WIRESHARK 1.- Filtros Wireshark contempla dos tipos de Filtros. Filtros de captura y Filtros de visualizacin.

Filtros de captura (Capture Filter) Se usan para capturar solo los paquetes de cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturar todo el trfico y lo presentar en la pantalla principal. Combinacin de Filtros. Podemos combinar las primitivas de los filtros de la siguiente forma: Negacin: ! not Unin o Concatenacin: && and Alternancia:|| or Filtros basados en hosts Sintaxis Significado host host Filtrar por host src host host Capturar por host origen dst host host Capturar por host destino Ejemplos Captura todos los paquetes con origen y destino host 192.168.1.20 192.168.1.20 Captura todos los paquetes con origen en host src host 192.168.1.1 192.1681.1 Captura todos los paquetes con destino en host dst host 192.168.1.1 192.168.1.1 Captura todos los paquetes con destino en host dst host SERVER-1 SERVER-1 Captura todos los paquetes con origen y destino host www.terra.com www.terra.com Filtros basados en puertos Sintaxis Significado Captura todos los paquetes con puerto origen y port port destino port src port port Captura todos los paquetes con puerto origen port dst port port Captura todos los paquetes con puerto destino port Captura todos los paquetes excepto origen y not port port destino puerto port not port port and not portCaptura todos los paquetes excepto origen y port1 destino puertos port y port1 Ejemplos Captura todos los paquetes con puerto origen y port 21 destino 21 src port 21 Captura todos los paquetes con puerto origen 21 Captura todos los paquetes excepto origen y not port 21 and not port 80 destino puertos 21 y 80 Captura todos los paquetes con puerto origen y portrange 1-1024 destino en un rango de puertos 1 a 1024 Captura todos los paquetes con puerto destino en dst portrange 1-1024 un rango de puertos 1 a 1024

Filtros basados en protocolos Ejemplos ip ip proto \tcp ether proto \ip ip proto \arp Filtros basados en red Sintaxis net net dst net net src net net Ejemplos net 192.168.1.0

Ethernet / IP Captura Captura Captura Captura todo el trfico IP todos los segmentos TCP todo el trafico IP todo el trafico ARP

Significado Captura todo el trfico con origen y destino red net Captura todo el trfico con destino red net Captura todo el trfico con origen red net

Captura todo el trfico con origen y destino subred 1.0 Captura todo el trfico para la subred 1.0 mascara net 192.168.1.0/24 255.0 Captura todo el trfico con destino para la subred dst net 192.168.2.0 2.0 Captura todo el trafico origen y destino puerto 21 net 192.168.2.0 and port 21 en subred 2.0 broadcast Captura solo el trafico broadcast not broadcast and notCaptura todo el trafico excepto el broadcast y el multicast multicast Filtros de visualizacin (Display Filter) Establecen un criterio de filtro sobre los paquetes ya capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son ms flexibles y potentes. Tambin se usa para filtrar el contenido de una captura almacenada en un fichero .pcap. Comparando Filtros. Igual a: eq == No igual: ne != Mayor que:gt > Menor que: lt < Mayor o igual: ge >= Menor o igual: le <= Combinando Filtros. Negacin: ! not Unin o Concatenacin: && and Alternancia:|| or Otros operadores. Contains: Realizamos una bsqueda por el contenido de la cadena Como aplicar los Filtros. Ejemplos de filtros: Filtros de visualizacin Ejemplos Sintaxis Significado ip.addr == 192.168.1.40 Visualizar trfico por host 192.168.1.40 ip.addr != 192.168.1.25 Visualizar todo el trfico excepto host

