Moloch, el wireshark via web de AOL para forenses de red

No es la primera vez que una de las compañías grandes publica una herramienta que, al parecer lleva utilizando durante mucho tiempo, y que posteriormente deja a disposición de todo el mundo.

Hoy os hablamos de Moloch, herramienta via web para análisis de tráfico de red (open source), que nos llega por parte del gigante de las telecomunicaciones, AOL.

A grandes rasgos, ¿qué nos aporta frente al conocido por todos Wireshark?

• Se utiliza y gestiona vía web
• Está muy enfocado al análisis forense, por lo que hay disponibles plugins muy concretos para dichos menesteres (como por ejemplo, Geolocalización de tramas, reglas de Yara...)
• Facilidad para la búsqueda e indexado de información dentro de las capturas de red
• Posibilidad de crear GUIs propias debido a que hay disponible una API para todo el mostrado de información
• Para el análisis en tiempo real, es posible disponer de una arquitectura distribuida sobre la que mantener sus componentes (bases de datos, indexados, visor de eventos...) y almacenar capturas de tráfico para su posible investigación futura.

Sobre los componentes de esta herramienta, tendremos los siguientes:

1. capture - el elemento (escrito en C) que nos permitirá capturar tráfico directamente desde la fuente por cada interfaz de red de la que nos interese obtener información.
2. viewer - aplicación en node.js que se ejecuta por cada máquina en red y que mantiene la interfaz web y la transferencia de ficheros PCAP.
3. elasticsearch - tecnología de base de datos que nos facilitará la tarea de búsqueda de información.

Ejemplo simple de arquitectura para Moloch

Interfaz de la versión 0.8.0 de Moloch

Gracias a la interfaz, tendremos diferentes visualizaciones que nos facilitarán la tarea en la investigación, como es el caso del modo "Connections", el cual mediante un grafo nos visualizará relaciones entre los elementos involucrados, o el visor "SPI View" con el que podemos filtrar la información en base a multitud de criterios y elementos procesados.

Visualizador de conexiones según búsqueda realizada en base de datos de tráfico en Moloch

Vista SPI con filtrado e indexado de información almacenada en capturas de tráfico

Sin duda una herramienta a tener en cuenta, que nos permitirá llevar el análisis de tráfico a un nuevo nivel, y nos dará más visibilidad en nuestras tareas diarias en las que necesitemos investigar actividad de red de una manera ágil e intuitiva.

Si quieres probar la herramienta de manera online a modo de demo, podrás acceder a la siguiente URL:

• https://moloch.wow.com/

utilizando moloch/moloch como credenciales.

[+] Página del proyecto moloch de AOL

[+] Presentación de la herramienta en SchmooCon 2013 | Video

 

Fuente: http://www.securitybydefault.com/2014/11/moloch-el-wireshark-via-web-de-aol-para.html

Cómo capturar cookies y usarlas

Buenas, en este tutorial explicaré cómo robar las cookies de alguien que esté usando nuestra misma red y cómo usarlas nosotros.

Para este tutorial necesitaremos:

-Un addon que permita editar cookies.
-Un sniffer.

Yo voy a usar:



Wireshark

Cookies Manager+ para FireFox

Para practicar el tutorial recomiendo hacerlo con 2 ordenadores conectados en la misma red, aunque también podríamos practicar desde uno, capturando las cookies, borrar las cookies de nuestro pc, y volver a poner manualmente las que hemos capturado. Aunque no tendría mucho sentido sirve para practicar.

Comenzemos, abrimos Wireshark (o el sniffer que estemos usando) y comenzamos a capturar, pero solo tcp port http:



Pulsamos start y comenzará a capturar el tráfico de red, pero nosotros vamos a buscar solo los que contengan cookies, ponemos: http contains "Cookie":



Aunque en la imagen aparezca en minúscula, la C mayúscula es importante, ya que distingue entre ambas, y casi siempre va en mayúscula.
Y ahora nos vamos a nuestro pc victima y nos logueamos en alguna web, por ejemplo tuenti, y volvemos a nuestro pc atacante y vemos que el sniffer habrá capturado algo:



Ahora tenemos que buscar el que nos interesa, como sabemos que la página de tuenti a la que vamos cuando nos identificamos es "/?m=Home:



Ahora comenzaremos a robar la cookie, para ello hacemos click derecho sobre ella y seleccionamos 'Follow TCP Stream'.
Y nos aparecerá una ventana con todo lo que necesitamos, los datos que necesitamos buscar son:

Nombre:
Contenido:
Host:

El nombre en este caso es 'sid' (después explicare por qué), al saber el nombre ya podemos buscar el contenido, tenemos que buscar algo así:
sid=FC-9AwA.... (pero con más carácteres)
El host nos aparece en muchos lugares, por ejemplo en la segunda línea, en este caso es:
www.tuenti.com

Bueno pues ya hemos recolectado todo lo que necesitamos, ahora nos vamos a FireFox y abrimos, en este caso, Cookie Manager +, nos vamos a File y pulsamos en Add, o pulsamos el botón Add de abajo. Y comenzamos a rellenar:



Pulsamos save y listo, ya estamos logueados en la sesión de la victima.

