En el post anterior vimos cómo podíamos realizar un ataque Man in the middle (MITM) , y cómo podíamos conseguir las credenciales de una persona realizando una técnica de sniffing con el programa Cain & Abel.
Hoy vamos a ver algo parecido, vamos a ver cómo podemos esnifar una conexión con el programa Wireshark, este programa va a capturar todos los paquetes que se envíen y se reciban en la red, en la que estamos conectados. Con este programa podremos analizar exhaustivamente la información de cada paquete.
Si queréis descargarlo podéis hacerlo desde su web:
www.wireshark.org
Bien una vez lo tengamos lo abrimos y nos encontraremos con la interfaz de inicio. Para capturar el tráfico lo primero que tenemos que hacer es seleccionar la tarjeta de red que tenga salida a internet, para ello seleccionamos "Interface list" aquí tendremos una lista con todas las interfaces, elegimos la que vamos a utilizar y le damos en aceptar.
Bien una vez lo tengamos lo abrimos y nos encontraremos con la interfaz de inicio. Para capturar el tráfico lo primero que tenemos que hacer es seleccionar la tarjeta de red que tenga salida a internet, para ello seleccionamos "Interface list" aquí tendremos una lista con todas las interfaces, elegimos la que vamos a utilizar y le damos en aceptar.
Comenzará a analizar y a mostrarnos todos los paquetes de información que se envíen o se reciban en la red en la que estemos conectado. Una vez aquí deberemos conocer la IP que estemos utilizando para poder saber que paquetes estamos enviando y cuales son los que estamos recibiendo. Si no sabéis vuestra IP, en windows nos iríamos a Inicio , escribimos cmd y entramos, una vez dentro escribimos "ipconfig", le damos enter, y arriba nos saldrá la IP.
Ya sabemos cuál es nuestra IP, así que ya podemos distinguir entre los paquetes que se envían y los que se reciben. Otra cosa que debemos saber es como crear un filtro para hacer la búsqueda más sencillas en caso de que busquemos una trama de un paquete en concreto, para ello nos iríamos a la barra del buscador que tenemos arriba y aquí escribiríamos el tipo de filtro que queremos utilizar, por ejemplo cómo podéis ver en la imagen de abajo estoy utilizando el filtro "ARP" para que muestre todas las tramas con ese mismo protocolo. Y si quisiéramos salir del filtro le daríamos a "clear".
También debemos saber que con el botón cuadrado rojo de arriba podemos parar de capturar paquetes, de este modo podemos analizar con más comodidad una trama en concreto. Ya por último os voy a explicar un poco como podemos leer la información de cada trama, abajo como podéis ver tenemos varias pestañas para desplegar, aquí nos muestra toda la información de cada paquete.
En el primer apartado "Hypertext transfer protocol" nos enseña la página web que esté enviando o recibiendo ese paquete, y también podemos encontrar el equipo, el sistema operativo, la versión, etc...
En "Transmission control protocol" podremos ver el puerto que está utilizando http y el puerto de destino.
En la siguiente pestaña en "Internet protocol" y aquí veremos la dirección que está mandando el paquete de información y la dirección que lo está recibiendo.
Y ya por último en el apartado de "Ethernet" podremos consultar las direcciones físicas de nuestra "mac" y las de destino.
Esto a sido todo por hoy, nada más, espero que os haya sido de ayuda, nos vemos en el siguiente post, un saludo!