192.168.1.25 ip.dst == 192.168.1.30 Visualizar por host destino192.168.1.30 ip.src == 192.168.1.30 Visualizar por host origen 192.168.1.30 ip Visualiza todo el trfico IP Visualiza todo el trfico origen y destino puerto tcp.port ==143 143 ip.addr == 192.168.1.30 andVisualiza todo el trfico origen y destino puerto tcp.port == 143 143 relativo al host 192.168.1.30 Visualiza el trafico origen y destino http containswww.terra.com. Visualiza los paquetes que "http://www.terra.com" contienen www.terra.com en el contenido en protocolo http. Visualizamos todos los correos con origen y frame contains "@miempresa.es" destino al dominio miempresa.es, incluyendo usuarios, pass, etc Filtro avanzado con el que visualizamos todo el icmp[0:1] == 08 trfico icmpde tipo echo request Visualiza todo los paquetes IP cuyo campo TTL ip.ttl == 1 sea igual a 1 Visualizar todos los paquetes cuyos campo tcp.windows_size != 0 Tamao de Ventana del segmento TCP sea distinto de 0 Visualiza todo los paquetes IP cuyo campo TOS ip.tos == x sea igual a x Visualiza todo los paquetes IP cuyo campo DF ip.flags.df == x sea igual a x udp.port == 53 Visualiza todo el trafico UDP puerto 53 Visualizamos segmentos TCP conteniendo la tcp contains "terra.com" cadena terra.com Filtros HTTP http.request.method: Establece filtros para los mtodos de peticin HTTP. El caso ms simple sera el mtodo GET en el que el navegador contacta con el servidor web para obtener una pgina. Para filtrar por el mtodo GET: http.request.method == "GET" http.response: filtrado por mensajes y cdigos de respuesta. Estos son enviados por el servidor al navegador. En los mensajes de respuesta se incluye un cdigo de tres dgitos. Estos mensajes se dividen en categoras. Por ejemplo: 10x se refiere a mensajes de informacin. no usados ya en la versin 1.0 de HTTP. 20x se refieren a operaciones exitosas 30x son respuestas que indican que el recurso ya no se encuentra en la ubicacin que se especific en el mtodo GET. 40x se refieren a solicitudes incorrectas. Son entonces errores de la peticin formulas por el cliente desde el navegador. 50x se refieren a errores del servidor Tenemos:

200 informa que la solicitud se tramit exitosamente. 204 no hay informacin de respuesta de que el servidor recibi la solicitud. 302 los datos referidos a la solicitud se encuentran ahora en una nueva direccin URL de forma temporal. 301 los datos referidos a la solicitud se encuentran ahora en una nueva direccin URL de forma permanente.

# filtra los paquetes cuyo mensaje de respuesta del servidor sea de solicitud correcta http.content_type: Se refiere a los encabezados de respuesta. Indica el tipo de contenido del recurso al que se accede mediante una solicitud. Los tipos de contenido pueden ser, entre otros: texto/html application/pdf image/jpeg image/gif video/quicktime application/zip http.content_type == image/gif http.server: Caractersticas del servidor que envi la respuesta a la solicitud del cliente o navegador. http.server == "nginx" # filtrar los paquetes de respuesta servidor hacia cliente provenientes de un servidor Nginx. Nginx es un servidor web de cdigo abierto para plataformas UNIX, lnux, Windows. Podemos encontrar en nuestras capturas valores de http.server como: sffe Safer Server. Backup online para servidores. gws Google Web Server. Apache. aqu mediante contains podemos diferenciar otros valores como PHP, Unix, etc. PWS Personal Web Server. GFE GFE/2.0 web server. http.user_agent: filtra para obtener solo las peticiones realizadas desde un navegador determinado. http.user_agent contains "Mozilla" Observar que usamos la palabra clave contains para especificar solo una parte del campo User-Agent. De esta forma podemos diferenciar tambin por el sistema operativo o motor (por ejemplo Gecko), etc. Ejemplo: http.user_agent contains "Gecko" http.user_agent contains "Microsoft" http.user_agent contains "Linux" http.user_agent contains "Mozilla" http.request.uri: Se refiere a la peticin URI (Identificador Uniforme de Recursos).

