Wireshark

Wireshark

Captura de pantalla de Wireshark

Desarrollador

The Wireshark team

http://www.wireshark.org/

Información general

Última versión estable 1.8.6

6 de marzo de 2013; hace 14 días

Última versión en pruebas 1.7.1

6 de abril de 2012; hace 11 meses

Género Sniffer

Sistema operativo Multiplataforma

Licencia GPL

En español ?

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis

y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como

una herramienta didáctica para educación. Cuenta con todas las características estándar de un

analizador de protocolos de forma únicamente hueca.

La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas

opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de

una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la

configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.

Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar

la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un

completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una

sesión de TCP.

Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles,

incluyendo Linux, Solaris, FreeBSD,NetBSD, OpenBSD, y Mac OS X, así como en Microsoft Windows.

Índice

  [ocultar]

1 Aspectos importantes de Wireshark

2 Seguridad

3 Portabilidad

4 Referencias

5 Enlaces externos

[editar]Aspectos importantes de Wireshark

Mantenido bajo la licencia GPL.

Trabaja muy duro tanto en modo promiscuo como en modo no promiscuo.

Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa).

Basado en la librería pcap.

Tiene una interfaz muy flexible.

Gran capacidad de filtrado.

Admite el formato estándar de archivos tcpdump.

Reconstrucción de sesiones TCP

Se ejecuta en más de 20 plataformas.

Es compatible con más de 480 protocolos.

Puede leer archivos de captura de más de 20 productos.

Puede traducir protocolos TCP IP

Genera TSM y SUX momentáneamente

[editar]Seguridad

Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de

ejecución especiales. Es por esta razón que Wireshark es ejecutado con permisos deSuperusuario.

Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados

cuando un paquete llega a la interfaz, el riesgo de un error en el código del analizador podría poner en

riesgo la seguridad del sistema (como por ejemplo permitir la ejecución de código externo). Por ésta

razón el equipo de desarrolladores de OpenBSD decidió quitar Ethereal antes del lanzamiento de la

versión 3.6.1

Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribución de Wireshark en modo

Superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos en el disco, para

después analizarlos ejecutando Wireshark con menores privilegios y leyendo el archivo con los

paquetes para su posterior análisis.

Hackear una red WiFi : Manual para aprender a hackear una red WiFi con WEP

ads not by this site

Comentaros que el texto en negro son los pasos, en cursiva aclaraciones sobre qué es cada cosa y en negrita

ataques para generar tráfico (no necesario si hay un gran tráfico en un principio).

Nos descargamos la distribución para hacer la auditoría wireless.

Descargar WiFiSlax 3.1

Descargar WiFiWay 1.0 Final

El MD5 de este archivo es: 911dc29262ee117e5e27770067bd2e71 , así podréis comprobar que ha bajado

correctamente.

Aquí tenéis el programa para comprobarlo:

Descargar MD5 Verify Gratis

Una vez bajada, la grabamos en un CD, configuramos la BIOS para que arranque desde el CD y metemos el

CD.

Seguimos las intrucciones que vienen en la distribución, si por casualidad, no os funciona y se os queda

bloqueado el ordenador (en el arranque) elegid al principio la OPCIÓN 2, y en teoría, ya debería dejaros (yo

uso la opción 2 ya que la 1 no me funciona, por culpa de la tarjeta gráfica del portátil).

Espero que tengáis una tarjeta inalámbrica compatible con MODO MONITOR, porque si no, no podremos

hacer nada.

Si no sabéis si vuestra tarjeta es compatible con MODO MONITOR, mirad este enlace:

Listado de tarjetas inalámbricas para la auditoría wireless

¿Estáis preparados? Allá vamos…

Vamos a ver cómo se llama nuestra tarjeta inalámbrica en Linux, nos vamos a Shell y tecleamos iwconfig y

pulsamos intro , ahí vemos los nombres de las tarjeta que tenemos, en mi caso wlan0 corresponde al

adaptador USB .

Ponemos la tarjeta en MODO MONITOR: vamos a la Shell (en el escritorio) escribimos: airmon-ng start

wlan0 y pulsamos intro , tarda un pelín en cargar y pondrá monitor mode enabled ya lo tenemos todo listo!

Nota: Si no pone esto es que la tarjeta NO se puede poner en modo monitor.

Otra forma de ponerlo en modo monitor es: iwconfig wlan0 mode monitor y pulsamos intro.

Para comprobar que efectivamente se ha puesto en modo monitor, basta con teclear: iwconfig wlan0 y

presionamos intro

Ahora vamos a capturar absolutamente todos los paquetes que hay por el aire, necesarios para poder realizar

la auditoría con éxito, no sólo los de un determinado canal, SSID etc, TODOS!

Vamos a Inicio/Wifislax/Suite actual/airodump-ng y lo abrimos, nos dirá que pongamos una tarjeta,

escribimos la nuestra (wlan0) y el nombre de la captura, por defecto es captura (luego se llamará captura-

01.cap), pinchamos aplicar y nos dice dónde se nos guarda, ahora iremos viendo lo que hay y los paquetes

que hay, a quien se los manda, el canal usado etc.

Después de 5min (o lo que queráis esperar) nos vamos a: Inicio/Wifislax/Suite actual/aircrack-ng y

ejecutamos,abriremos el .cap (creado por el airodump) y veremos los IVS que hemos cogido, solo VER

(paquetes que realmente valen, lo demás que ponía en el airodump no valen para esto), aunque en el

airodump en #Data también lo pone.

Si nuestra red no es de Telefónica (WLAN_XX) o Jazztel (Jazztel_XX) u otra con diccionario, necesitaremos

más de 400.000 ivs para poder sacar la clave. Si es una WLAN_XX o Jazztel_XX y tienes más de 4 ivs (si son

más mejor) podremos conseguirlo.

Nota importante: (Si con el airodump, sólo queremos coger vectores (IVS) tecleamos lo siguiente: airodump-

ng –ivs –w captura wlan0 El fichero estará en /root/)

Antes de seguir aclaremos conceptos:

BSSID = es la MAC de nuestro router

SSID= nombre la red wifi de nuestro router

STATION = es la MAC de la tarjeta wifi cliente (es decir, el usuario que hay conectado).

Para las WLAN_XX o Jazztel_XX seguiremos en siguiente proceso:

Cogeremos el diccionario de WLAN que hay en la distribución, nos vamos a SHELL y ponemos:

wlandecrypter BSSID SSID keys.txt

Pulsamos intro y un fichero de texto se habrá guardado en /root/.

Bien ya tenemos el diccionario WLAN_XX, ahora nos vamos dónde hemos guardado la captura del airodump,

en el airodump damos CTRL+C para pararlo y movemos el fichero captura-01.cap a la raíz (/root/), donde

está el keys.txt.

Tecleamos lo siguiente en Shell:

aircrack-ng –b BSSID –w keys.txt captura-01.cap

keys.txt es lo que hayamos puesto en el wlandecrypter, y el captura-01.cap lo del airodump.

Tarda poquísimo en sacar la clave (en menos de 5seg la tienes si no hay ningún tipo de problema), recuerda

que la clave es la que pone ASCII abajo a la izquierda (no sale en la captura).

Todo esto es en condiciones óptimas, con tráfico etc.

Si no hay suficiente tráfico podemos generarlo:

Vamos a hacer un ataque de respuesta ARP (gran tráfico):

aireplay -3 -b BSSID -h STATION wlan0

STATION es la tarjeta del usuario conectada.

Ataque de desautentificación para “cortar” la conexión del usuario conectado y que la tarjeta wifi y el router se

intenten otra vez conectar, y por tanto halla un gran tráfico de datos.

El comando es el siguiente:

aireplay-ng -0 50 –a BSSID –c STATION wlan0

El 50 indica el número de desautentificaciones, una vez desautenticado, nos mandará paquetes ARP que

cogeremos con el ataque anterior, no estéis todo el rato desautenticando porque si no no conseguiremos

paquetes ARP…no vale dejarlo toda la noche ahí desautenticando, esto es un trabajo muy fino que lleva su

tiempo.

Para poder generar tráfico en una red sin ningún cliente que esté conectado, no nos queda mas remedio que

hacer un CHOP-CHOP, no siempre funciona, pero por probar que no quede.

Ahora imaginemos que tenemos nuestro router es un router de jazztel.

Los routers que distribuye Jazztel con su correspondiente clave en una pegatina ya no está a salvo. Ha

pasado igual que las WLAN_XX, en 10 minutos está lista, aquí os pongo lo que tenéis que hacer:

Bajaros el Wifiway 1.0 Final:

Descarga WiFiWay 1.0 Final Gratis

El MD5 de este archivo es: 2fac135cad7b185706bbcb9c51f45932 y hacéis lo mismo que con el Wifislax, lo

comprobais

Lo arrancáis siguiendo las instrucciones, no hay que tocar nada, arranca automáticamente bien.

Flecha El proceso para auditar las Jazztel_XX es IGUAL que las WLAN_XX, lo único que cambia es que

tenemos que poner (para generar el diccionario).

jazzteldecrypter BSSID SSID keys.txt

Todo el proceso anterior y posterior es igual que en las WLAN_XX.

NOTA: Con el Wifiway también podéis hacer todo lo que he explicado de Wifislax.

La auditoría wireless requiere de experiencia, al principio pueden no funcionar las cosas como aqui se han

comentado, requiere de un poco de conocimiento y ser meticuloso en las pruebas (sobre todo si estáis

probando con Antenas externas orientandolas al router) fijaos con detalle en las MACs e identificadores de

todo, una letra o un número mal puesto puede hacernos perder un buen rato hasta darnos cuenta de ello.

Por supuesto, hay muchas más opciones en la suite de WifiSlax y WifiWay, e incluso en la Suite Aircrack, pero

esto es lo que yo he utilizado para auditar mi red.

Si para generar tráfico habéis probado otros métodos, comentad cómo lo habéis hecho para que podamos

añadirlo al manual y así entre todos mejorarlo.

Por supuesto que hay un montón de páginas en internet sobre manuales de este tipo, algunos más completos

y otros menos, pero esto es lo que me ha funcionado a mí y lo comparto con vosotros, creo que está todo

explicado de una manera clara.

Este manual no ha sido hecho para hackear, crackear o términos similares a los vecinos, es una manera de

probar la seguridad de vuestras redes wireless, no nos hacemos responsables del mal uso de esta

información, si haciendo estos pasos habéis sido capaces de entrar, algo falla, por tanto deberéis tomar las

medidas oportunas.

Manual realizado por Sergio de Luz (Bron) para REDESZone.net