Wireshark, capturando paquetes
En esta pequeña guía aprenderemos a capturar paquetes con Wireshark, un proceso bastante sencillo e intuitivo. Lo primero, ejecutar el comando wireshark con lo cual aparecerá la interfaz gráfica.
Nota: Es necesario ejecutar Wireshark con privilegios de root, puesto que de lo contrario no podremos configurar las interfaces de red.
Vamos al menú Capture -> Options, con lo cual veremos lo siguiente:
- Interface: es la tarjeta de red que utilizaremos para realizar la captura de los paquetes.
- Capture packets in promiscuous mode: opción bastante importante. Al estar seleccionada Wireshark captura TODOS los paquetes que la interfaz reciba/envíe. Cabe hacer una pequeña aclaración: cuando tu equipo está conectado detrás de un hub, la tarjeta de red recibe TODOS los paquetes que transmitan/reciban los equipos conectados al mismo hub. Esto es porque, cuando el hub recibe un paquete lo reenvía a todos los puertos conectados, y es el computador quien decide que hacer con ellos (si el paquete es para él, lo recibe; si el paquete es para otro equipo, lo ignora). Esto no sucede así cuando estamos usando un Switch, puesto que cuando usamos una red switcheada se verifica el destinatario del paquete, antes de enviarlo. Luego veremos cómo vulnerar una red switcheada, de momento prosigamos.
- Limit each packet to: límita el tamaño máximo de cada paquete capturado.
- Capture filter: aunque en la siguiente entrada aprenderemos a usar esta característica, no está de más decir que sirve para asignar un filtro a la captura. Los filtros son útiles para mostrar sólo la información deseada, por ejemplo: paquetes enviados por la IP XX.XXX.XXX.XX, o sólo paquetes HTTP, etc.
- File: aquí especificamos el archivo donde serán guardados los paquetes capturados. Es posible además separar los archivos cada vez que alcancen un tamaño, o cada cierto tiempo.
- Stop capture: nos sirve para detener automáticamente una captura después de ciertas condiciones (tiempo, tamaño del archivo de captura y número de paquetes).
- En las opciones de visualización (Display Options), es posible configurar a Wireshark para:
- Actualizar el panel de paquetes cada vez que se capture uno (Update list of packets in real time)
- Realizar un scroll-down cada vez que se capture un paquete (Automatic scrolling in live capture)
- Ocultar el diálogo de información de captura (Hide capture info dialog)
- Por último, las opciones de resolución de nombres (Name resolution) le indican a Wireshark si debe o no intentar resolver las direcciones MAC, el nombre de red y nombre del tipo de transporte, de los paquetes capturados.
Clic en Start para comenzar con la captura de paquetes:
Ahora mismo Wireshark está capturando todos los paquetes posibles de la interfaz de red seleccionada, y guardándolos en el archivo que hayamos especificado (lo que nos permite analizarlo en cualquier momento, reiteradamente, y con diversos programas). Aquí suelen surgir algunas preguntas:
¿Porqué solamente veo los paquetes que envía y recibe mi equipo?
Esto puede deberse principalmente a:
- Estás tratando de esnifar una red switcheada (que se conecta mediante un switch, y no un hub)
- Estás conectado a un hub que está configurado como un switch (mismo caso de arriba)
- No configuraste a Wireshark para que esnifara en modo promiscuo (Capture packets in promiscuous mode)
En caso tal que la conexión de tu red esté detrás de un switch, no es posible que veas los paquetes que transmiten y reciben otros equipos. Esto no quiere decir que sea imposible hacerlo; lo más común a realizar en estos casos es un ataque Man in the Middle a través de un ARP Poisoning. Estás técnicas son bastante fáciles de realizar (además de divertidas), pero se salen del tema de esta entrada. En las próximas entradas hablaremos al respecto.
¿Cómo obtengo datos específicos?
Para esto es imprescindible el uso de los filtros, sobre todo cuando los paquetes capturados son demasiados. Este tema lo trataremos en la próxima entrada.
¿Cómo recupero archivos enviados y recibidos mientras se realizaba la captura?
Esto es muy sencillo, pero lo explico en la próxima-próxima entrada 
33 Comentarios | deja el tuyo
como hago para engañar a un equipo haciendole creer que los paquetes que le envie desde un pc se los estoy enviando desde otro pc.
Para eso tendrías que modificar los encabezados de los paquetes TCP/UDP/ICMP spoofeando la IP…
Puedes buscar información sobre raw sockets…
Un saludo!
Hola Cristian:
Mira tengo un programa que encripta llamadas entre celulares, pero necesito demostrar que funciona interviniendo una llamada telefónica entre celulares para que vean el “antes y el “despues”, ¿que programa me recomiendas para intervenir la llamada? o ¿como puedo hacer esta demostración ?, de antemano agradezco tu apoyo o de quien pueda dármelo. incluso podemos negociar algo.
jejejeje me gusto este lugar….
soy un usuario nuevo.. ya se sacar contraceñas wep y wpa
pero ahora quiero aprender mas!
leereeee lo que pille por aca
buen trabajooo chikos!!
hola cristian
Veras yo uso el wifislax para hakear redes hasta i xevere pero cuando quiero saber la IP del servidor o el host , utilizo el wireshark y voy a la opcion protocolo para ver la IP del servidor , ahora va mi pregunta cual de todos es man o a donde voy para saber la IP del host
hola amigo marianex yo tmb c sacar las contraseñas web pero me falta la WPA, me puedes enseñar asacar las contraseñas WPA mi msm es joker_1359@hotmail.com te agradecere bastante man.
Tb saco contrseñas wep pero no wpa si alguien me da una ayudadita con gusto,.. mayormente lo hago cuando robo señal de las torres claro,.. pero si se dan cuenta ahora poco a poco stan desaparecienod las wpa y wep y mas existen las libres y cuando uno saca su ip y su filtrado mas (cliente) y logras ingresar te das cuenta k tiene hos no tienes acceso salvo k tengas el pass es por eso k kiero aprender mas a fondo el wireshark para poder capturar paquetes y esperar k alguien ingrese y me suelte el pass si alguien me ayuda muchas gracias. atte. asgr
Pl4g4:
Claro k si se k es un sist, Op. y las tantas cositas k me rectificastes pero aun asi gracias por decirlo ,.. y haver si me das una ayudadita como sacar el pass de los hotspot xq eso es lo k se esta implementando ahroa ya no las wep .. gracias de ante mano .. atte. asgr
Hola asgr
un saludo
primeramente si te rectifico es para aclarar cosas que veo que no tienes muy claras, en ningun momento te rectifico para reimre de ti ni nada similar. Por otro lado tema wpa al menos donde yo vivo cada dia veo mas, antiguamente era extraño ver una wifi con wpa.
Tema hotspot,hay formas de conectarte, pero creo que este no es el foro apropiado… pero si quieres saber mas del tema busca: encapsular trafico por dns, a se me olvidaba,este metodo que yo sepa a dia de hoy solo se puede hacer con linux, lo cual sino recuerdo mal eres usuario pura sangre de guindos
A por cierto tengo buenas noticias para ti asgr, he visto algun tutorial que lo hacen con windows, aunque la pregunta del millón es:
como se te da ms-dos???
Pl4g4 :
Como ya te dije o te di a entender lo k hago lo hago bajo linux el con wifi 3.1 k incluye wires pero me intreso usar el wires en win pork keria sacar el pass de unas chicas en un ciber en win o linux tengo entendido k es son los mismos metodos para desenkriptar asi k no hay problem Pl4g4, mas bn dame una ayuda si sk sabes en lo k se refier a HOST ps como trabajo instalando inter ahora me doy con la sorpresa de k son libres peor con host bueno si sk tienes una idea o metodo de como sacar su pass para poder igresar ya k me sale una pagina como entender k me pide Usu y Pass.. solo eso si bye gracias de antemano atte asgr.
asgr:
El mayor problema que tienes es que esperas a que alguien te conteste sin apenas averiguar cosas como”encapsular trafico por dns” si hubieras buscado información sabrias que este metodo te puedes conectar a un hotspot sin poner user y pass… otra cosa que veo es que tambien te han dado la solución en comentarios anteriores sobre el wireshark para conseguir passwords y ni siquiera te has molestado en buscar información. A mi me ha costado lo mio aprender ciertas cosas, pero al menos buscaba información, hacia y hago pruebas a diaro, intento entender el funcionamiento.
Como comprenderas no voy a hacer la faena por ti, ademas esto que hago es bueno para ti. Si realmente quieres aprender lee, lee y lee. Y por acabar te decia que tal ibas con ms-dos porque te iba a pasar un link con el metodo de conectarse a un hotspot con guindos pero ni siquiera te has molestado en contestar la pregunta me das a entender que no tienes ni idea de lo que es el ms-dos. Un saludo y buen fin de semana a todos.
buenas tardes uso wireshark para capturar paquetes que son enviados a mi servidor desde un dispositivo movil que envia info de su estatus veo los paquete pero en la parte de data me aparece la info como en hexa pero la copio y la trato de convertir a ascii y no lo hace que puedo hacer para interpretar esos datos gracias por su atencion
Hola Miguel…
En ese caso debes saber qué es lo que trasmite ese dispositivo y en qué formato. Si fuera texto plano en Ascii bastaría con lo que haces…. pero, ¿y si se trata de UTF-8 o Unicode o cualquier otro sistema de codificación? o peor ¿qué tal si lo que envía no es texto sino datos binarios específicos de ese dispositivo?
En cualquier caso, deberías saber exactamente qué tipo de datos envía ese dispositivo si quieres saber cómo leerlos
Un saludo.