Por último explico que los nombres los tienes que averiguar descartando, es decir, te logueas desde tu cuenta, abres el Cookies Manager + (por ejemplo) y desde ahí eliminas una por una las cookies, y cuando al eliminar una se te cierre sesión de tu cuenta ya sabes que ese es el nombre de la que te interesa.

Fuente: http://masters-hackers.info/showthread.php?t=5883

Wireshark. Herramientas CLI. Datos estadísticos completos de todos nuestros ficheros cap/pcap a CSV / Excel.

Ya vimos en su momento como obtener información de un determinado fichero pcap / cap con la herramietna CLI de Wireshark Capinfos.

En esta ocasión vamos a recopilar información estádistica de todos nuestros ficheros para volcarlo a . archivo .CSV y de este, por ejemplo, a una hoja Excel, LibreOfficce, etc.

En el anterior artículo sobre capinfos os conté:
“Respecto a la información idependiente que podemos sacar de cada fichero tenemos:

• -t tipo. (porque puede leer varios tipos)
• -E tipo de encapsulado
• -c número de paquetes
• -s tamaño archivo captura
• -d tamaño archivo datos
• -u duración captura
• -a tiempo comienzo y -e final de captura
• -S los dos datos de comienzo y final
• Promedios
• -y promedio datos (in bytes/sec)
• -i promedio datos (in bits/sec)
• -z promedio tamaño paquetes (in bytes)
• -x promedio  paquetes (in packets/sec)

Para formatear los datos, tablas, etc, tenemos una serie de opciones. Las vemos con ejemplos:
Queremos crear una tabla con los datos de tipo, tipo encapsulado, número de paquetes de todos nuestros archivos. Usamos para ello -T para crear la tabla…..”
Pues bien ahora vamos a obtenr una serie de datos de todos nuestros ficheros pcap / cap y lo volcamos a .CSV:
capinfos -tcausx -T -m *.*cap > mis_capturas.csv
el resultado es:

una vez que tenemos el archivo .csv, importamos desde una hoja de cálculo:

Tendremos de esta forma una relación de todos nuestros ficheros de captura, tipos, fechas, estadísticas ,etc.
===
Hasta aquí por hoy. Hasta la próxima.

fuente:https://seguridadyredes.wordpress.com/2011/03/09/wireshark-herramientas-cli-datos-estadisticos-completos-de-todos-nuestros-ficheros-cappcap-a-csv-excel/

Wireshark. Extracción ficheros binarios y Objetos HTTP.

Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante la conexión. También es posible extraer ficheros binarios de una captura determinada.

Extracción binarios en Wireshark.
Lo vemos con un ejemplo muy básico y sencillo. Tenemos una captura .pcap de una sesión FTP en la que se ha descargado un archivo:

Si nos situamos en el paquete 44 y hacemos un Follow TCP Stream, obtenemos:

Tenemos marcada la opción Raw. Salvamos el archivo con estensión .jpg ya que hemos visto que se trata de un fichero .jpg (JFIF).
Vemos el contenido del archivo que se trata de, como hemos visto, una imagen jpg:

.
Export Selected Packet Bytes.
Otra forma es usando la exportación de Bytes del campo DATA.
Si nos situamos en el campo DATA y Botón derecho ratón >  Export Selected Packet Bytes…:

Lo hacemos con los dos paquetes con datos en DATA y lo unimos, de esta forma obtenemos tambíen:

.
Extracción objetos HTTP en Wireshark.
Durante la transmisión de datos en una captura bajo el protocolo HTTP, podemos visutalizar objetos  HTTP y exportarlos.
Esto lo podemos hacer desde File> Export > Objects > HTTP y nos paparece una ventana:

Tan solo nos queda situarnos sobre el objeto que nos interese y Save As o Save All.

Fuente: https://seguridadyredes.wordpress.com/2010/03/22/wireshark-extraccion-ficheros-binarios-y-objetos-http/

Wireshark / Tshark. Capturando impresiones en red.

