Buenas,

estoy iniciándome en Wireshark. Para hacer una prueba de concepto he hecho una captura de tramas en mi PC local.

La prueba es muy sencilla: "Me conecto con Firefox a Google y pongo en el buscador una palabra clave"

Al abrir Wireshark, veo mi IP local, mi dirección MAC y que el user-agent es Firefox. Hago filtrados por protocolos http, pero me quedo  bloqueado en lo siguiente:


- No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada)
- No veo la palabra buscada
- Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí.
- No sé ver el PID.

¿Me podéis orientar un poco?

Muchas gracias!

Muchas gracias por el 5ª resultado de Google. Ya lo había visto, así como la documentación oficial de Wireshark y varios tutoriales.

Mi intención no es hacer una tesis doctoral sobre Wireshark, sino resolver algunos puntos específicos (como reza el título del hilo). Para eso he recurrido a un foro.

Seré más específco:

¿alguien me puede dar alguna indicación para resolver en particular una o varios de las siguientes dudas?


Muchas gracias!

Saludos,

- Google funciona sobre TLS (https) así que los paquetes estarán cifrados y no podrá "ver" nada. Solo se pueden "ver" los paquetes sin cifrar como DNS, HTTP, FTP, etc.

- Wiresharp permite especificarle un fichero SSLKEYLOGFILE el cual contiene una cache de las TLS Keys utilizadas para cifrar los paquetes TLS.

- Por defecto Chrome y Firefox permiten especificar precisamente este fichero, para hacerlo tienes que crear una variable de entorno de nombre: SSLKEYLOGFILE cuyo contenido será la ruta donde quieras que esté tu fichero, en mi caso lo configuraré en mi escritorio. Puedes abrir una línea de comandos (CMD) y copiar/pegar lo siguiente:

-- Primero cierra Firefox o Chrome


-- Luego abres Firefox o Chrome (de preferencia con un bloqueador de anuncios como uBlock Origin para evitar tantas peticiones de publicidad o rastreo) y pones a WireShark a capturar tu data.

-- Ahora ve a WireShark > Edit >Preferences > Protocols > TLS > Pre-Master Secret Log File y ahí buscas y elijes tu fichero sslkeys.txt

-- Entonces debes de poder ver los TLS decifrados con nombre HTTP2, puedes buscar con Ctrl + F, seleccionar String y tipear tu palabra a buscar.

- Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark

Correcto. De hecho casi ningún analizador de tráfico saldrá el PID, tendrá que ser algo más avanzado o especifico. Te recomiendo la herramienta ntopng mucho más "visual" para analizar tráfico.

wireshark está muy bien cuando ya tienes experiencia previa analizado tráfico en formato pcap, por ejemplo. Pero para empezar es  una herramienta más complicada.


Akamai es una CDN muy grande, puede ser el mismo antivirus que se conecte ahí o navegando cualquier imagen o script esté almacenado allí. Puede ser incluso que Google use Akamai como CDN o para servir algún tipo de contenido.


Aquí me perdí, no se a que te refieres con que "enmascara" el servidor de destino. ¿A que te refieres?