http.response == 200

http.request.uri contains "swf" # filtrar para visualizar solo los paquetes que contenga en la URI todo lo relacionado con flash (.swf) http.request.uri contains "flv" http.request.uri contains "png" Tambin podemos usar expresiones regulares: http.request.uri matches "[0-9].flv$" http.host: Se refiere a la informacin de host al que se realiza la peticin. http.host contains "marca.com" Otros filtros HTTP la forma de aplicarlos sigue la misma estructura y variantes: http.accept_language contains "es-es" http.referer contains "www.bbc" http.encoding contains "gzip" Podemos usar el formato Hexadecimal: http.request.method == 47.45.54 que es lo mismo que http.request.method == "GET" Filtros Personalizados Es muy comn que ciertos filtros y/o expresiones requieran ser utilizado en un futuro, para esto Wireshark permite definir y guardar los filtros y/o expresiones. Para guardar o abrir un filtro existente (previamente creado y guardado) se debe seleccionar Display Filter en el men Analize o Capture Filter que se encuentra en el men Capture.

Funcin de bsqueda de paquetes Cuando iniciamos la captura de paquetes por lo general se obtiene una gran cantidad de paquetes, Wireshark permite realizar bsqueda(s) de paquete(s) que

tienen cierta caracterstica. Para esto se debe seleccionar la opcin Find Packet en

el men Edit: Tambin se puede realizar la bsqueda del paquete anterior y prximo al que esta opciones Find Next y Find Previous. 2.-Visualizacin y Anlisis de paquetes capturados Una vez que se tienen capturados los paquetes hay tres zonas de visualizacin de los paquetes: panel de paquetes capturados, con una lista de todos los paquetes capturados. Al seleccionar uno de estos se despliega el contenido del paquete en el resto de los paneles. panel de detalles de paquetes muestra informacin de los campos del paquete seleccionado. panel en bytes muestra la informacin de ese paquete en bytes, en valores en hexadecimal y ascii. Al pulsar en un campo del paquete, se marca la zona seleccionada. Expandiendo cualquiera parte del rbol presentado en el panel de detalle del paquete, se puede seleccionar un campo en particular cuyo contenido se muestra resaltado en negritas en el panel de bytes.

Existe una manera de visualizar los paquetes mientras esta activo el proceso de captura esto se logra, seleccionando la opcin Update list packets in real time desde men Edit->Preferentes->Capture. Para ver un paquete seleccionado en una ventana individualmente, hacer doble click sobre el paquete o seleccionar la opcin Show Packet in new Windows en men View. Esto permite comparar con ms facilidad dos o ms paquetes. Marcado de paquetes Por lo general el anlisis de trfico es bastante complejo ya que son muchos los paquetes que se obtienen la captura, WireShark permite marcar los paquetes para que sean identificados con ms facilidad esta marca es aplicar colores a los paquetes en el panel correspondiente. Existen tres funciones para aplicar el marcado de paquetes desde el men Edit: Mark packets (toggle) para marcar el paquete. Mark all packets, aplica la marca a todos los paquetes. Unmark all packets, elimina la marca para todos los paquetes. Expert Infos y Expert Info Composite Herramientas con las que podemos ver un resumen de las anomalas, eventos de informacin y errores aparecidos durante una sesin de captura de funa forma clara y sencilla. Ambas nos aparecen en el menu: Analize A la informacin suministrada por Expert Infos, el Expert Infos Composite, ademas, no da informacin de cantidad de paquetes que forman parte de cada evento en la columna Count, por lo tanto nos ofrece una informacin ms detallada y mejor organizada, para visualizar de forma ms rpida.

3.- Visualizando estadsticas WireShark proporciona un rango amplio de estadsticas de red que son accedidas desde el men Statistics que abarcan desde la informacin general de los paquetes capturados hasta las estadsticas especficas de un protocolo. Podemos distinguir entre cada una de las anteriores: Estadsticas Generales Summary, la cantidad de paquetes capturados. Protocol Hierarchy, presenta las estadsticas para cada protocolo de forma jerrquica. Conversations, un caso particular es el trfico entre una IP origen y una IP destino. Endpoints, muestra las estadsticas de los paquetes hacia y desde una direccin IP. Packet Lengths, muestra las estadsticas por longitud de paquete. IO Graphs, muestra las estadsticas en grafos. Hasta cinco grficas. Estadsticas especficas de los protocolos Service Response Time entre la solicitud (request) y la entrega (response) de algn protocolo existente. Lo mismo para Conversations List y Endpoints list. Flow Graph Permite la visualizacin grfica del flujo de datos entre las diferentes conexiones realizadas entre hosts. Accedemos a esta opcin desde Statistics > Flow Graphs.