Podemos usar Wireshark para interceptar paquetes con destino a cualquier servidor de impresión de la red y, a partir de la captura, identificar que paquetes son los que contienes los datos que son enviados a la impresora para ser imprimidos y visualizarlos.

Preparación y captura de paquetes.
Antes que nada y con cualquier herramienta de identificación como Nmap,  hemos averiguado las IPs de impresoras y servidores de impresión.
Para capturar todos los paquetes que son enviados desde el servidor de impresión a la impresora de red, podemos usar varias técnicas como el uso de Ettercap para envenenamiento arp – arp spoofing o el uso de RPCAPD para captura remota. De cualquiera de las formas y tras escirbir los datos capturados en un fichero .pcap usando snaplen a 0, procedemos a la identificación de los paquetes que nos interesan.
Identificación de datos.
Teniendo ya nuestro archivo .pcap, lo abrimos con Wireshark. Tenemos gran cantidad de información y tenemos que filtrar. La comunicación del servidor de impresión con la impresora se realiza usando el puerto 9100. Por tanto podemos crear el filtro de esta forma:

tcp.dstport == 9100

Nos situamos en cualquiera de los paquetes filtrados y realizamos in Follow TCP Stream. El resultado es:

Con Save As, guardamos en un archivo con extensión .ps PostScript.
Para identificar corretamente el formato del archivo, he estudiando el formato .ps ( http://partners.adobe.com/public/developer/ps/index_specs.html ) concretamente este http://www.adobe.com/products/postscript/pdfs/PLRM.pdf
Tan solo nos queda preparar el archivo para que sea un .ps (PostScript)  válido.
Para ello editamos el arcchivo .ps y borramos todo lo que hay por encima de:

%!PS-Adobe-3.0

y todo lo que hay por debajo de:

 %%EOF

Volvemos a salvar.
Ahora nos resta, mediante un visor de ficheros PostScript, comprobar que todo está correcto. Para elo, y par ael artículo yo he usado uno online:
Este visor se encuentra en http://view.samurajdata.se/.
Y el resultao:



____
Fuente:https://seguridadyredes.wordpress.com/2010/03/24/wireshark-tshark-capturando-impresiones-en-red/

Video Tutoriales de Wireshark

Esta entrada la vi en el blog de dragon y la tematica es buena asi que les dejo la copia xD.

-----------------------------------------------------------------------------------------------------------

Wireshark es una herramienta gráfica utilizada por los profesionales de la seguridad y las redes para identificar y analizar el tipo tráfico en un momento determinado. En el mundo de la IT se denominan analizadores de protocolos de red, analizadores de paquetes, packet sniffer o sniffer. Wireshark permite analizar los paquetes de datos en una red activa como también desde un archivo de lectura previamente generado.

En la comunidad somos conscientes de la importancia de esta herramienta, por eso hemos publicado el Wireshark Portable, la Guía Básica de Wireshark y ahora les traigo una serie de vídeo tutoriales, creados por CACE Technologies, la casa del Wireshark, donde nos explican el funcionamiento de esta excelente herramientas y nos muestran algunos casos en los que Wireshark ha salvado el día.

Serie de Introducción a Wireshark

Introducción a Wireshark

Aprende como empezar con Wireshark.
Duración: 5m 51s

Atajos de teclado personalizados en Wireshark

Empieza capturando rápidamente con un atajo de teclado personalizado.
Duración: 2m 26s

Serie los Misterios de las Redes

Resolviendo los Misterios de las Redes

Betty DuBois presenta la Resolución de la serie Misterios de las Redes.
Duración: 1m 50s

El caso de la Descarga Perdida

Betty nos muestra como Wireshark y CACE Pilot le salva el día a uno de nuestros clientes.
Duración: 5m 6s

The Case of the Slow Network

Betty shows how Wireshark and CACE Pilot saved the day for one of her
clients.
Duración: 5m 44s

El caso del balanceo de cargas en servidor DNS

Betty resuelve el misterio del balanceo de cargas de un servidor DNS en un ISP.
Duración: 9m 17s

El caso del iSCSI SAN lento

Betty sigue la pista del culpable de la lentitud en el iSCSI SAN.
Duración: 8m 6s

En la Campus Party Colombia 2010 nuestro amigo Carlos Andrés Rodallega Obando mas conocido como Roguer, dará una charla y taller sobre Wireshark, espero que estos vídeos les sirva de iniciativa para lo que veremos en este gran evento.

FUENTE:
http://www.dragonjar.org/video-tutoriales-de-wireshark.xhtml

Descifrando WEP/WPA/WPA2 con Wireshark

Una interezante entrada para las personas que esten aprendiendo de snifing por esto les regalo una copia , recuerden visitar el link original ya que posee muy buenos trabajos.
-------------------------------------------------------------------------------------------------

Wireshark nos brinda la posibilidad de descifrar capturas WEP/WPA/WPA2 de una forma muy sencilla, aunque claro, primero debemos conocer el password.

Pero lo interesante de esto, es que cualquiera podría capturar el tráfico "que pasa por el aire", sin conocer el password, y el día de mañana cuando sea posible obtenerlo, descifrarlo.

Por ejemplo, podríamos capturar todo el tráfico que pasa por un canal, o utilizar placas wireless especiales como AirPcap, para capturar varios canales a la vez:

airodump-ng mon0 --channel 6 -w captura.pcap

Si bien hay algoritmos de cifrado que tardarían cientos de años en ser rotos, siempre existe la posibilidad de que una mala implementación por un fabricante nos allane el camino.

Recuerdo que durante la ekoparty 2008, cuando Luciano Bello presento las vulnerabilidades para OpenSSL en Debian, entre la audiencia había muchas personas que decían tener capturas que a partir de ese momento podrían ser descifradas.

Para descifrar una captura con Wireshark, abrimos la captura, vamos a "Edit -> Preferences", desplegamos "Protocols" a la izquierda, y seleccionamos "IEEE 802.11", luego ponemos el password en el formato correspondiente:

Este post se iba a llamar "Desencriptando ...", como se acostumbra decir en Argentina, pero recordé a un español que me dijo que "desencriptar" significa "sacar a alguien de la cripta", y que el termino correcto era "descifrar".

Wikipedia: Criptología

"En ocasiones se emplean los verbos encriptar y cifrar como sinónimos, al igual que sus respectivas contrapartes, desencriptar y descifrar. No obstante, lo correcto es utilizar el término cifrar en lugar de encriptar, ya que se trata de un anglicismo sin reconocimiento académico, proveniente del término encrypt."

FUENTE:
http://kungfoosion.blogspot.com/2010/01/descifrando-wepwpawpa2-con-wireshark.html

Filtrando paquetes en Wireshark [video tutorial]

En este pequeño artículo aprenderemos a usar los filtros del Wireshark, de tal manera que una vez hayamos realizado las capturas pertinentes podamos buscar información específica. Este tema es algo extenso, y requiere sobre todo de mucha atención e imaginación. Por tanto he hecho un pequeño video donde aprenderemos a hacerlo!

La sinopsis del video ejemplo es la siguiente:

• Capturamos los paquetes de nuestra propia conexión con el Wireshark
• Nos logueamos en una página que use cifrado SSL (HTTPS) y otra sencilla (HTTP)
• Usando los filtros del Wireshark buscamos el usuario y el password con el que nos logueamos

Enlace y descarga

Ver el video (2 MB)

Descargar video

Fuente:http://casidiablo.net/filtrar-informacion-paquetes-ethereal/

video tutorial Usar tcpxtract para recuperar archivos capturados con Wireshark

Los paquetes que viajan por la red frecuentemente son trozos de archivos demasiado grandes para ser enviados completos; además, puesto que estos paquetes pueden ser de archivos binarios (imágenes, videos, ejecutables, etc.), no basta con buscar dentro del Wireshark información de los paquetes (no vamos a entender nada).

Esta entrada está acompañada con un video tutorial, en donde aprenderemos a reconstruir los paquetes capturados con Wireshark usando tcpxtract, de tal manera que podamos ver los archivos que envió y recibió el equipo víctima.

Antes de ver el video, observemos el proceso completo:

• Capturamos los paquetes necesarios con Wireshark
• Guardamos la captura en un archivo
• Usamos tcpxtract para extraer los ficheros del archivo de captura

Puedes encontrar tcpxtract en los repositorios de tu distribución, por lo que en Debian o Ubuntu basta con ejecutar el siguiente comando:

sudo apt-get install tcpxtract

O descargar el código fuente y construirlo tu mismo:

tar xvzf tcpxtract-1.0.1.tar.gz
cd tcpxtract-1.0.1
./configure
make
sudo make install

Uso del tcpxtract

Ahora supongamos que el fichero de captura se llama captura; para extraer los archivos de la captura y guardarlos en la carpeta archivos_capturados ejecutamos el siguiente comando:

tcpxtract --file captura --output archivos_capturados

Es todo, sencillo pero eficaz. Podemos además utilizar el tcpxtract para escuchar directamente sobre una interfaz de red, con lo que nos ahorramos el uso del Wireshark, por ejemplo:

tcpxtract --device eth0 --output archivos_capturados

Si te preguntas porqué querría capturar los paquetes que envía y recibe nuestro propio equipo, tal vez estás ignorando que: cuando realizamos un ataque Man in the middle todos los paquetes que envía y recibe el equipo víctima pasan por nuestra interfaz de red.

