(https://www.arg-wireless.com.ar/proxy.php?request=http%3A%2F%2Fmindprod.com%2Fimage%2Ficoncorp%2Fwireshark.png&hash=98b2ae8b5673c551b3580a6b5e8fe8d119c54445)
WireShark (antes Ethereal) es un programa que analiza el trí¡fico de nuestra red, se usa para realizar aní¡lisis y solucionar problemas en redes de comunicaciones. Este programa se parece a tcpdump, el cual analiza y monitorea todo el trí¡fico en una red determinada, las diferencias son que este no estí¡ disponible en Windows, y que usa libpcap.
Nuestro programa, WireShark, en cambio, usa la libreria winpcap que se habrí¡ de instalar junto al programa. Esta librería es la que se encarga de capturar los paquetes. He de aíñadir que WireShark es multi-plataforma, teniendo en cuenta que para cada tipo de plataforma hemos de usar una libreria diferente, en Windows(winpcap) y en GNU/Linux (libpcap); pero bueno a nosotros eso no nos importa.
WireShark, tambiín se puede usar como sniffer.
Lo primero de todo es bajarnos el programa de la web oficial:
Wireshark 1.4.2 - 32 bits (http://wiresharkdownloads.riverbed.com/wireshark/win32/wireshark-win32-1.6.0.exe)
Bien seguimos los pasos de instalaciín normales en Windows, y recordamos instalar WinPcap
Bueno es un tutorial bí¡sico os mostrarí que podemos hacer para empezar a familiarizarnos con la interfaz y sus utilidades.
Lo abrimos y nos sale algo parecido a esto:
(https://www.arg-wireless.com.ar/proxy.php?request=http%3A%2F%2F3.bp.blogspot.com%2F_6V8GnbhVAzM%2FTOlELpp44WI%2FAAAAAAAAAB0%2FIkFj6_2fzYw%2Fs1600%2Fw1.jpg&hash=e76d1ed66236d90f4c0ed62d3998826cdece8382)
1: Nos permite ver en cada uno, los paquetes que esta recibiendo.
1.1: Si ya sabemos cual vamos a elegir, escogemos la interfaz que mí¡s paquetes reciba.
2: Son las opciones que podemos modificar luego iremos a este paso.
3: Es un filtro que nos servirí¡ mí¡s adelante para poder hacer una selecciín de lo que queremos ver en pantalla, y no tener que ir buscandolo entre todo el trí¡fico.
4: Nos permite abrir unos paquetes ya analizados y guardados.
5: Un manual de la wiki oficial de WireShark en inglís.
Bueno esto no creo que haya sido muy esclarecedor pero a partir de ahora empezarí los ejemplos bí¡sicos de uso.
(https://www.arg-wireless.com.ar/proxy.php?request=http%3A%2F%2F1.bp.blogspot.com%2F_6V8GnbhVAzM%2FTOlm7iUtpVI%2FAAAAAAAAAB4%2FE6e94r94Jnc%2Fs1600%2Fw2.jpg&hash=bba46adfbe4ade5201bef3f02ea3966d07a579aa)
En mi caso la interfaz se llama Microsoft y tenía 700 paquetes capturados. Siguiente paso, apretar Start y comienza el juego ;)
A partir de aquí, vamos a hacernos la idea de que una de dos, hay alguien metido en nuestra red Wi-Fi sin contraseíña, o que por algun casual estamos dentro de una red en la que hay mí¡s gente conectada. El primer caso lo podemos autoprovocar dejando nuestra red sin contraseíña, con eso conseguiríamos atraer víctimas para conseguir saber que se estí¡n bajando, que estí¡n diciendo por el Messenger e incluso en que pí¡gina se encuentran en ese mismo instante.
Yo ya he empezado mi captura y bueno he seleccionado que solo me filtre los paquetes que contengan la direccion del Tuenti para poder así analizar la posible conversaciín que pueda tener nuestra víctima si empiezan a aparecer paquetes es que estí¡ navegando por tuenti.
(https://www.arg-wireless.com.ar/proxy.php?request=http%3A%2F%2F1.bp.blogspot.com%2F_6V8GnbhVAzM%2FTOlwf2LkpTI%2FAAAAAAAAACA%2FCnC1R4yW0Ak%2Fs1600%2Fw31.jpg&hash=c291c5c341ed233be06c3a6284e9ab0659d71b15)
Bueno el 1 son las opciones, con las que puedes filtrar paquetes como solo filtrar paquetes TCP, UDP, etc.. si pones en Filter: http contains "http://www.tuenti.com (http://www.tuenti.com)" ya tienes tu analizador filtrando solo los paquetes del tuenti.
El 2 es para empezar una nueva captura.
Y el 3 para parar la actual, con opciín a guardar todos los paquetes capturados.
Y buena "sorpresa" el chat del tuenti no estí¡ codificado así que os enseíñarí como he podido sacar una porciín de una conversaciín sin codificar.
(https://www.arg-wireless.com.ar/proxy.php?request=http%3A%2F%2F4.bp.blogspot.com%2F_6V8GnbhVAzM%2FTOlyvp3-wvI%2FAAAAAAAAACE%2Fg62XL0ICRWA%2Fs1600%2Fw4.jpg&hash=314074e2f78ae3673c3f1c0f33b74f4ebfa4a8d0)
Si eso es de una conversaciín por tuenti, eso lo estaba mandando yo como podeis observar. Eso es una ventaja de que no codifiquen el contenido por el chat, ahora vayamos a probarlo al Messenger, iniciamos sesiín y empecemos a hablar con alguien.
Le he mandado a un contacto este mensaje: Prueba para Wireshark
(https://www.arg-wireless.com.ar/proxy.php?request=http%3A%2F%2F4.bp.blogspot.com%2F_6V8GnbhVAzM%2FTOl5mZuknkI%2FAAAAAAAAACI%2FHHoz4HV3SHI%2Fs1600%2Fw5.jpg&hash=dfd3564564208bdf16a188399519be360b20daa3)
Como veis arriba del todo he filtrado los paquetes con el protocolo MSNMS que son todos los relacionados con la mensajería de Windows Live Messenger, tambiín estí¡n la direcciín de correo del que envia el paquete y la direcciín del que lo recibe. Aparte exceptuando la contraseíña(que si que esta codificada) las conversaciones las podemos leer claramente, y poder espiar a nuestra víctima.
Espero que os haya dado una pequeíña idea de lo que es WireShark, aunque el límite lo poneis vosotros.
FUENTE: http://daraxblog.blogspot.com/2010/11/wireshark-tutorial-basico.html (http://daraxblog.blogspot.com/2010/11/wireshark-tutorial-basico.html)