En esta grfica podemos ver: Datos de tiempo. Mquinas involucradas en el flujo de conexin representadas por las lneas verticales. Sentido del flujo de los datos. Representado los las flechas que, adems, nos indican entre que hosts o mquinas se establece conexin. Puertos. Representado entre parntesis. Nmeros de secuencia y acuses de recibo. Representados en la columna de la derecha (Comments). Vemos que los nmeros de secuencia se representan de forma relativa, es decir, el primero 0 (para no mostrar nmeros de secuencia demasiado altos y mejor compresin de los datos).

Vemos tambin los indicadores usados indicando el contenido y propsito del segmento TCP: - URG. El campo Puntero de urgencia contiene informacin vlida. - ACK. El campo Nmero de acuse de recibo contiene informacin vlida. - PSH. La aplicacin ha solicitado una operacin push (enviar los datos existentes en la memoria temporal sin esperar a completar el segmento). - RST. Interrupcin de la conexin actual. - SYN. Sincronizacin de los nmeros de secuencia. Se utiliza al crear una conexin para indicar al otro extremo cual va a ser el primer nmero de secuencia con el que va a comenzar a transmitir. - FIN. Indica al otro extremo que la aplicacin ya no tiene ms datos para enviar. Se utiliza para solicitar el cierre de la conexin actual.

Con este tipo de grficos podemos estudiar, por ejemplo, los problemas que pudiesen surgir en un establecimiento de conexin: cmo se realiza una conexin TCP. Nos ayudar a interpretar logs, trazas y tcnicas de escaneo. Veremos tambin algunos componentes de los paquetes TCP aparte de los puertos de la mquina origen y destino. Estos componentes importantes son los nmeros de secuencia y de confirmacin (SEQ y ACK) que se utilizan para asegurar la integridad de la conexin y los flags o banderas que son los encargados de indicar la finalidad del paquete (para iniciar o finalizar una conexin, para transmitir datos, etc). Una conexin TCP se realiza en tres pasos. Es lo que tcnicamente se llama three-way handshake: 1. En el sistema / host que inicia la conexin o cliente (TCP A), enva un paquete de SYN con un nmero de secuencia inicial asociado a esta conexin al sistema / host destinatario o servidor (TCP B). 2. Este responde con un paquete SYN-ACK (acuse de recibo) confirmando la recepcin del SYN inicial enviado por (TCP A) y envindole a su vez su propio nmero de secuencia. 3. Finalmente, el cliente (TCPA) reconoce la recepcin del SYN del servidor (TCP B) mediante el envo de un ACK. Este es el momento en que queda establecida la conexin. Ya se puede iniciar la transferencia de datos entre (TCP A) y (TCP B). Lo vemos grficamente: Sean dos hosts pretenden iniciar una conexin TCP. TCP A y TCP B, siguiendo la analoga de la explicacin anterior. 1. TCP A _SYN( SEQ=x ) -> y TCP B 2. TCP B _SYN( SEQ=y, ACK=x+1 ) -> TCP A, 3. TCP A _SYN( SEQ=x+1, ACK=y+1 ) -> TCP B. Vemos como TCP A enva un paquete SYN con un nmero de secuencia inicial x que adems es aleatorio aTCP B. El resto es fcil deducir. Las letras x e y son los nmeros de secuencia (SEQ). Se utilizan nmeros de secuencia distintos para cada sentido de la comunicacin. El primer nmero para cada sentido se acuerda al establecer la comunicacin. Cada extremo se inventa un nmero aleatorio y enva ste como inicio de secuencia. Un paso ms para terminar de comprender la conexin TCP totalmente imprescindible para entender muchas tcnicas de escaneo. Ejemplo:

Sean dos hosts (TCP A) y (TCP B) que pretenden iniciar una conexin. Veremos tambin que pasa con los nmeros de secuencia (SEQ):

