Está en la página 1de 11

MANUAL BASICO DE WIRESHARK

Introduccin.
Wireshark es un analizador de paquetes de red, comnmente llamado sniffer.
Es utilizado por administradores de redes para ver el trfico que est pasando
en un momento especfico.
Una de las ventajas que tiene, es que es open source y multiplataforma.
Wireshark ofrece distintos tipos de filtros para leer los paquetes. Captura a
dems cookies y passwords que veremos a continuacin en este tutorial.
Para instalar wireshark simplemente hay que ir a su pgina oficial y
descargarlo.

Si conectsemos un equipo con Wireshark a uno de los puertos del switch, solo
veramos las tramas que transcurren entre el switch y nuestra mquina, y eso no
es lo que pretendemos. El switch divide la red en segmentos, creando dominios
de colisin separados y eliminando, de esta forma, la necesidad de que cada
estacin compita por el medio. nicamente enva las tramas a todos los puertos
(pertenecientes a la misma VLAN) cuando se trata de difusiones broadcast (por
ejemplo, para saber la direccin fsica de alguna mquina).
Una de las alternativas que tenemos para alcanzar nuestro propsito es hacer uso
de un hub, como se aprecia en la Figura 1- Modos de captura y conectarlo en el
mismo segmento de red donde se encuentra nuestro servidor. Al tratarse ahora de
un medio compartido, todo el trfico entre el switch y el servidor podr analizarse
en nuestro equipo.

Figura 1

Partes de Wireshark

Las partes ms importantes del Wireshark.


1 Muestra un listado de las interfaces disponibles que podemos poner a la
escucha de paquetes.
2 Permite configurar algunos parmetros de nuestra interface
3 El filtro permite filtras paquetes separndolos por IP, protocolos, etc
4 Listado de paquetes. Muestra un resumen de los paquetes capturados,
presionando con el otro botn del mouse se listaran opciones disponibles para
manejarlos a gusto.
5 Panel de vista en rbol. Muestra el paquete seleccionado con mayor

detalle.
6 Panel de detalle de los datos. Muestra los datos del panel superior en
formato hexadecimal y ascii
Tambin podemos ver en el men superior las siguientes opciones:
File: Contiene las funciones para manipular archivos y para cerrar la aplicacin
Wireshark.
Edit: Este se puede aplicar funciones a los paquetes, por ejemplo, buscar un
paquetes especifico, aplicar una marca al paquete y configurar la interfaz de
usuario.
View: Permite configurar el despliegue del paquete capturado.
Go: Desde ac podemos ir a un paquete especifico, volver atrs, adelante, etc.
Capture: Para iniciar y detener la captura de paquetes.
Analyze: Desde analyze podemos manipular los filtros, habilitar o deshabilitar
protocolos, flujos de paquetes, etc.
Statistics: Podemos definir u obtener las estadsticas del trafico capturado.
Telephony: Trae herramientas para telefona.
Tools: Opciones para el firewall
Internal: Parmetros internos de Wireshark
Help: Men de ayuda.

Primeros pasos con Wireshark


Una vez instalado, lo abrimos y presionamos sobre el icono marcado en rojo en
la imagen

Esto nos permitir seleccionar nuestra tarjeta de red que pondremos a la


escucha de paquetes.

Para saber que tarjeta poner a la escucha, debemos observar cual es la que
recibe paquetes.
Se puede observar en la imagen que en este caso es la wlan0. Una vez
identificada, damos en Start para comenzar.
Automticamente el programa comenzara a capturar paquetes de la red.
Por ejemplo al navegar un poco con las computadoras por internetse puede ver
que podemos capturar paquetes.

en la figura se muestra un ejemplo de cmo se manifest wireshark cuando se


hace un apt-get install en la consola de Linux

Ah podemos ver de que ip a que ip se mueven los paquetes y porque


protocolo. A dems de esto podemos ver el contenido del paquete que lo
veremos ms adelante en este mismo manual.
Si observamos la imagen, hay una caja de texto llamada Filter.

Esa caja de texto, como bien dice su nombre, permite filtrar paquetes. Y ahora
veremos algunos de los filtros que posee Wireshark para que podamos usar
este sniffer de una forma ms eficiente.
En el filtro se pueden usar operadores lgicos como los siguientes:
?

