Esta ocasión la herramienta a utilizar es Wireshark.
La documentación la encuentran en:
https://www.wireshark.org/docs/
El enlace de descarga de la aplicación:
https://1.na.dl.wireshark.org/win64/Wireshark-win64-2.2.5.exe
https://1.na.dl.wireshark.org/win32/Wireshark-win32-2.2.5.exe
https://1.na.dl.wireshark.org/src/wireshark-2.2.5.tar.bz2
https://1.na.dl.wireshark.org/win32/WiresharkPortable_2.2.5.paf.exe
Cuál es la finalidad del uso de la herramienta, principalmente el analisis de tramas y paquetes.
Empecemos con la siguiente imagen:
(http://i.imgur.com/OZ7hUYh.png)
La consola esta limpia (sin lanzar comandos aún) a la derecha se encuentra corriendo Wireshark donde están las siguientes características en órden descendente:
- Barra de Menús e Íconos de acceso rápido
- Número de paquete con el timestamp, origen, destino, protocolo utilizado y longitud
- Información detallada de tramas
- Información hexadecimal y raw
Luego de realizar el siguiente comando:
ping localhost Obtenemos la siguiente imagen:
(http://i.imgur.com/udeVdv8.png)
Donde Wireshark ya ha empezado a capturar todos los paquetes que transitan por la interfaz seleccionada.
Ingresando en el paquete número 1, encontramos la siguiente imagen:
(http://i.imgur.com/yE3qylm.png)
Indicando en órden descendente:
- Trama número 1
- Capa 2 del modelo OSI
- Tipo de protocolo que utiliza
- Versión de protocolo
Empezando a conocer qué muestra la aplicación tenemos:
(http://i.imgur.com/c01DgoM.png)
La información que la Trama Número 1 contiene es:
- Interfaz mediante la cual está capturando tramas
- Marcas de tiempo
- Longitud y protocolos
(http://i.imgur.com/sGxU9yi.png)
Dentro de Ethernet II
se encuentra la dirección MAC origen y destino como tambíen la dirección IP origen y destino.
(http://i.imgur.com/zbh9Gao.png)
Muestra la versión del protocolo, tipo de clase, carga efectica de longitud de trama.
(http://i.imgur.com/tWpR8Ln.png)
Muestra la información que fue enviada y cuanto es la longitud.
¿ Porqué es necesario conocer ésta información ?
Empezar a comprender como funcionan las comunicaciones, procesos involucrados, direcciónes origen y destino utilizadas e información que se envía.
De esta forma, es posible entender a los Malwares debido que la mayoría trabaja con sockets. Sin dejar de lado otros aspectos de la comunicación, por ejemplo ARP-SPOOF, MAC-SPOOF y muchas cosas más interesantes.
Las dos imagenes siguientes muestran el estado del comando ping.
Icmp Request
Icmp Reply
(http://i.imgur.com/8alpHts.png)
(http://i.imgur.com/5bqu47G.png)
A partir de aqui, realizaremos un
ping www.google.com.br y estudiaremos que sucede en la comunicación, veremos que protocolos intervienen.
(http://i.imgur.com/QUNcfhg.png)
Tal como la imagen anterior indica, al realizar una consulta por un host la comunicación es:
Protocolos:
La consulta a realizar es mediante el nombre de un host entonces la comunicación necesita conocer su direccíón.
Aquí es recomendable conocer como trabaja cada protocolo.
La siguiente imagen corresponde al primer paquete de la imagen anterior, donde analiza la consulta a [/list]
google.com.br e indica los tipos de protocolos que intervienen.
(http://i.imgur.com/eUi03dZ.png)
La siguiente imagen brinda información detallada del protocolo y puerto.
Con las siguientes incógnitas:
¿ Los puertos son Siempres los mismos ?
¿ La longitud es variable ?
(http://i.imgur.com/p1lgqBs.png)
La siguiente imagen desplega la siguiente informacíon, si el paquete es fragmentado o no (en caso de ser fragmentado llevara un identificador) dirección ip de origen y destino como tambien la geo-localización.
(http://i.imgur.com/Ugl15I8.png)
La última imagen, es bastante intuitiva acerca el protocolo ARP
(http://i.imgur.com/hMwWN2r.png)
-------
En la primer imagen, hay un sector
Apply a display filter donde permite ingresar diferentes tipos y concatenaciones de filtros para monitorear una comunicación.
Al utilizar un Port-Mirroring se estará monitoreando una red entera ya que el puerto del Switch que es monitor copia las tramas hacia mencionado puerto para que sea atrapado por algun software de monitoreo y asi poder conocer lo que pasa en la red.
Wireshark como monitor de red brinda información excepcional, tiene muchos filtros que permiten conocer estadísticamente que protocolos son los más utilizados, filtrar cabeceras Http, estados de conexiones, seguir flujos TCP, analizar como son re-ensamblados los paquetes.
Con las inquietudes
¿ Qué información encontrará si abre el archivo de https://underc0de.org/foro/underc0de/desafio-4-viernes-negro/msg110675/#msg110675 con Wireshark ?
Post para ampliar conocimientos
- https://underc0de.org/foro/talleres-underc0de-213/taller-de-redes-1/
- https://underc0de.org/foro/talleres-underc0de-213/taller-de-redes-2/
- https://underc0de.org/foro/hacking/rompiendo-acceso-ssh-con-fuerza-bruta/
- https://underc0de.org/foro/hacking/introduccion-al-tcpip-escaneo-de-puertos-avanzado-y-dos-(by-woot)/
- https://underc0de.org/foro/hacking/mapeo-de-redes-con-nmap
- https://underc0de.org/foro/redes/top-post-24298/
- https://underc0de.org/foro/redes/introduccion-al-wireshark/
- https://underc0de.org/foro/redes/como-usar-el-comando-ping-en-conexiones-de-redes-(ejemplos-practicos)/
- https://underc0de.org/foro/almacen-de-manuales/manual-de-wireshark/msg20390/#msg20390
- https://underc0de.org/foro/hacking/descifrar-el-trafico-de-sesiones-ssl-o-tls-con-wireshark/msg96739/#msg96739