Todo esto es lo que ocurre cuando realizamos un escaneado de puerto TCP conect (). Si la opcin elegida es TCP SYN no dejamos que se establezca totalmente la conexin, esto significara el envo por parte de TCP A de un RST (reset) cerrando as la conexin. Es facil, entonces, ver todo esto explicado en la grfica:

Arranque de Wireshark mediante lnea de comandos. Los comandos bsicos. Los comandos bsicos son, en algunos casos, los mismos usados en Tshark para su uso normal: -i interface -k iniciar de inmediato la captura (usaremos esta opcin siempre ) -f filtro de captura -s snaplen Por ejemplo, si queremos arrancar Wireshark estableciendo como interface de captura la establecida como nmero 2, como filtro de captura "host 192.168.1.5", y estableciendo un snaplen = 512: wireshark -i2 -k -f "host 192.168.1.5" -s512 Automticamente se nos abrir Wireshark capturando de inmediato segn hemos indicado mediante comandos. Podemos parar la captura mediante el uso de condiciones: -c n para parar cuando se cumpla la condicin de n paquetes capturados. -a duration:/filesize:/files: paramos la captura cuando se cumple condiciones de tiempo en segundos, tamao en KB. o nmero de ficheros. Por ejemplo. La misma captura anterior que se parar cuando pasen 10 segundos o cuando se cumplan la condicin de 50 paquetes: wireshark -i2 -k -f "host 192.168.1.5" -s512 -aduration:10 wireshark -i2 -k -f "host 192.168.1.5" -s512 -c50 Con la opcin -w podemos guardar la captura en un archivo especificado. Y haciendo uso de lo ya aprendido podemos crear la siguiente lnea de rdenes: wireshark -i2 -k -f "host 192.168.1.5" -s512 -w captura_ejemplo.pcap -afilesize:10 La captura bajo las condiciones marcadas se parar cuando el archivo creado captura_ejemplo.pcap alcance los 10 KB. La captura se parar, pero no se cerrar Wireshark. Para ello introduciremos la opcin -Q. Lgicamente aadiremos la opcin -w para guardar lo capturado antes de cerrar. Con la opcin -R podemos, al igual que con Tshark, establecer un filtro de visualizacin o Display Filter. Podemos tambin invocar a las estadsticas como si de Tshark se tratase. Se abrir Wireshark e inmediatamente la ventana grfica especificada de estadsticas. wireshark -i2 -k -f "host 192.168.1.245" -zio,stat, La forma de "llamar" a las estdsticas es la misma que para Tshark. Para ello repasad: Tshark, Wireshark en lnea de comandos. (III Parte.) Estadsticas. Tshark, Wireshark en lnea de comandos. (V Parte.) Avanzando en filtros y Estadsticas. Formateo de tiempo. Con la opcin -t podemos formatear la impresin de tiempo en nuestras capturas al abrir Wireshark de diferentes formas: -t ad Formato absoluto fecha y tiempo. -t a Formato absoluto sin dato de fecha. -t r Relativo en segundos entre primer paquete y el actual -t d Tiempo respecto al paquete anterior Veremos entonces como en la columna Time y dependiendo de la opcin usada se cambia el formato:

wireshark -i2 -k -f "host 192.168.1.5" -s512 -t ad wireshark -i2 -k -f "host 192.168.1.5" -s512 t a Enlaces http://www.wireshark.org/docs/wsug_html_chunked/index.html http://wiki.wireshark.org/DisplayFilters http://wiki.wireshark.org/CaptureFilters http://wiki.wireshark.org/CaptureSetup http://seguridadyredes.nireblog.com/cat/wireshark-tshark Dudas Pueden descubrir mis contraseas o password con Wireshark? Si, todas las que viajen por tu red y en forma de texto plano, ejemplo: cualquiera que no sea https:// Otros Sniffer Ettercap, tambien es una sniffer solo que ms enfocado al hacking, por ejemplo con Wireshark no puedes leer los password de un sistema https:// y ettercap si, con ettercap puedes hacer un MIM y tambin puedes lograr hacer un envenenamiento ARP.