Wireshark.

Analiza el trfico de una red Wireshark (antes llamado Ethereal), es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didctica para educacin. Es un sniffer que te permite capturar tramas y paquetes que pasan a travs de tu interfaz de red. Cuenta con todas las caractersticas estndar de un analizador de protocolos. Cmo instalar wireshark Para instalar wireshark en Ubuntu, abrimos el terminal (Aplicaciones/Accesorios/Terminal) y escribimos lo siguiente: sudo apt-get install wireshark Una vez instalado, encontraremos wireshark en Aplicaciones/Internet/Wireshark.

Funcionamiento de wireshark Para empezar a capturar paquetes nos dirigimos a Capture/Interfaces. Aparecer entonces una lista de nuestros interfaces de red.

Pulsando el botn Start de una de las interfaces, empezaremos a capturar paquetes de esa tarjeta de red. Para detener la captura haremos clic sobre Capture/Stop. En la ventana principal de la aplicacin aparecern entonces los paquetes capturados.Wireshark muestra la informacin capturada en tres secciones principales.

En la primera seccin aparece un listado de los paquetes capturados con su informacin ms relevante. En la segunda seccin podemos observar los detalles del protocolo seleccionado en la seccin 1. En la ltima seccin se muestran los paquetes en bruto, es decir, tal y como fueron capturados por la tarjeta de red. Filtrando paquetes con Wireshark Como la informacin obtenida puede ser muy grande, podemos filtrar los paquetes para mostrar slo aquellos que cumplen los requisitos indicados. Para filtrar paquetes debemos dirigirnos a Capture/Options y escribir el filtro que queramos en Capture Filter.

Veamos a continuacin algunos ejemplos de filtros. Para filtrar paquetes en base a una direccin IP o nombre de equipo se utiliza la palabra reservada

host. Por ejemplo, si quiero capturar solamente el trfico que vaya hacia o desde la direccin IP 192.168.1.1, escribira lo siguiente: host 192.168.1.1 Voy a capturar, por ejemplo, los paquetes que se enven o se reciban desde la direccin IP 217.76.156.108. Esta IP corresponde al servidor que contiene mi pgina web (www.alejandrox.com). As pues, voy a Capture/Options y escribo host 217.76.156.108 en Capture Filter. Pulso a continuacin sobre el botn Start para comenzar a capturar paquetes. Si ahora voy a la direccin www.alejandrox.com, podr ver que Wireshark comienza a mostrar una lista de paquetes. En la imagen (clic para agrandar) he seleccionado un paquete capturado. Si observis detenidamente la informacin (abajo, en la tercera seccin), veris que el paquete contiene capturado contiene texto que aparece en la web.

Despus de la palabra reservada host podemos poner una direccin IP o el nombre de un equipo. Por ejemplo: host www.alejandrox.com Para filtrar los paquetes que tienen una direccin exclusivamente como origen podemos utilizar src host. Ejemplo. src host 192.168.1.1 O como destino: dst host 192.168.1.1 As mismo, es posible filtrar de acuerdo a la direccin de capa 2, es decir, la direccin MAC (en el caso de ethernet). Por ejemplo, para filtrar todo lo que tenga como destino ff:ff:ff:ff:ff:ff utilizariamos el siguiente filtro: ether host ff:ff:ff:ff:ff:ff

O podemos indicar si queremos que capture solo el trfico que tiene una direccin exclusivamente como origen o destino usariamos alguno de los siguientes: ether src 00:f9:06:aa:01:03 ether dst 00:f9:06:aa:01:03 Podemos incluir ms de una condicin en los filtros que utilicemos. Para ello nos ayudaremos de los operadores lgicos and, or y not. Por ejemplo, si queremos filtrar todos los paquetes que tengan como origen la direccin 192.160.1.1 y tengan como destino la direccin 192.160.1.2, utilizariamos el siguiente filtro: host src 192.160.1.1 and src 192.160.1.2 Filtros de display Otro tipo de filtros que podemos utilizar son los filtros de display, que son mucho ms completos y flexibles.Los filtros de display se escriben en el lugar en que se indica en la siguiente imagen. Una vez escrito el filtro, tan slo hay que pulsar sobre el botn Aplicar. Para eliminar el filtro hay que pulsar sobre el botn Limpiar.

Wireshark cuenta con un asistente para crear filtros de display. Si hacemos clic sobre el botn Filter, aparecer la siguiente ventana en la que aparecen algunos filtros ya predefinidos. Si queremos capturar, por ejemplo, todo el trfico HTTP, tendramos que seleccionar HTTP en la lista de filtros.

Para utilizar filtros de display tambin podemos hacer clic sobre el botn Expression. Aparecer entonces una ventana como la siguiente.

En esta ventana se muestran una lista enorme de campos para que seleccionemos aguno. As mismo, es necesario indicar como lo vamos a comparar usando la columna Relation y finalmente el valor con el que se ser comparado que se indica en Value. Descubriendo contraseas con Wireshark En mi pgina web he creado un pequeo formulario en el que hay que rellenar dos campos, nombre de usuario y contrasea. El formulario lo podis ver en la siguiente direccin: www.alejandrox.com/validacion.htm En mi red de rea local sospecho que hay varios usuarios que estn conectndose a esa pgina introduciendo su nombre de usuario y contrasea. Vamos a ver cmo podramos capturar la contrasea que escriben en el campo Password muy fcilmente con Wireshark.

En primer lugar empezamos a capturar tramas con Wireshark y esperamos un tiempo prudencial hasta que pensemos que alguien se ha conectado ya a la pgina y escrito su contrasea. En mi caso he capturado ms de 10000 paquetes en total, ya que hay otros ordenadores de la red que estn transmitiendo y recibiendo paquetes. As pues, tengo que filtrar paquetes de alguna forma para lograr mi propsito. Lo primero que se me ocurre es filtrar paquetes HTTP. As pues, escribo http en Filter (filtro de display). De esta forma obtengo un total de 140 paquetes, as que tengo que filtrar an ms la informacin. Lo siguiente que se me ocurre es obtener la direccin IP de www.alejandrox.com para filtrar los paquetes que van dirigidos a esa direccin. Cmo obtengo la direccin IP de www.alejandrox.com? Pues muy sencillo, con un simple ping a www.alejandrox.com: ping www.alejandrox.com Haciendo un ping obtengo la direccin IP 217.76.156.108. Voy ahora a Wireshark y escribo el siguiente filtro: http and ip.dst==217.76.156.108. ! Ahora salen tan slo tres tramas!. Examino la informacin de las 3 tramas y me encuentro con esto:

Ya he obtenido la contrasea! (salamandra). Obviamente la contrasea la he podido averiguar porque se transmite en texto plano sin ningn tipo de codificacin y a travs de una pgina no segura. La cosa sera muy diferente si sta fuera encriptada por la red Veamos otro ejemplo. En la red del aula en la que imparto clases hay un servidor de ficheros con IP 192.168.1.254. Voy a copiar un documento de texto plano, que tengo en mi ordenador, a una carpeta del servidor. Se trata de averiguar con Wireshark el

contenido de dicho fichero de texto (sin abrirlo, claro). As que en pongo en marcha Wireshark, copio el documento de texto a una carpeta del servidor y a continuacin detengo la captura de tramas.A continuacin filtro las tramas para que slo se me muestren aquellos paquetes que van dirigidos a la direccin 192.168.1.254. ip.dst==192.168.1.254 Examinando la lista de paquetes en Wireshark, observo que en la columna Info aparece Write and Request. Hago clic sobre el paquete y observo, que en la seccin inferior, aparece el contenido del documento de texto (en un lugar de la mancha.)