Wireshark

by
D14M4NT3

Contenido:

1.Introcuccion
2.Instalacion
3.Interfaz de Usuario
4.Filtros
5.Modo de Uso
6.Preguntas
7.Modos de ataque
8.Herramientas Extras
9. Despedida

Este tutorial es creado por D14M4NT3 para toda la comunidad Underground tanto de colombia
como del Mundo entero. En este tutorial, tratare de explicar el funcionamiento de la herramienta
Wireshark que es uno de los 10 sniffer mas usados y mejores del internet, junto a Nessus y otros...

Hack by D14M4NT3
 Introduccion
Wireshark es un Capturador/Analizador de paquetes de red, comunmente llamado sniffer, nos
ofrece un nivel muy alto y detallado de que esta pasando en tu red, es Open Source y
multiplataforma, una excelente opcion al momento de Analizar nuestra red.

WiresHark es utilizado por profesionales y/o administradores de redes, para analizar e identificar el
tipo de trafico en un momento especifico, ampliamente utilizado en todo el mundo como una
herramienta de seguridad.

Caracteristicas:

1. Disponible para Windows, Linux, Unix y MAC.

2. Captura paquetes directamente desde una interfaz de red
3. Permite obtener detallada informacion del protocolo utilizado por el paquete capturado.
4. Cuenta con la posibilidad de Importar/Exportar los paquetes hacia otros programas y desde ellos.
5. Filtra los paquetes por criterio del usurio.
6. Permite obtener estadisticas.
7. Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de colores los paquetes
que cumplen con los filtros establecidos.

Intalacion
La Instalacion de Wireshark es muy simple si usas Debian o alguna distribucion parecida como Ubuntu.

# sudo apt-get install wireshark

Listo ya tienes Wireshark en tu S.O la mayoria de las distribuciones Gnu/linux lo incluyen en sus repositos,
ahora simplemente tienes que iniciar el programa.

# wireshark

Pero wireshark funciona desde Root o con permiso del mismo, si no estas en Root teclea esto

# gksudo wireshark

Ahora abren el Wireshark como Root o con permiso del Root y nos dirijimos a Capture => Interfaces, nos
debe aparecer algo como esto:

se despliega una

Hack by D14M4NT3
ventana donde aparecen las diferentes interfaces disponibles para empezar con la
captura de paquetes, recomiendo la que lleva tu ip, le das start y listo,
automáticamente empieza a capturar los paquetes de tu red.

Interfaz del Usuario

Ahora que ya tienes el Wireshark activado en una interfaz, entra a cualquier pagina web, y automaticamente
Wireshark empezara a analizarlos.

Barra para Filtros:

# Bueno aqui tenemos el filtro, pese a que son mucho paquetes para analizar, con este filtro podemos
especificar que tipo de paquete queremos capturar, HTTP, MSNMS, DNS.. tambien podemos ser un poco
mas especificos como ip de origen, puerto, asi tendremos una mayo presicion con respecto ala informacion
que queremos capturar.

Panel de paquetes Capturados:

# En este panel se despliega la lista de paquetes capturados de una forma grafica, y con datos como que tipo
de protocolo es el paquete, ip de origen y destino, pero si quieres mucha mas informacion de algun paquete,
solo has doble click dobre el para ver los detalles, cada linea de este panel representa un paquete.

Panel de detalles del Paquete:

# Si queremos mas informacion de un paquete, en el panel grafico anterior le damos doble click al paquete
que queramos y automaticamente en este panel saldran mas detalles o informacion hacerca del paquete
seleccionado.

Panel de Bytes:

#En este panel se despliega la informacion del paquete seleccionado pero en bytes.

Hack by D14M4NT3
 Filtros Usuales
!! ATENCION !! Esto es una parte muy importante ya que nos puede ahorrar horas de busqueda, hay 2 tipos
de filtros, Filtro de Visualizacion (Display Filter) y Filtro de Captura (Capture Filter), les explicare el filtro
de visualizacion es un poco mas basico y tambien nos puede ayudar.

Con los filtros nos podemos ahorrar horas de trabajo buscando un paquete en especial, por que recuerden que
simplemente entrar a google.com genera muchos paquetes, y si en nuestra red tenemos mas de de 2 usuarios
se podran imaginar el caos de paquetes, ademas hay unos paquetes que no queremos capturar o leer asi que
con los filtros podemos dar informacion a wireshark hacerca del paquete que queremos leer en especial.

ip.addr == 125.125.125.125
# Captura solo el trafico que viaje desde o hacia la Ip 125.125.125.125

ip.addr != 125.125.125.125
# Captura todos los paquetes excepto los de ip 125.125.125.125

ip.dst == 125.125.125.125
# Captura todos los paquetes que tengan como origen la ip 125.125.125.125

ip.src == 125.125.125.125
# Captura todos los paquetes que tengan como destino la ip 125.125.125.125

ip
# Visualiza todo el trafico ip

tcp.port == 80
# Visualiza todos el trafico tcp desde y hacia el puerto 80

udp.port == 53
# Captura los paquetes UDP cuyo origen o destino sea el puerto 53 (DNS)

ip.addr == 125.125.125.125 and tcp.port == 143

# Visualiza todo el tráfico origen y destino puerto 143 relativo al gost 125.125.125.125

Bueno estos son algunos de los filtros de visualizacion, son los mas basicos y mas utilizados, nos pueden
ayudar mucho al momento de empezar con el Wireshark, hay mas filtros pero para opciones mucho mas
profesionales que en este momento no voy a utilizar, pero si tu quieres, busca mas en google podras
encontrar muchos y con opciones excelentes.

