.request.
Ponemos == y GET, es decir, la imformacin recibida. Aplicamos para activar el
filtro.
 Desplegamos cada paquete o UPD sobre el que deseemos mayor informacin en
el panel del medio para ver las diferentes opciones. Con esto veremos trfico,
puertos, Ips, etc.
 El ltimo cuadro est en hexadecimal, es decir, de cero a nueve y de la letra A a
la letra F, lo que hace un total de 16 caracteres.
Si hacemos un ping a una IP no existente, saldr lo siguiente.
 El protocolo ICMP es el usado por el comando ping. Veremos destino Broadcast,
es decir, manda una solicitud a toda la red para intentar identificar la mquina que
tiene asignada la IP del ping. Esta IP de Broadcast es muy usada por los hackers,
siendo una forma de mandar trfico a toda la red.

Con las expresiones o filtros podremos filtrar la informacin, por ejemplo para ver
el trfico de una sla IP o un tipo de trfico concreto. Si queremos ver el trfico de
una mquina, ponemos su IP:
Ip.addr == 192.168.20.15
Tambin podremos ver slo las peticiones en la que esa IP concreta, sea el
origen, es decir, la info que le entra a esa mquina:
Ip.src == 192.168.20.15
O cuando la IP sea el destino:
Ip.dst == 192.168.20.15
O podremos filtrar por direccin MAC:
Eth.src == 00:11:22:33:44:55 (La MAC de la tarjeta de red que sea).
Estos filtros pueden ser sumados, simplemente se separan de la siguiente forma:
Ip.addr == 192.168.20.15 | http.method.request == POST
Si lo que queremos es omitir alguna bsqueda concreta, ponemos la esclamacin
hacia abajo y la consulta a quitar entre parntesis:

! (http.method.request == POST )
 Ahora nos mandamos un mail a nosotros mismos desde el Windows XP.
Con el Wireshark en ejecucin, filtramos el trfico para ver slo el trfico del mail
o del protocolo que deseamos esnifar. Con esta herramienta podremos tener
controlado el trfico de una red, tanto para espiar a los usuarios, como para poder
resolver problemas de nuestra red, ya sea por ejemplo por un esceso de trfico
que realentice la red debido a un Malware, etc.