17 ene 2014

Wireshark: Más que una pantalla principal (Parte I)

En muchas ocasiones nos quedamos con lo superfluo, y podemos pensar que herramientas como Wireshark ofrecen simplemente un análisis de paquetes. Pero, precisamente es eso es un analizador y trae muchas funcionalidades que, a priori, podemos no conocer. En su día, impartí un curso sobre herramientas de auditoría, y cuando llegamos a Wireshark los alumnos quedaron sorprendidos de ver las cosas que tiene esta magnífica herramienta.

Wireshark es probablemente uno de los mejores analizadores de tráfico por su coste y calidad para los usuarios. Es una de las herramientas que se deben utilizar en muchas de las auditorías que se pueden llevar a cabo en un proceso de Ethical Hacking. El objetivo principal de la herramienta es mostrar al usuario todo lo que está circulando a través de su tarjeta de red, conocer que está circulando en el mundo al que estamos conectados.

Algunas características principales son:
  • Funciona bajo varias plataformas como Windows, Linux o Mac OS
  • Captura de paquetes on the fly, es decir, en tiempo real. 
  • Información detallada de los paquetes. La gestión de los paquetes se realiza bajo extensiones CAP, PCAP, etcétera.
  • Control de sniffing remoto. Esta característica no es muy conocida por muchos de los usuarios de la herramienta, pero se puede colocar un agente en un equipo y dejar escuchando los paquetes que circulan por dicho equipo y reenviarlos, a modo de espejo, a un equipo dónde se encuentre el auditor.
  • Importación y exportación de paquetes. 
Algo muy utilizado por los usuarios es el filtro de paquetes, el cual se puede realizar desde la propia interfaz de red capture o de pantalla display. La diferencia entre estos tipos de filtros es que el de capture filtra directamente en la interfaz, por lo que los paquetes que no se quieran almacenar no lo serán, y el de display filtra una vez que los paquetes son almacenados en el buffer de Wireshark, o en el fichero CAP o PCAP. En la imagen se puede visualizar como configurar un filtro de captura para solamente almacenar tráfico TCP que se dirija al puerto 80, vamos a hacer la prueba con nuestro sitio web.


Ahora el filtro actúa directamente como si fuera en la tarjeta, en la siguiente imagen podemos visualizar como no existe un filtro de pantalla, y directamente solo se están mostrando en Wireshark (y en un posible fichero CAP que se almacene después) los paquetes que nos interesen. 



Seguiremos viendo funcionalidades de esta gran herramienta en siguientes partes.

No hay comentarios:

Publicar un comentario