Wireshark, capturando paquetes
En esta pequeña guía aprenderemos a capturar paquetes con Wireshark, un proceso bastante sencillo e intuitivo. Lo primero, ejecutar el comando wireshark con lo cual aparecerá la interfaz gráfica.
Nota: Es necesario ejecutar Wireshark con privilegios de root, puesto que de lo contrario no podremos configurar las interfaces de red.
Vamos al menú Capture -> Options, con lo cual veremos lo siguiente:
- Interface: es la tarjeta de red que utilizaremos para realizar la captura de los paquetes.
- Capture packets in promiscuous mode: opción bastante importante. Al estar seleccionada Wireshark captura TODOS los paquetes que la interfaz reciba/envíe. Cabe hacer una pequeña aclaración: cuando tu equipo está conectado detrás de un hub, la tarjeta de red recibe TODOS los paquetes que transmitan/reciban los equipos conectados al mismo hub. Esto es porque, cuando el hub recibe un paquete lo reenvía a todos los puertos conectados, y es el computador quien decide que hacer con ellos (si el paquete es para él, lo recibe; si el paquete es para otro equipo, lo ignora). Esto no sucede así cuando estamos usando un Switch, puesto que cuando usamos una red switcheada se verifica el destinatario del paquete, antes de enviarlo. Luego veremos cómo vulnerar una red switcheada, de momento prosigamos.
- Limit each packet to: límita el tamaño máximo de cada paquete capturado.
- Capture filter: aunque en la siguiente entrada aprenderemos a usar esta característica, no está de más decir que sirve para asignar un filtro a la captura. Los filtros son útiles para mostrar sólo la información deseada, por ejemplo: paquetes enviados por la IP XX.XXX.XXX.XX, o sólo paquetes HTTP, etc.
- File: aquí especificamos el archivo donde serán guardados los paquetes capturados. Es posible además separar los archivos cada vez que alcancen un tamaño, o cada cierto tiempo.
- Stop capture: nos sirve para detener automáticamente una captura después de ciertas condiciones (tiempo, tamaño del archivo de captura y número de paquetes).
- En las opciones de visualización (Display Options), es posible configurar a Wireshark para:
- Actualizar el panel de paquetes cada vez que se capture uno (Update list of packets in real time)
- Realizar un scroll-down cada vez que se capture un paquete (Automatic scrolling in live capture)
- Ocultar el diálogo de información de captura (Hide capture info dialog)
- Por último, las opciones de resolución de nombres (Name resolution) le indican a Wireshark si debe o no intentar resolver las direcciones MAC, el nombre de red y nombre del tipo de transporte, de los paquetes capturados.
Clic en Start para comenzar con la captura de paquetes:
Ahora mismo Wireshark está capturando todos los paquetes posibles de la interfaz de red seleccionada, y guardándolos en el archivo que hayamos especificado (lo que nos permite analizarlo en cualquier momento, reiteradamente, y con diversos programas). Aquí suelen surgir algunas preguntas:
¿Porqué solamente veo los paquetes que envía y recibe mi equipo?
Esto puede deberse principalmente a:
- Estás tratando de esnifar una red switcheada (que se conecta mediante un switch, y no un hub)
- Estás conectado a un hub que está configurado como un switch (mismo caso de arriba)
- No configuraste a Wireshark para que esnifara en modo promiscuo (Capture packets in promiscuous mode)
En caso tal que la conexión de tu red esté detrás de un switch, no es posible que veas los paquetes que transmiten y reciben otros equipos. Esto no quiere decir que sea imposible hacerlo; lo más común a realizar en estos casos es un ataque Man in the Middle a través de un ARP Poisoning. Estás técnicas son bastante fáciles de realizar (además de divertidas), pero se salen del tema de esta entrada. En las próximas entradas hablaremos al respecto.
¿Cómo obtengo datos específicos?
Para esto es imprescindible el uso de los filtros, sobre todo cuando los paquetes capturados son demasiados. Este tema lo trataremos en la próxima entrada.
¿Cómo recupero archivos enviados y recibidos mientras se realizaba la captura?
Esto es muy sencillo, pero lo explico en la próxima-próxima entrada 
33 Comentarios | deja el tuyo
Muy buenas entradas. Me interesa mucho el tema. Ya estoy impaciente por las que vengan.
Un saludo
MI COMENTARIO EN REALIDAD NO TIENE QUE VER CON EL TEMA, EN REALIDAD DESEOS EXPRESAR MI CRITERIO SOBRE EL PREMIO PRICIPE DE ASTURIAS CONCEDIDO A INGRID BETANCURE.
VISITEN MI BLOG Y SE DARAN CUENTA
PERDON “CASIDIABLO” POR ROBARME EL ESPACIO..
CasiDiablo, si te quieres evitar trabajo innecesario y consideras que merece la pena te ofrezco éste artículo sobre el ataque man-in-the-middle (así puedes dedicarte a cosas más productivas/interesantes)
Igualmente comentarte que desde el lector de RSS las imágenes aparecen con un texto indicando que visiten tu web para ver la imagen correctamente. No se si es un problema del script que estás usando para evitar el hotlinking o es que realmente quieres que suceda eso.