Hack by D14M4NT3
 Modo de uso
Bueno, espero que ya se aigan hecho a una idea hacerca del funcionamiento de Wireshark, almenos de como
y donde llegan los paquetes capturados, ahora haremos algunas pruebas simples como leer una conversacion
del msn.

1. Abrimos el Wireshark, seleccionamos la interfaz.

2. Abrimos el msn en una ventana pequeña y al otro lado Wireshark, iniciamos sesion en el msn pero
sin perder de vista el wireshark. Nota: es recomendable que no tengan nada abierto que se conecte a
internet, para asi no confundirnos con los cientos y cientos de paquetes que nos activa el msn.
3. Ahora que ya iniciamos sesion en el msn, debemos poner cuidado al Wireshark, para ver si miramos
paquetes con estos protocolos, MSNMS, MSN, Messenger, si te aparecen paquetes con alguno de
estos protocolos, ve a filtros y coloca el protocolo, en mi caso MSNMS...
4. Ahora que ya colocaste el protocolo en el filtro, le das Apply y seguramente solo podras observar
paquetes con protocolo MSNMS o MSN o Messenger, esos son los paquetes capturados de tu msn.

5. Ahora inicia una conversacion con alguien, simplemente dile “HOLA MI AMIGO WIRES” y
veremos los paquetes en el Wireshark:

#Esta es la info del paquete:

#como pueden observar, podemos leer el mensaje “Hola mi Amigo WIRE” que es el que le enviamos a
nuestro amigo, y en el paquete podemos observar la ip de la persona ala que le mandamos el mensaje, la
copiamos para poder utilizar filtro y solo leer los paquetes que le enviemos o nos envie el, en este caso la ip
es 207.46.124.77, ahora colocamos el filtro. ip.addr == 207.46.124.77 pero son muchos paquetes asi que
especificaremos un poco mas el filtro: ip.addr == 207.46.124.77 and msnms ; como ya se abran dado
cuenta con este filtro decimos que queremos visualizar todos los paquetes de destino o origen 207.46.124.77
y que tengan como protocolo msnms o el del messenger.

# Ahora que ya tenemos el filtro, todo lo que nos responda nuestro contacto aparecera en el panel de
paquetes y en la parte del paquete aparecera el correo del contacto, esto nos sirve para guiarnos un poco.

Hack by D14M4NT3
 # Como podran observar nuestra ip esta en la casilla de destino, lo que quiere decir que el contacto no esta
enviando un paquete a nosotros en este caso, nos respondio el saludo.

# En este caso nos respondio “jjaja” tal ves por que le dije “WIRE”, podemos seguir leyendo todos los
paquetes de la conversacion pero mejor se lo dejo de TAREA para que practiquen.

Preguntas
¿porque podemos capturar los mensajes que enviamos por msn?
R:/ Simplemente los mensajes viajan en texto plano, no tienen ningun tipo de proteccion como
encriptacion.
¿Puedo leer los paquetes de otro pc que no esta en mi ciudad osea de forma remota?
R:/ No, no es posible leer los paquetes de forma remota, si tu quieres leer los paquetes que envia y
recibe otro pc, debes estar conectado a su red ya sea LAN o Wireless.
¿Puedo robar contraseñas o password con Wireshark ?
R:/ Claro que si, pero solo las que viajen por tu red y en forma de texto plano, ejemplo: cuando
alguien de tu red se loguea a una pagina web cualquiera que no sea https:// tu solo buscas por el
protocolo, y puedes leer el usuario y password que utilise. Has la prueba, logeate a una web que no
sea https:// y busca el paquete en Wireshark y podras observar el pass.
¿Puedo robar alguna contraseña o password de HOTMAIL, GMAIL...?
R:/ No, almenos con Wireshark no puedes, por que estos servicios utilizan protocolo https con
encriptacion y seguridad y Wireshark no esta diseñado para violar esta seguridad pero si hay
programas que lo hacen.
¿Donde seria un lugar excelente para utilizar Wireshark?
R:/ En una red de varios computadores, ya sea LAN o Wireless, aun que recomiendo Wireless y si no
sabes la password de la wireless la puedes romper o hack con otros programas que estan en internet.
Si puedes en una Wireless podras observar todo los paquetes y trafico en el que las victimas estan
navegando, pudes sacar password y mucho mas.

Modos de ataque.

En una red wireless, puedes obtener la informacion de las personas que estan navegando por internet
utilizando ese medio, aparte de poder leer las conversaciones por msn. Esa seria la manera de ataque pero si
lo que quieres en seguridad, muchos profesionales utilizan Wireshark para monitorear al red y asi mirar
anormalidades al instante. !! Deja Volar Tu Imaginacion !!

Hack by D14M4NT3
 Herramientas Extra
En lo personal recomiendo Ettercap, tambien es una sniffer solo que mas enfocado al hacking, por ejemplo
con Wireshark no puedes leer los password de un sistema https:// y ettercap si, con ettercap puedes hacer un
MIM y tambien puedes lograr hacer un envenenamiento ARP, por esto y por mucho mas recomiendo
ettercap. Tambien puede ser usado ala par con Wireshark.

Despedida.
Este Tutorial fue creado por D14M4NT3 para toda la comunidad Underground del mundo, espero seguir
haciendo mas tutoriales, eso depende del tiempo que tenga, habeces hay mucho trabajo, habeces muy poco
jejeje !! xD. Pero siempre estoy dispuesto a ayudar y a que me ayuden.. si tienen alguna duda busquen en
google D14M4NT3... jejeje !!

D14M4NT3

Hack by D14M4NT3