elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Wireshark. Duda analizando paquetes
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Wireshark. Duda analizando paquetes  (Leído 3,879 veces)
banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Wireshark. Duda analizando paquetes
« en: 17 Mayo 2020, 19:22 pm »

Buenas,

estoy iniciándome en Wireshark. Para hacer una prueba de concepto he hecho una captura de tramas en mi PC local.

La prueba es muy sencilla: "Me conecto con Firefox a Google y pongo en el buscador una palabra clave"

Al abrir Wireshark, veo mi IP local, mi dirección MAC y que el user-agent es Firefox. Hago filtrados por protocolos http, pero me quedo  bloqueado en lo siguiente:


- No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada)
- No veo la palabra buscada
- Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí.
- No sé ver el PID.

¿Me podéis orientar un poco?

Muchas gracias!
En línea

El_Andaluz


Desconectado Desconectado

Mensajes: 4.075



Ver Perfil
Re: Wireshark. Duda analizando paquetes
« Respuesta #1 en: 17 Mayo 2020, 21:16 pm »

Citar
¿Me podéis orientar un poco?


Hola buenas mira este enlace es un Manual del Wireshark en Español a ver si te Orientas un poco.


http://manualwireshark.blogspot.com/
En línea

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Wireshark. Duda analizando paquetes
« Respuesta #2 en: 17 Mayo 2020, 23:24 pm »


Hola buenas mira este enlace es un Manual del Wireshark en Español a ver si te Orientas un poco.


http://manualwireshark.blogspot.com/

Muchas gracias por el 5ª resultado de Google. Ya lo había visto, así como la documentación oficial de Wireshark y varios tutoriales.

Mi intención no es hacer una tesis doctoral sobre Wireshark, sino resolver algunos puntos específicos (como reza el título del hilo). Para eso he recurrido a un foro.

Seré más específco:

¿alguien me puede dar alguna indicación para resolver en particular una o varios de las siguientes dudas?

Cita de: banderas20
- No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada)
- No veo la palabra buscada
- Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí.
- No sé ver el PID.

Muchas gracias!
« Última modificación: 17 Mayo 2020, 23:29 pm por banderas20 » En línea

MinusFour
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.529


I'm fourth.


Ver Perfil WWW
Re: Wireshark. Duda analizando paquetes
« Respuesta #3 en: 17 Mayo 2020, 23:45 pm »

El tráfico de google probablemente este ahí pero ten en cuenta que el tráfico viene cifrado (porque usas HTTPS). Wireshark no decifra el tráfico por defecto. Wireshark necesita poder acceder a las llaves necesarias para poder descifrar el contenido. Aqui hay una guía muy básica de como hacerlo. Si no puedes exportar las llaves de los clientes SSL olvidalo.

Por otro lado, puedes usar curl o cualquier otro cliente para hacer una petición por HTTP si es que el servidor al que quieras probar lo soporta (muy probable que sí).
En línea

EdePC
Moderador Global
***
Desconectado Desconectado

Mensajes: 2.042



Ver Perfil
Re: Wireshark. Duda analizando paquetes
« Respuesta #4 en: 18 Mayo 2020, 00:41 am »

Saludos,

- Google funciona sobre TLS (https) así que los paquetes estarán cifrados y no podrá "ver" nada. Solo se pueden "ver" los paquetes sin cifrar como DNS, HTTP, FTP, etc.

- Wiresharp permite especificarle un fichero SSLKEYLOGFILE el cual contiene una cache de las TLS Keys utilizadas para cifrar los paquetes TLS.

- Por defecto Chrome y Firefox permiten especificar precisamente este fichero, para hacerlo tienes que crear una variable de entorno de nombre: SSLKEYLOGFILE cuyo contenido será la ruta donde quieras que esté tu fichero, en mi caso lo configuraré en mi escritorio. Puedes abrir una línea de comandos (CMD) y copiar/pegar lo siguiente:

-- Primero cierra Firefox o Chrome

Citar
SetX SSLKeyLogFile %UserProfile%\Desktop\sslkeys.txt

-- Luego abres Firefox o Chrome (de preferencia con un bloqueador de anuncios como uBlock Origin para evitar tantas peticiones de publicidad o rastreo) y pones a WireShark a capturar tu data.

-- Ahora ve a WireShark > Edit >Preferences > Protocols > TLS > Pre-Master Secret Log File y ahí buscas y elijes tu fichero sslkeys.txt

-- Entonces debes de poder ver los TLS decifrados con nombre HTTP2, puedes buscar con Ctrl + F, seleccionar String y tipear tu palabra a buscar.

- Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark


En línea

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Wireshark. Duda analizando paquetes
« Respuesta #5 en: 18 Mayo 2020, 08:07 am »

Cita de: MinusFour
.
Cita de: EdePC
.


Entiendo que no pueda ver el tráfico. Es lógico que vaya cifrado. :)

Lo que me sigue extrañando es la conexión a Akamai. Me enmascara el servidor de destino...

Muchas gracias por la información que me habéis indicado. Es muy útil. ;)

Un saludo!
« Última modificación: 18 Mayo 2020, 08:09 am por banderas20 » En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Wireshark. Duda analizando paquetes
« Respuesta #6 en: 5 Junio 2020, 17:09 pm »

Citar
- No sé ver el PID.

Citar
- Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark

Correcto. De hecho casi ningún analizador de tráfico saldrá el PID, tendrá que ser algo más avanzado o especifico. Te recomiendo la herramienta ntopng mucho más "visual" para analizar tráfico.

wireshark está muy bien cuando ya tienes experiencia previa analizado tráfico en formato pcap, por ejemplo. Pero para empezar es  una herramienta más complicada.

Citar
Lo que me sigue extrañando es la conexión a Akamai. Me enmascara el servidor de destino...

Akamai es una CDN muy grande, puede ser el mismo antivirus que se conecte ahí o navegando cualquier imagen o script esté almacenado allí. Puede ser incluso que Google use Akamai como CDN o para servir algún tipo de contenido.

Citar
Me enmascara el servidor de destino...

Aquí me perdí, no se a que te refieres con que "enmascara" el servidor de destino. ¿A que te refieres?
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
paquetes capturados con Wireshark
Wireless en Windows
elzar 0 2,964 Último mensaje 1 Agosto 2010, 06:23 am
por elzar
Wireshark 1.4.1: analizador de paquetes TCP/IP y protocolos de red
Software
wolfbcn 0 2,885 Último mensaje 12 Octubre 2010, 12:19 pm
por wolfbcn
reenviar paquetes obtenidos con wireshark
Dudas Generales
.:UND3R:. 0 3,500 Último mensaje 18 Abril 2011, 00:08 am
por .:UND3R:.
wireshark no me captura paquetes http
Hacking Wireless
_OLAYA_ 8 15,794 Último mensaje 23 Octubre 2012, 16:34 pm
por _OLAYA_
wireshark no detecta los paquetes
Wireless en Windows
maximuzve 0 2,073 Último mensaje 9 Abril 2018, 14:53 pm
por maximuzve
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines