¿Qué es Wireshark?
Wireshark, antes conocido como Ethereal, es un software de
análisis de protocolos que se basa en las librerías Pcap y que se utiliza comúnmente
como herramienta para realizar un análisis de redes y aplicaciones en red.
Wireshark soporta una gran cantidad de protocolos (más de 450), como ICMP,
HTTP, TCP, DNS, y un largo etcétera.
Funciona en varias plataformas,
como Windows, OS X, Linux y UNIX. Es usado regularmente por desarrolladores,
profesionales de la seguridad y en muchos casos para la educación. Es
totalmente gratis y de código libre. Además, está publicado bajo licencia GNU
GPL versión 2.
Una de las ventajas que tiene
Wireshark es que en un momento dado, podemos dejar capturando datos en una red
el tiempo que queramos y, posteriormente almacenarlos, con el fin de poder
realizar el análisis más adelante. Esto es algo totalmente necesario, porque
son miles los paquetes que se capturan en una red y, si tratamos de hacer el
análisis en el mismo instante, nos veríamos desbordados.
¿Cómo instalo
Wireshark?
Muy sencillo. En Windows y OS X, abrimos la siguiente URL:
y seleccionamos el ítem deseado.
Por Otras Parte en Linux
sudo apt-get install wireshark
Ya lo tenemos instalado. Para
iniciarlo, lo haremos en modo administrador o superusuario.
¿Cómo es Wireshark y cuáles son
sus posibilidades?
Wireshark posee una interfaz
gráfica, la cual facilita mucho su uso, aunque también disponemos de una
versión en modo texto llamada tshark.
¿Cómo empiezo a capturar paquetes?
Si seleccionamos las opciones de
interfaces de captura, nos aparece esto. Capturaremos siempre en modo
promiscuo, con el fin de poder capturar los paquetes de la red en la que
estamos, no sólo los nuestros, aunque he de decir que no todas las tarjetas de
red son compatibles con este modo. Para iniciar la captura, pulsaremos en
“Start”.
Tras pulsar “Start” ,obtendremos
lo siguiente:
Ahora pasaremos a realizar una
pequeña práctica donde una vez capturado los paquetes de 3 protocolos
diferentes observaremos lo que nos arroja.
Primera parte: analizando un protocolo inseguro -
Telnet.
• Qué usuario y contraseña se ha utilizado
para acceder al servidor de Telnet?
User: Fake Password: user
• ¿Qué sistema operativo corre en la
máquina?
Un sistema operativo Unix-Like
• ¿Qué comandos se ejecutan en esta sesión?
Iniciar sesión, ping (manda paquetes a la
página “www.yahoo.com”), da la orden de
salir.
Segunda parte: analizando SSL.
• ¿Puedes identificar en qué paquete de la
trama el servidor envía el certificado?
Si, en 2 después de que el cliente solicita
cambiar a cifrado específico, el servidor lo acepta y ambos emiten su certificado,
uno después del otro.
• ¿El certificado va en claro o está
cifrado? ¿Puedes ver, por ejemplo, qué autoridad ha emitido el certificado?
cifrado
• ¿Qué asegura el certificado, la identidad
del servidor o del cliente?
cliente , lo especifica
Tercera parte: analizando SSH.
• ¿Puedes ver a partir de qué paquete
comienza el tráfico cifrado?
Si a partir de la línea de paquete 9 donde
le pide una Key pero no se ve nada solo que la información estaba encriptada.
• ¿Qué protocolos viajan cifrados, todos
(IP, TCP...) o alguno en particular?
Protocolo TCP (6).
¿Es
posible ver alguna información de usuario como contraseñas de acceso?
No, todas están encriptadas.
Gracias Por leernos ,espero sea de ayuda todo esto.
No hay comentarios:
Publicar un comentario