Veamos ahora el video del tcpxtract en acción:

Ver el video (2,6 MB)

Descargar video

fuente: http://casidiablo.net/tcpxtract-extraer-ficheros-capturados-wireshark/

Wireshark. Analiza el tráfico de una red

Wireshark (antes llamado Ethereal), es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Es un sniffer que te permite capturar tramas y paquetes que pasan a través de tu interfaz de red. Cuenta con todas las características estándar de un analizador de protocolos.

Cómo instalar wireshark

Para instalar wireshark en Ubuntu, abrimos el terminal (Aplicaciones/Accesorios/Terminal) y escribimos lo siguiente:

• sudo apt-get install wireshark

Una vez instalado, encontraremos wireshark en Aplicaciones/Internet/Wireshark.

Para Windows podemos bajar Wireshark desde la siguiente página: Wireshak para Windows

Funcionamiento de wireshark

Para empezar a capturar paquetes nos dirigimos a Capture/Interfaces. Aparecerá entonces una lista de nuestros interfaces de red.

Pulsando el botón “Start” de una de las interfaces, empezaremos a capturar paquetes de esa tarjeta de red. Para detener la captura haremos clic sobre Capture/Stop. En la ventana principal de la aplicación aparecerán entonces los paquetes capturados.Wireshark muestra la información capturada en tres secciones principales.

En la primera sección aparece un listado de los paquetes capturados con su información más relevante. En la segunda sección podemos observar los detalles del protocolo seleccionado en la sección 1. En la última sección se muestran los paquetes en bruto, es decir, tal y como fueron capturados por la tarjeta de red.

Filtrando paquetes con Wireshark

Como la información obtenida puede ser muy grande, podemos filtrar los paquetes para mostrar sólo aquellos que cumplen los requisitos indicados. Para filtrar paquetes debemos dirigirnos a Capture/Options y escribir el filtro que queramos en “Capture Filter”.

Veamos a continuación algunos ejemplos de filtros. Para filtrar paquetes en base a una dirección IP o nombre de equipo se utiliza la palabra reservada “host”. Por ejemplo, si quiero capturar solamente el tráfico que vaya hacia o desde la dirección IP 192.168.1.1, escribiría lo siguiente:

• host 192.168.1.1

Voy a capturar, por ejemplo, los paquetes que se envíen o se reciban desde la dirección IP 217.76.156.108. Esta IP corresponde al servidor que contiene mi página web (www.alejandrox.com). Así pues, voy a Capture/Options y escribo “host 217.76.156.108″ en “Capture Filter”. Pulso a continuación sobre el botón “Start” para comenzar a capturar paquetes. Si ahora voy a la dirección www.alejandrox.com, podré ver que Wireshark comienza a mostrar una lista de paquetes. En la imagen (clic para agrandar) he seleccionado un paquete capturado. Si observáis detenidamente la información (abajo, en la tercera sección), veréis que el paquete contiene capturado contiene texto que aparece en la web.

Después de la palabra reservada “host” podemos poner una dirección IP o el nombre de un equipo. Por ejemplo:

• host www.alejandrox.com

Para filtrar los paquetes que tienen una dirección exclusivamente como origen podemos utilizar src host. Ejemplo.

• src host 192.168.1.1

O como destino:

• dst host 192.168.1.1

Así mismo, es posible filtrar de acuerdo a la dirección de capa 2, es decir, la dirección MAC (en el caso de ethernet). Por ejemplo, para filtrar todo lo que tenga como destino ff:ff:ff:ff:ff:ff utilizariamos el siguiente filtro:

• ether host ff:ff:ff:ff:ff:ff

O podemos indicar si queremos que capture solo el tráfico que tiene una dirección exclusivamente como origen o destino usariamos alguno de los siguientes:

• ether src 00:f9:06:aa:01:03
• ether dst 00:f9:06:aa:01:03

Podemos incluir más de una condición en los filtros que utilicemos. Para ello nos ayudaremos de los operadores lógicos and, or y not. Por ejemplo, si queremos filtrar todos los paquetes que tengan como origen la dirección 192.160.1.1 y tengan como destino la dirección 192.160.1.2, utilizariamos el siguiente filtro:

• host src 192.160.1.1 and src 192.160.1.2

Filtros de display

Otro tipo de filtros que podemos utilizar son los filtros de display, que son mucho más completos y flexibles.Los filtros de display se escriben en el lugar en que se indica en la siguiente imagen. Una vez escrito el filtro, tan sólo hay que pulsar sobre el botón “Aplicar”. Para eliminar el filtro hay que pulsar sobre el botón “Limpiar”.

Wireshark cuenta con un asistente para crear filtros de display. Si hacemos clic sobre el botón “Filter”, aparecerá la siguiente ventana en la que aparecen algunos filtros ya predefinidos. Si queremos capturar, por ejemplo, todo el tráfico HTTP, tendríamos que seleccionar HTTP en la lista de filtros.

Para utilizar filtros de display también podemos hacer clic sobre el botón “Expression”. Aparecerá entonces una ventana como la siguiente.

En esta ventana se muestran una lista enorme de campos para que seleccionemos aguno. Así mismo, es necesario indicar como lo vamos a comparar usando la columna “Relation” y finalmente el valor con el que se será comparado que se indica en “Value”.

Descubriendo contraseñas con Wireshark

En mi página web he creado un pequeño formulario en el que hay que rellenar dos campos, nombre de usuario y contraseña. El formulario lo podéis ver en la siguiente dirección: www.alejandrox.com/validacion.htm

En mi red de área local sospecho que hay varios usuarios que están conectándose a esa página introduciendo su nombre de usuario y contraseña. Vamos a ver cómo podríamos capturar la contraseña que escriben en el campo “Password” muy fácilmente con Wireshark.

En primer lugar empezamos a capturar tramas con Wireshark y esperamos un tiempo prudencial hasta que pensemos que alguien se ha conectado ya a la página y escrito su contraseña.

En mi caso he capturado más de 10000 paquetes en total, ya que hay otros ordenadores de la red que están transmitiendo y recibiendo paquetes. Así pues, tengo que filtrar paquetes de alguna forma para lograr mi propósito.

Lo primero que se me ocurre es filtrar paquetes HTTP. Así pues, escribo http en “Filter” (filtro de display). De esta forma obtengo un total de 140 paquetes, así que tengo que filtrar aún más la información. Lo siguiente que se me ocurre es obtener la dirección IP de www.alejandrox.com para filtrar los paquetes que van dirigidos a esa dirección. ¿Cómo obtengo la dirección IP de www.alejandrox.com? Pues muy sencillo, con un simple ping a www.alejandrox.com:

• ping www.alejandrox.com

Haciendo un ping obtengo la dirección IP 217.76.156.108. Voy ahora a Wireshark y escribo el siguiente filtro: http and ip.dst==217.76.156.108. !Ahora salen tan sólo tres tramas!. Examino la información de las 3 tramas y me encuentro con esto:

Ya he obtenido la contraseña! (salamandra). Obviamente la contraseña la he podido averiguar porque se transmite en texto plano sin ningún tipo de codificación y a través de una página no segura. La cosa sería muy diferente si ésta fuera encriptada por la red…

Veamos otro ejemplo.

En la red del aula en la que imparto clases hay un servidor de ficheros con IP 192.168.1.254. Voy a copiar un documento de texto plano, que tengo en mi ordenador, a una carpeta del servidor. Se trata de averiguar con Wireshark el contenido de dicho fichero de texto (sin abrirlo, claro). Así que en pongo en marcha Wireshark, copio el documento de texto a una carpeta del servidor y a continuación detengo la captura de tramas.A continuación filtro las tramas para que sólo se me muestren aquellos paquetes que van dirigidos a la dirección 192.168.1.254.

• ip.dst==192.168.1.254

Examinando la lista de paquetes en Wireshark, observo que en la columna “Info” aparece “Write and Request”. Hago clic sobre el paquete y observo, que en la sección inferior, aparece el contenido del documento de texto (en un lugar de la mancha….)

Podéis encontrar más información de esta excelente herramienta en Planeta-Digital, donde he obtenido la mayor parte de información sobre este programa.

Fuente: http://www.alejandrox.com/2007/11/wireshark-analiza-el-trafico-de-una-red/

[Tuto] Wireshark

Vamos a ver, voy a intentar enseñar un ejemplo de que tendriamos que hacer para ver el contenido de los paquetes y ver las contraseñas FTP, de formularios, etc...

Una vez bajado e instalado el programa lo abrimos, le damos al primer icono que hay justo debajo, nos saldrá todas nuestras tarjetas de red, pues tendremos que darle "start" a la tarjeta que queramos usar para capturar paquetes.

