Qué es Wireshark y como funciona

Ya sabemos que cuando nos conectamos a una red wifi para conectarnos a Internet, los datos viajan desde nuestro dispositivo hasta el router, en teoría totalmente protegidos y después hacia Internet. Pero realmente ¿Cómo viajan esos datos? Lo primero que debemos saber es que todo lo que mandamos no dejan de ser 0 y 1, y se agrupan en paquetes de información, estos paquetes se estructuran según ciertos protocolos (Como TCP/IP).

cabtcp

En esta imagen podemos ver como se estructura una trama (paquete de datos) del tipo TCP, sabiendo esto ya podríamos buscar la información y si no está encriptada, leerla sin más para averiguar la información de contraseñas por ejemplo.



Pero claro, antes de esto tenemos que resolver 2 incognitas:

  1. Como capturamos toda está información.
  2. A nadie en su sano juicio se le ocurre ir mirando los bit uno a uno para descubrir que contiene una trama.

Es justo en estos dos puntos donde Wireshark nos puede resultar realmente útil, ya que este programa tan curioso se trata de un snifering o analizador de protocolos de red, permitiendonos capturar de una manera sencilla todos los paquetes de la red a la que estemos conectada, y más tarde filtrarlos y ordenarlos para asi ver la información que buscamos rapidamente.

A continuación veremos como se puede realizar esto

Lo primero es asegurarnos que el interfaz está en modo promiscuo (pinchando en el icono del engranaje), y después le daremos a capturar información (El iconito azul). Es posible que solo queráis capturar los datos de una de las interfaces a las que estáis conectadas, esto también lo podremos modificar desde la parte del engranaje.

whIOdQr

Una vez que hayamos empezado a capturar el tráfico veremos como empiezan a aparecer paquetes en la consola del wireshark, cuando hayamos navegado un rato por internet podemos parar la captura, ahora falta encontrar lo que queremos, para ello introduciremos el siguiente filtro -> http.request.method == “POST” <-. De esta forma nos saldrán los paquetes HTTP que contienen alguna petición que usa el método POST. Una vez lo tenemos localizado podemos ver el contenido, hacemos click derecho y os vais a Follow/TCP Stream. En este fichero podemos buscar por palabras. Una vez aquí introduciremos post y nos llevará directamente al contenido de dicho método.

Conclusiones

Como vemos es realmente fácil conseguir las contraseñas de cualquier usuario conectado a la misma red que tu, imagínate que te conectas a la red wifi de un hotel y justo hay alguien “escuchando” la red con este método y consigue todas tus contraseñas…

Por suerte hay formas de protegerse de esto, lo más importante es usar webs del tipo https, ya que estás van protegidas extremo a extremo, por lo que aunque cojan el paquete con nuestra contraseña, está irá cifrada.



También podemos usar tuneles VPN, esto se hace normalmente por empresas a la hora de trabajar, pero también puedes alquilar tu propia VPN para proteger tus conexiones. Por último, haz caso a tu navegador, si este te advierte de que el sitio no es seguro, no te metas en esa página a menos que tengas la seguridad de que no habrá problemas.


2 commentarios

Snnup · 8 agosto, 2017 a las 8:52 am

¿Que mas conoces a parte de Sniffing con WireShark?

Mola!! 😀

Alejandro Ortega · 8 agosto, 2017 a las 10:50 am

hay otras técnicas mas complejas como la de man in the middle, seguramente en un futuro próximo explique en que consiste.
Me alegro que te haya gustado el post!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: