Wireshark, capturando paquetes
En esta pequeña guÃa aprenderemos a capturar paquetes con Wireshark, un proceso bastante sencillo e intuitivo. Lo primero, ejecutar el comando wireshark con lo cual aparecerá la interfaz gráfica.
Nota: Es necesario ejecutar Wireshark con privilegios de root, puesto que de lo contrario no podremos configurar las interfaces de red.
Vamos al menú Capture -> Options, con lo cual veremos lo siguiente:
- Interface: es la tarjeta de red que utilizaremos para realizar la captura de los paquetes.
- Capture packets in promiscuous mode: opción bastante importante. Al estar seleccionada Wireshark captura TODOS los paquetes que la interfaz reciba/envÃe. Cabe hacer una pequeña aclaración: cuando tu equipo está conectado detrás de un hub, la tarjeta de red recibe TODOS los paquetes que transmitan/reciban los equipos conectados al mismo hub. Esto es porque, cuando el hub recibe un paquete lo reenvÃa a todos los puertos conectados, y es el computador quien decide que hacer con ellos (si el paquete es para él, lo recibe; si el paquete es para otro equipo, lo ignora). Esto no sucede asà cuando estamos usando un Switch, puesto que cuando usamos una red switcheada se verifica el destinatario del paquete, antes de enviarlo. Luego veremos cómo vulnerar una red switcheada, de momento prosigamos.
- Limit each packet to: lÃmita el tamaño máximo de cada paquete capturado.
- Capture filter: aunque en la siguiente entrada aprenderemos a usar esta caracterÃstica, no está de más decir que sirve para asignar un filtro a la captura. Los filtros son útiles para mostrar sólo la información deseada, por ejemplo: paquetes enviados por la IP XX.XXX.XXX.XX, o sólo paquetes HTTP, etc.
- File: aquà especificamos el archivo donde serán guardados los paquetes capturados. Es posible además separar los archivos cada vez que alcancen un tamaño, o cada cierto tiempo.
- Stop capture: nos sirve para detener automáticamente una captura después de ciertas condiciones (tiempo, tamaño del archivo de captura y número de paquetes).
- En las opciones de visualización (Display Options), es posible configurar a Wireshark para:
- Actualizar el panel de paquetes cada vez que se capture uno (Update list of packets in real time)
- Realizar un scroll-down cada vez que se capture un paquete (Automatic scrolling in live capture)
- Ocultar el diálogo de información de captura (Hide capture info dialog)
- Por último, las opciones de resolución de nombres (Name resolution) le indican a Wireshark si debe o no intentar resolver las direcciones MAC, el nombre de red y nombre del tipo de transporte, de los paquetes capturados.
Clic en Start para comenzar con la captura de paquetes:
Ahora mismo Wireshark está capturando todos los paquetes posibles de la interfaz de red seleccionada, y guardándolos en el archivo que hayamos especificado (lo que nos permite analizarlo en cualquier momento, reiteradamente, y con diversos programas). Aquà suelen surgir algunas preguntas:
¿Porqué solamente veo los paquetes que envÃa y recibe mi equipo?
Esto puede deberse principalmente a:
- Estás tratando de esnifar una red switcheada (que se conecta mediante un switch, y no un hub)
- Estás conectado a un hub que está configurado como un switch (mismo caso de arriba)
- No configuraste a Wireshark para que esnifara en modo promiscuo (Capture packets in promiscuous mode)
En caso tal que la conexión de tu red esté detrás de un switch, no es posible que veas los paquetes que transmiten y reciben otros equipos. Esto no quiere decir que sea imposible hacerlo; lo más común a realizar en estos casos es un ataque Man in the Middle a través de un ARP Poisoning. Estás técnicas son bastante fáciles de realizar (además de divertidas), pero se salen del tema de esta entrada. En las próximas entradas hablaremos al respecto.
¿Cómo obtengo datos especÃficos?
Para esto es imprescindible el uso de los filtros, sobre todo cuando los paquetes capturados son demasiados. Este tema lo trataremos en la próxima entrada.
¿Cómo recupero archivos enviados y recibidos mientras se realizaba la captura?
Esto es muy sencillo, pero lo explico en la próxima-próxima entrada 
hk dice:
Marzo 26th, 2009 a las 12:37 pm
que tal men no me aparece la interface :s en blanco :S
Cristian dice:
Marzo 26th, 2009 a las 12:53 pm
Hola.
Si no puedes ver los vÃdeos tal vez no tengas configurado adecuadamente tu navegador para reproducir archivos SWF. En cualquier caso, recuerda que puedes descargarlos para verlos localmente.
Un saludo.
Facundo dice:
Junio 22nd, 2009 a las 3:42 pm
CasiDiablo, haber si entendi bien. Si capturo paquetes con el wireshark, obtendre los paquetes que trasmite o van hacia mi equipo, si estoy detras de una red switcheada. Pero, inicio la captura y me trae paquetes de otro equipos ¿porque puede ser esto?.
Saludos
Cristian dice:
Junio 23rd, 2009 a las 9:29 am
Umm… si recibes paquetes de otros equipos, es porque la red tiene un hub la cual retransmite todos los paquetes a todas las máquinas. En ese caso es normal que recibas paquetes de otros PCs.
Un saludo.
Facundo dice:
Junio 23rd, 2009 a las 10:35 am
Analizando un poco la red y los servicios de la misma. Me parece que el motivo por el cual estoy recibiendo mas paquetes de los que deberÃa recibir, es porque hay un NLB con una granja de Terminal Server. Por lo que he leido en microsoft, NLB hace “switch flooding”.
Al estar todo en la misma VLAN, estoy recibiendo el trafico entre los equipos y los Terminal Server.
Hare algunas pruebas (como conectar mi maquina en otra vlan) para ver que sucede y les comento los resultados.
Muchas Gracias.
Muy bueno el blog.