Ahora nos saldrá algo así:



Bien, el programa se divide principalmente en dos partes, la parte superior donde recoge todos los paquetes capturado y la parte inferior que es la información del paquete seleccionado de la parte superior.

Ahora lo que haremos será registrarnos en una web para ver como va, lo probaremos en esta web, pongo como cuenta "Daimon" y como contraseña "Masaru"



Bien, una vez registrados vamos al programa (recomiendo pararlo para que no moleste poniendo más paquetes) y buscamos en los últimos paquetes recibido con el protocolo "HTTP" y que en "info" tenga algo parecido a una URL, una vez encontrado lo seleccionamos y vemos el contenido (si lo buscas en hexadecimal, está justo al final del todo)



Y así vemos como capturar paquetes y analizarlos.

fuente: http://foro.elhacker.net/wireless_en_windows/tuto_wireshark-t207168.0.html

Wireshark. Analiza el tráfico de una red

Wireshark. Analiza el tráfico de una red

Wireshark (antes llamado Ethereal), es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Es un sniffer que te permite capturar tramas y paquetes que pasan a través de tu interfaz de red. Cuenta con todas las características estándar de un analizador de protocolos.

Cómo instalar wireshark

Para instalar wireshark en Ubuntu, abrimos el terminal (Aplicaciones/Accesorios/Terminal) y escribimos lo siguiente:

• sudo apt-get install wireshark

Una vez instalado, encontraremos wireshark en Aplicaciones/Internet/Wireshark.

Para Windows podemos bajar Wireshark desde la siguiente página: Wireshak para Windows

Funcionamiento de wireshark

Para empezar a capturar paquetes nos dirigimos a Capture/Interfaces. Aparecerá entonces una lista de nuestros interfaces de red.

Pulsando el botón “Start” de una de las interfaces, empezaremos a capturar paquetes de esa tarjeta de red. Para detener la captura haremos clic sobre Capture/Stop. En la ventana principal de la aplicación aparecerán entonces los paquetes capturados.Wireshark muestra la información capturada en tres secciones principales.

En la primera sección aparece un listado de los paquetes capturados con su información más relevante. En la segunda sección podemos observar los detalles del protocolo seleccionado en la sección 1. En la última sección se muestran los paquetes en bruto, es decir, tal y como fueron capturados por la tarjeta de red.

Filtrando paquetes con Wireshark

Como la información obtenida puede ser muy grande, podemos filtrar los paquetes para mostrar sólo aquellos que cumplen los requisitos indicados. Para filtrar paquetes debemos dirigirnos a Capture/Options y escribir el filtro que queramos en “Capture Filter”.

Veamos a continuación algunos ejemplos de filtros. Para filtrar paquetes en base a una dirección IP o nombre de equipo se utiliza la palabra reservada “host”. Por ejemplo, si quiero capturar solamente el tráfico que vaya hacia o desde la dirección IP 192.168.1.1, escribiría lo siguiente:

• host 192.168.1.1

Voy a capturar, por ejemplo, los paquetes que se envíen o se reciban desde la dirección IP 217.76.156.108. Esta IP corresponde al servidor que contiene mi página web (www.alejandrox.com). Así pues, voy a Capture/Options y escribo “host 217.76.156.108″ en “Capture Filter”. Pulso a continuación sobre el botón “Start” para comenzar a capturar paquetes. Si ahora voy a la dirección www.alejandrox.com, podré ver que Wireshark comienza a mostrar una lista de paquetes. En la imagen (clic para agrandar) he seleccionado un paquete capturado. Si observáis detenidamente la información (abajo, en la tercera sección), veréis que el paquete contiene capturado contiene texto que aparece en la web.

Después de la palabra reservada “host” podemos poner una dirección IP o el nombre de un equipo. Por ejemplo:

• host www.alejandrox.com

Para filtrar los paquetes que tienen una dirección exclusivamente como origen podemos utilizar src host. Ejemplo.

• src host 192.168.1.1

O como destino:

• dst host 192.168.1.1

Así mismo, es posible filtrar de acuerdo a la dirección de capa 2, es decir, la dirección MAC (en el caso de ethernet). Por ejemplo, para filtrar todo lo que tenga como destino ff:ff:ff:ff:ff:ff utilizariamos el siguiente filtro:

• ether host ff:ff:ff:ff:ff:ff

O podemos indicar si queremos que capture solo el tráfico que tiene una dirección exclusivamente como origen o destino usariamos alguno de los siguientes:

• ether src 00:f9:06:aa:01:03
• ether dst 00:f9:06:aa:01:03

Podemos incluir más de una condición en los filtros que utilicemos. Para ello nos ayudaremos de los operadores lógicos and, or y not. Por ejemplo, si queremos filtrar todos los paquetes que tengan como origen la dirección 192.160.1.1 y tengan como destino la dirección 192.160.1.2, utilizariamos el siguiente filtro:

• host src 192.160.1.1 and src 192.160.1.2

Filtros de display

Otro tipo de filtros que podemos utilizar son los filtros de display, que son mucho más completos y flexibles.Los filtros de display se escriben en el lugar en que se indica en la siguiente imagen. Una vez escrito el filtro, tan sólo hay que pulsar sobre el botón “Aplicar”. Para eliminar el filtro hay que pulsar sobre el botón “Limpiar”.

Wireshark cuenta con un asistente para crear filtros de display. Si hacemos clic sobre el botón “Filter”, aparecerá la siguiente ventana en la que aparecen algunos filtros ya predefinidos. Si queremos capturar, por ejemplo, todo el tráfico HTTP, tendríamos que seleccionar HTTP en la lista de filtros.

Para utilizar filtros de display también podemos hacer clic sobre el botón “Expression”. Aparecerá entonces una ventana como la siguiente.

En esta ventana se muestran una lista enorme de campos para que seleccionemos aguno. Así mismo, es necesario indicar como lo vamos a comparar usando la columna “Relation” y finalmente el valor con el que se será comparado que se indica en “Value”.

Descubriendo contraseñas con Wireshark

En mi página web he creado un pequeño formulario en el que hay que rellenar dos campos, nombre de usuario y contraseña. El formulario lo podéis ver en la siguiente dirección: www.alejandrox.com/validacion.htm

En mi red de área local sospecho que hay varios usuarios que están conectándose a esa página introduciendo su nombre de usuario y contraseña. Vamos a ver cómo podríamos capturar la contraseña que escriben en el campo “Password” muy fácilmente con Wireshark.

En primer lugar empezamos a capturar tramas con Wireshark y esperamos un tiempo prudencial hasta que pensemos que alguien se ha conectado ya a la página y escrito su contraseña.

En mi caso he capturado más de 10000 paquetes en total, ya que hay otros ordenadores de la red que están transmitiendo y recibiendo paquetes. Así pues, tengo que filtrar paquetes de alguna forma para lograr mi propósito.

Lo primero que se me ocurre es filtrar paquetes HTTP. Así pues, escribo http en “Filter” (filtro de display). De esta forma obtengo un total de 140 paquetes, así que tengo que filtrar aún más la información. Lo siguiente que se me ocurre es obtener la dirección IP de www.alejandrox.com para filtrar los paquetes que van dirigidos a esa dirección. ¿Cómo obtengo la dirección IP de www.alejandrox.com? Pues muy sencillo, con un simple ping a www.alejandrox.com:

• ping www.alejandrox.com

Haciendo un ping obtengo la dirección IP 217.76.156.108. Voy ahora a Wireshark y escribo el siguiente filtro: http and ip.dst==217.76.156.108. !Ahora salen tan sólo tres tramas!. Examino la información de las 3 tramas y me encuentro con esto:

Ya he obtenido la contraseña! (salamandra). Obviamente la contraseña la he podido averiguar porque se transmite en texto plano sin ningún tipo de codificación y a través de una página no segura. La cosa sería muy diferente si ésta fuera encriptada por la red…

Veamos otro ejemplo.

En la red del aula en la que imparto clases hay un servidor de ficheros con IP 192.168.1.254. Voy a copiar un documento de texto plano, que tengo en mi ordenador, a una carpeta del servidor. Se trata de averiguar con Wireshark el contenido de dicho fichero de texto (sin abrirlo, claro). Así que en pongo en marcha Wireshark, copio el documento de texto a una carpeta del servidor y a continuación detengo la captura de tramas.A continuación filtro las tramas para que sólo se me muestren aquellos paquetes que van dirigidos a la dirección 192.168.1.254.

• ip.dst==192.168.1.254

Examinando la lista de paquetes en Wireshark, observo que en la columna “Info” aparece “Write and Request”. Hago clic sobre el paquete y observo, que en la sección inferior, aparece el contenido del documento de texto (en un lugar de la mancha….)

Podéis encontrar más información de esta excelente herramienta en Planeta-Digital, donde he obtenido la mayor parte de información sobre este programa.

fuente: http://www.alejandrox.com/2007/11/wireshark-analiza-el-trafico-de-una-red/