1 == (Igual que)
2 > (Mayor que)
3 < (Menor que)
4 != (Distinto que)
5 >= (Mayor o igual que)
6 <= (Menor o igual que)
Basndome en el paper de Datasecurity, les dejo a continuacin los parmetros
ms usados en este sniffer

Filtros por IP
[En todos los ejemplos, reemplazar 0.0.0.0 por la ip a filtrar]
?

1 ip.addr = = 0.0.0.0
2 ip.addr = = 0.0.0.0 && ip.addr = = 0.0.0.0 (Para filtrar ms de una IP )
3 ip.addr = = 0.0.0.0 || ip.addr = = 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes de la fuente en direcciones IPv4 especificas:


?

1 ip.src == 0.0.0.0
2 ip.src == 0.0.0.0 && ip.src == 0.0.0.0 (Para filtrar ms de una IP )
3 ip.src == 0.0.0.0 || ip.src == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Para filtrar paquetes del destino en direcciones IPv4 especificas:
?

1 ip.dst == 0.0.0.0
2 ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para filtrar ms de una IP )
3 ip.dst == 0.0.0.0 || ip.dst == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.
Para filtrar paquetes del protocolo ARP entre:
?

1
2
3
4
5
6
7

arp.src.proto (direccin del protocolo de la fuente)


arp.src.hw (direccin hardware de la fuente)
arp.dst.hw (direccin hardware del destino)
arp.src.hw_mac (direccin MAC de la fuente)
arp.dst.hw_mac (direccin MAC del destino)
arp.src.proto_ipv4 (direccin IPv4 de la fuente )
arp.dst.proto_ipv4 (direccin IPv4 del destino)

Para filtrar paquetes del protocolo Ethernet:


?

1 eth.dst == ff:ff:ff:ff:ff:ff (direccin MAC)


2 eth.src == ff:ff:ff:ff:ff:ff (direccin MAC)
3 eth.addr == ff:ff:ff:ff:ff:ff (direccin MAC)
Veremos un ejemplo con uno de los filtros: ip.addr == 192.168.1.37

En este caso debera mostrar los paquetes correspondientes a la ip


192.168.1.37
Se puede ver en verde tambin 192.168.1.1 y esto es porque hace peticin al
router.

Filtro por protocolo


Como vimos hasta ahora, este filtro es muy poderoso, pero se darn cuenta de

su potencial ahora que filtraremos por protocolo.


Algunos de los filtros son estos: tcp, http, pop, dns, arp, ssl, etc.
Con un Sniffer podemos obtener datos muy importantes. Desde cookies hasta
usuarios y contraseas. A modo ejemplo, abrir un FTP y veremos lo que hace
nuestro Wireshark:

Como se puede ver, solo filtre el protocolo FTP. Y tambin notaremos que sac
el user y pass del FTP.
Veremos ahora otros de los protocolos que suele capturar. En este caso hare
un ping a mi blog www.antrax-labs.org

La imagen muestra el protocolo DNS e ICMP. Que si los aadimos en la caja de


texto de filtro, nos los filtrara.
Aqu tenemos filtro por DNS

Cabe aclarar que cada protocolo tiene un color diferente (que puede
modificarse a gusto) para resaltarlos y distinguirlos con mayor facilidad.

Otros filtros
Veremos ahora otros filtros de gran utilidad, como este otro que nos permite
filtrar por dominio o host?
1 http.host == DOMINIO

En este caso lo que se hzo fue poner la url de facebook y robo mi cookie.
Veremos ahora un ejemplo con otra web, pero filtrando nada ms el protocolo
TCP:

Se puede ver de qu ip privada navego hacia que ip publica. En este caso, la ip


pblica es la del foro infiernohacker y abajo muestra la url de referencia.

Otras opciones de Wireshark

Veremos ahora algo que se llama Go to Packet o ir al paquete. Para usar esta
opcin basta con ir a GO >> Go to Packet en el men de la barra superior.
Permite ir a un nmero de paquete que especifiquemos en el cuadro de texto.
Otras de las opciones muy tiles que tiene Wireshark es la de poder mostrar en
formato ascii la lectura de los paquetes capturados para poder as facilitar su
entendimiento
Para ir a esta opcin colocamos en el filtro HTTP y solo basta con clickear con
el botn secundario del mouse y seleccionar Follow TCP Stream

Como se puede ver, se ve mucho ms entendible el cdigo y permite tambin


pasarlo a Hexadecimal, C Array etc.