Sniffers

Bueno empezaremos sin mucho preámbulo con Wireshark…Espero disfruten esta sección:

Wireshark

Antes llamado ethereal, es software libre y con una interfaz algo intuitiva, su principal función es sniffear la red aunque tiene otros recursos malevolos..je je je…. Nosotros lo trabajaremos en plataformas Linux pero también existe para plataformas Windows… Bueno sin mas, veamos algunas funciones de esta herramienta que nos salvara la vida mas de una vez a aquellos que laboramos como Sysadmin.

• Bueno antes que nada, la instalación (Esta es la forma fácil, pero podéis bajarte el .targz y compilarlo):

sudo aptitude install wireshark

Nota: si llegasen a faltar algunas dependencias lo solucionamos dado: apt-get -f install

• Ahora lo ejecutamos estando logueados como superusuario:

#wireshark

• Nos aparece un mensaje indicandonos que estamos como super ususarios, y que podria ser peligroso, le damos en «Aceptar»

• Ahora veamos el panel de entrada

• Ahora veamos… capturemos algo. Para esto nos vamos a Capture>Interfaces y allí escogemos la interfaz por la cual vamos a escuchar en mi caso va a ser la wlano porque estoy conectado por la wireless, veamos:

• Damos clic en «Options» tal y como vemos subrayado en verde en la imagen anterior, y vemos la siguiente ventana:

Nota: la opcion de «Modo promiscuo» deberia ser mas explicada con detenimiento, peor por cuestiones de tiempo, hare una leve introduccion.

Modo promiscuo: Cuando estamos en este modo que es el que generalmente usaremos en Wireshark, lo que supone es: Que estamos escuchando todos los paquetes que atraviesen el dispositivo al que estemos conectado, ya sea un Hub o un Switche, generalmente en un Hub suelen obtenerse mas datos, ya que este trabaja en modo de inundación o mas conocido por medio de Broadcast. Que quiere decir esto? quiere decir que si el Hub tiene 15 puertos y el host A quiere mandarle un dato al host X, el paquete ira por cada puerto preguntando a quien pertenece la MAC destino. Aunque suene un poco confuso para aquellos que no saben como funciona esto. Acá les dejo un enlace en el que pueden documentarse: http://www.monografias.com/trabajos7/swich/swich.shtml …. (No se asusten es la documentación mas corta que he encontrado en monografias… je je je je)….

• Sigamos….Entonces vamos a ver como se veria una captura:

• Ahora para metodos practicos vamos a capturar una contraseña. utilizando filtros (Vale que eso si suele gustaros 🙂
• Entonces primero que todo capturamos paquetes: Capture>options y recordemos que debemos escoge la interfaz por la que estemos conectados a la red. Clic en Start:

• Ahora ingresamos a alguna pagina en la cual viajen los datos en texto plano, y nos logueamos. En mi caso he ingresado a mi plataforma de estudio:

Nota: Vale recordar que cada quien debe escoger donde loguearse, y que debemos ingresar en lugares donde el protocolo que se maneje sea e HTTP, ya que en HTTPS el texto va cifrado… También es importante saber que no es igual de fácil en todas las ocasiones 🙂

• Una vez nos hallamos logueado, vamos a detener la captura:

• Luego vamos a poner un filtro el cual indica que solo nos muestre los paquetes cuyo origen halla sido nuestra dir ip (Esto se hace para que nuestra lectura de paquetes sea mas fácil) damos clic en «Aply«:

ip.src == 192.168.0.101

• Bueno….Despues de esto, aun se ven muchos paquetes, vamos entonces a utilizar otro filtro que nos resume mas. Para añadir mas funciones lo podemos hacer con && o con and en este caso lo haremos con && y agregamos el otro filtro quedando asi:

ip.src == 192.168.0.101 && http.request.method == «POST»

Nota: Se preguntaran porque con el método «POST«..La respuesta es porque el password de los formularios se envía siempre con este método.

• Ahora veamos nuestro usuario y contraseña ingresando en el panel de abajo:

Interesante…. Podemos jugar entonces con nuestra creatividad 🙂