Introduccion al wireshark

Iniciado por aetsu, Abril 01, 2010, 02:14:57 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

TUTORIAL WIRESHARK (parte 1)

   Bueno comenzamos este tutorial de Wireshark, un programa muy potente para el analisis de redes o como dice la wikipedia

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.
   

Lo primero sera descargarnos el Wireshark (obvio xD).
   
      Windows:
   
         No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

      Linux (basados en Debian):

         # apt-get install wireshark

   Una vez descargado lo arrancamos, si es en linux como root.
Nos aparecerá algo como esto:



Ahora iremos a la pestaña Capture>Options y nos aparecera esta ventana:



En interface seleccionamos la targeta con la que queremos sniffar el trafico.
En Capture filter podemos ver una serie de filtros para que facilitar la busqueda de los datos que nos interesen (para el tutorial no pondremos ninguno).

Una vez estemos listos pulsaremos Start y el programa comenzara a hacer su función.


Como veremos la pantalla se divide en tres partes, las que nos interesan son la superior que contiene todos los paquetes sniffados y la inferior que contiene el contenido de cada paquete.

En la pantalla superior, en la columna que pone Info podemos ver una indicacion de lo que contiene el paquete. Por ejemplo si queremos obtener las conversaciones del messenger nos interesara que la parte de info enpiece por MSG.

Para terminar la captura vamos a Capture>Stop. Al salir del programa o cerrar la sesion nos pedira si queremos guardar la captura, ponemos que no y listo.



TUTORIAL WIRESHARK (parte 2 solo para linux)

Bueno despues del tutorial de introduccion vamos a ver otra posibilidad del Wireshark, pero esta vez nos tenemos que bajar otro programa:

      sudo apt-get install tcpxtract

Este programa lo que hace es obtener las imagenes que hubiese entre los paquetes guardados en la captura. Vamos a verlo mas claro en un ejemplo.

1 -  Creamos una carpeta en cualquier directorio, por ejemplo en el del usuario:
         mkdir wire
         cd wire
         mkdir archivos

2 – Arrancamos el Wireshark y hacemos lo anterior para obtener paquetes, vease Captura>Options, seleccionamos la interfaz y le damos a Start.
Ahora iremos a google y buscaremos imagenes en el:



Como vemos el Wireshark ha capturado los paquetes:



3 - File>Save as.



Despues elegimos la carpeta creada anteriormente y le ponemos un nombre, en este caso le pondre capturas.


4 - Una vez echo esto vamos a una terminal, nos dirigimos a la carpeta creada antes (wire) y ponemos:
   
      # tcpxtract --file captura --output archivos

y aparecera esto:



Con esto se generaran en la carpeta archivos todas las imagenes encontradas en "captura".


Si falla el comando

      # tcpxtract --file captura --output archivos

repetirlo hasta que funcione, ya que algunas veces falla.

Bueno con esto ya esta todo.

Un saludo.


Aparentemente puede que no le veais demasiada utilidad a este programa en terminos hack, ya que solo analiza el tráfico que pasa por nuestra targeta. Pero si combinamos el ettercap (redirige todo el tráfico de una o varias maquinas a nuestra targeta de red) y el Wireshark (analiza el trafico que circula por nuestra targeta de red) obtendremos resultados muy interesantes ya que el wireshark ofrece mucha información.

Un saludo.

by Aetsu

hola, muy buen tuto, tengo un pequeño problema, a la hora de tipear el comando, aparentemente funciona bien, pero cuando trato de abrir las imágenes que genero, no se puede ver nada, lo hice una y otra vez y nada, estoy usando backtrack 4
salu2




"Mess with the best, die like the rest"

hace tiempo lo probe y me parece que para abrir las imagenes era necesario estar en modo root!