Un saludo
@Informático de Guardia: Muchas gracias por el enlace. De hecho no tenía intención de explicar mucho acerca del Man in the Middle, y solo iba a recomendar un vídeo tutorial de otra web. Pero ya que avisas, pongo un enlace a tu blog también.
Un saludo!
Un placer ayudar… así tendrás más tiempo para otros artículos de interés como éste
que tal men no me aparece la interface :s en blanco :S
Hola.
Si no puedes ver los vídeos tal vez no tengas configurado adecuadamente tu navegador para reproducir archivos SWF. En cualquier caso, recuerda que puedes descargarlos para verlos localmente.
Un saludo.
CasiDiablo, haber si entendi bien. Si capturo paquetes con el wireshark, obtendre los paquetes que trasmite o van hacia mi equipo, si estoy detras de una red switcheada. Pero, inicio la captura y me trae paquetes de otro equipos ¿porque puede ser esto?.
Saludos
Umm… si recibes paquetes de otros equipos, es porque la red tiene un hub la cual retransmite todos los paquetes a todas las máquinas. En ese caso es normal que recibas paquetes de otros PCs.
Un saludo.
Analizando un poco la red y los servicios de la misma. Me parece que el motivo por el cual estoy recibiendo mas paquetes de los que debería recibir, es porque hay un NLB con una granja de Terminal Server. Por lo que he leido en microsoft, NLB hace “switch flooding”.
Al estar todo en la misma VLAN, estoy recibiendo el trafico entre los equipos y los Terminal Server.
Hare algunas pruebas (como conectar mi maquina en otra vlan) para ver que sucede y les comento los resultados.
Muchas Gracias.
Muy bueno el blog.
Que tal Cristian nuevamente molestandote. Mi pregunta es a siguiente, mi lap detecta varias redes inalambricas, de todas tengo la clave es decir que a cualquiera puedo conectarme, pero siempre que inicio el wireshark solo “snifa” en una sola red, como le digo a que red olfatear?
Muchas gracias
Te aclaro un par de cosas:
Como son inalámbricas, te va a capturar el tráfico solo de aquella en la cual estés conectado.
Si deseas capturar tráfico de redes inalámbricas, lo mejor es que pruebes suites como aircrack o kismet.
Un saludo, que tengas buen día.
Hola cristina me parece interesante tu pagina observe los videos y el contenido bueno observe k puedes ver las contraseñas de una pagina a donde visitas.
1, Dime como puedo hacer para ver las de el msn??? todo bajo windows ..
2. tengo el programa wifislax 3.1 k tiene incluido el wireshark para poder sacar el ip de la red uso el aircrack-ptw y luego de haberla hackeado uso el airdecap para k desempaquete luego el wireshark y me sale en algunos casos diferentes ip sabes k es necesarios sacar el ip pork no siempre todas las redes tiene el iip 192.168.1.1 en este caso se me presentan ejem.. 10.30.20.5
40.65.36.6
32.68.63.9
me vota ip diferentes y no se cual es me crea una confusion como saver el ip verdadero bueno en algunos casos k el ip es diferente al de telefonica lo puedo sacar pork solo s emuestra uno solo y con respecto a la pregunta de TheRulko a mi si me salen todas las ip de los k estan conectada sa ese red o torre como la llamo bueno espero cristhian me puedas ayudar a mis preguntar te agradesco de antemano . un gustaso y felicitaciones por tu foro sta legal e. (Y)
Perdon me confundi al principio te dije cristina jij sorry.. cristian a mi correo es asgr_25@hotmail.com suerte . espeor tu rspsta ok. gracias e
cristian me olvide aclarate k lo k deseo es hacerlo bajo windows ok pork el wifislax lo uso bajo linux sorry gracias
asrg
Primeramente wifislax no es un programa,sino un S.O linux especializada en auditoria wifi.
Que quiere decir eso,entorno linux con programas para auditar redes inalambricas.
Si yo fuera cristian no te contestaba,ni aqui ni en tu correo,con todos mis respetos y sin animo de ofender.
En eso se basan los foros ,para que todos podamos aprender,cosa que tu estas anulando a los demas con decir que te contesten a tu email. Por tu manera de plantear tu problema das a entender que tienes poco conocimiento. Eso supone un esfuerzo extra a la persona que te tiene que explicar las cosas porque seguro que habra muchas cosas que no entenderas,
1 -Me imagino que quieres sacar la ip de una red privada porque tendra el dhcp desactivado,eso es igual a que las ips son manuales y tienes que poner una ip manual sino no tienes internet.
2-Eso lo hace kismet y sin tener que “hackear” nada…
3-Wireshark saca informacion de msn,investiga un poco que no es tan dificil.
una pista,”protocolos”
otra pista, primero pruebalo con tu ordenador,conecta el wireshark y luego logeate en msn.
has escrito: lo que deseo es hacerlo bajo windows ok pork el wifislax lo uso bajo linux sorry gracias
respuesta
no hay un wifislax bajo windows.
Lo que si hay para windows es la suite aircrack-ng,logicamente para linux tambien esta.
un saludo