2 may 2011

Recuperación de imágenes con Wireshark

Cuando estamos capturando tráfico de una red, no pensemos siempre en el mal, por ejemplo un administrador de sistemas... puede ser interesante ver que tipo de archivos viajan por la red. Un tipo que llama mucho la atención son las fotografías, archivos PNG, JPEG, GIF... pero ¿y si no es un administrador de sistemas quien está monitorizando el tráfico y es una persona malvada?

Ouch! yo pensaba que ese tio era mi amigo y ¿ahí está viendo todas las fotos que yo estoy viendo simplemente con una captura de tráfico de la red? La respuesta es si... y quizá esté haciendo más de lo que se escriben en estas líneas, pero... ese es otro asunto que ya veremos o no...

Lo que nos interesa es, ¿qué necesitamos para recuperar este tipo de archivos? simplemente Wireshark, el analizador por excelencia. Una vez estemos capturando tráfico con Wireshark que por cierto si estamos en red conmutada, que sería lo normal, necesitaríamos envenenamiento ARP, un MiTM de toda la vida. Repito, una vez que estemos capturando tráfico con Wireshark, podremos filtrar para no volvernos locos y para poder llegar rápidamente a lo que estamos buscando.

Image-gif

Aplicaremos al filtro de Wireshark la clausula 'image-gif'. De este modo solo se mostrarán los paquetes que contengan imágenes GIF. Como se puede observar en la imagen debemos tener en cuenta el tamaño del GIF, ya que mucha son simplemente GIF's de un 1 bit por 1 bit, pixeles en concreto. En la imagen, se observa que es un GIF con algo de contenido.

¿Cómo obtenemos ese GIF? Vale, pulsaremos en ese paquete sobre la zona del GIF con el botón derecho del ratón como se observa en la siguiente imagen.

Una vez realizada esta acción, se deberá dar un nombre al fichero nuevo con la extensión correcta, en este caso .gif.

PNG y JPEG

Para los formatos png y jpeg usaremos el filtro con sus respectivos nombres. Y la extracción de la imagen se realizará igual que en el caso anterior. Como se puede ver en la siguiente imagen, en el caso de PNG.

El resultado es el PNG disponible para su visualización, de este modo tened cuidado dónde os metéis o que fotos veís... quizás os vigilen... sobretodo en una red pública o como siempre os he dicho en una red dónde puede haber mucha gente aunque no sea una red pública, como en grandes empresas, universidades, centros comerciales, etc.

6 comentarios:

  1. Hola! Enhorabuena por el articulo. Hace años, usaba Drifnet, que lo hacía automático. :)

    ResponderEliminar
  2. Muy interesante!Un saludo

    ResponderEliminar
  3. [...] Recuperación de imágenes con Wireshark [...]

    ResponderEliminar
  4. [...] en la entrada anterior de Pablo sobre “Recuperación de imágenes con Wireshark“, se me vino a la mente hacer este sobre recuperación, pero de forma más [...]

    ResponderEliminar