|
Título: Wireshark. Duda analizando paquetes Publicado por: banderas20 en 17 Mayo 2020, 19:22 pm Buenas,
estoy iniciándome en Wireshark. Para hacer una prueba de concepto he hecho una captura de tramas en mi PC local. La prueba es muy sencilla: "Me conecto con Firefox a Google y pongo en el buscador una palabra clave" Al abrir Wireshark, veo mi IP local, mi dirección MAC y que el user-agent es Firefox. Hago filtrados por protocolos http, pero me quedo bloqueado en lo siguiente: - No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada) - No veo la palabra buscada - Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí. - No sé ver el PID. ¿Me podéis orientar un poco? Muchas gracias! Título: Re: Wireshark. Duda analizando paquetes Publicado por: El_Andaluz en 17 Mayo 2020, 21:16 pm Citar ¿Me podéis orientar un poco? Hola buenas mira este enlace es un Manual del Wireshark en Español a ver si te Orientas un poco. http://manualwireshark.blogspot.com/ (http://manualwireshark.blogspot.com/) Título: Re: Wireshark. Duda analizando paquetes Publicado por: banderas20 en 17 Mayo 2020, 23:24 pm Hola buenas mira este enlace es un Manual del Wireshark en Español a ver si te Orientas un poco. http://manualwireshark.blogspot.com/ (http://manualwireshark.blogspot.com/) Muchas gracias por el 5ª resultado de Google. Ya lo había visto, así como la documentación oficial de Wireshark y varios tutoriales. Mi intención no es hacer una tesis doctoral sobre Wireshark, sino resolver algunos puntos específicos (como reza el título del hilo). Para eso he recurrido a un foro. Seré más específco: ¿alguien me puede dar alguna indicación para resolver en particular una o varios de las siguientes dudas? Cita de: banderas20 - No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada) - No veo la palabra buscada - Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí. - No sé ver el PID. Muchas gracias! Título: Re: Wireshark. Duda analizando paquetes Publicado por: MinusFour en 17 Mayo 2020, 23:45 pm El tráfico de google probablemente este ahí pero ten en cuenta que el tráfico viene cifrado (porque usas HTTPS). Wireshark no decifra el tráfico por defecto. Wireshark necesita poder acceder a las llaves necesarias para poder descifrar el contenido. Aqui hay una guía muy básica de como hacerlo. (https://wiki.wireshark.org/TLS#Using_the_.28Pre.29-Master-Secret) Si no puedes exportar las llaves de los clientes SSL olvidalo.
Por otro lado, puedes usar curl o cualquier otro cliente para hacer una petición por HTTP si es que el servidor al que quieras probar lo soporta (muy probable que sí). Título: Re: Wireshark. Duda analizando paquetes Publicado por: EdePC en 18 Mayo 2020, 00:41 am Saludos,
- Google funciona sobre TLS (https) así que los paquetes estarán cifrados y no podrá "ver" nada. Solo se pueden "ver" los paquetes sin cifrar como DNS, HTTP, FTP, etc. - Wiresharp permite especificarle un fichero SSLKEYLOGFILE el cual contiene una cache de las TLS Keys utilizadas para cifrar los paquetes TLS. - Por defecto Chrome y Firefox permiten especificar precisamente este fichero, para hacerlo tienes que crear una variable de entorno de nombre: SSLKEYLOGFILE cuyo contenido será la ruta donde quieras que esté tu fichero, en mi caso lo configuraré en mi escritorio. Puedes abrir una línea de comandos (CMD) y copiar/pegar lo siguiente: -- Primero cierra Firefox o Chrome Citar SetX SSLKeyLogFile %UserProfile%\Desktop\sslkeys.txt -- Luego abres Firefox o Chrome (de preferencia con un bloqueador de anuncios como uBlock Origin para evitar tantas peticiones de publicidad o rastreo) y pones a WireShark a capturar tu data. -- Ahora ve a WireShark > Edit >Preferences > Protocols > TLS > Pre-Master Secret Log File y ahí buscas y elijes tu fichero sslkeys.txt -- Entonces debes de poder ver los TLS decifrados con nombre HTTP2, puedes buscar con Ctrl + F, seleccionar String y tipear tu palabra a buscar. - Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark (https://www.nirsoft.net/utils/tcplogview.png) Título: Re: Wireshark. Duda analizando paquetes Publicado por: banderas20 en 18 Mayo 2020, 08:07 am Cita de: MinusFour . Cita de: EdePC . Entiendo que no pueda ver el tráfico. Es lógico que vaya cifrado. :) Lo que me sigue extrañando es la conexión a Akamai. Me enmascara el servidor de destino... Muchas gracias por la información que me habéis indicado. Es muy útil. ;) Un saludo! Título: Re: Wireshark. Duda analizando paquetes Publicado por: el-brujo en 5 Junio 2020, 17:09 pm Citar - No sé ver el PID. Citar - Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark Correcto. De hecho casi ningún analizador de tráfico saldrá el PID, tendrá que ser algo más avanzado o especifico. Te recomiendo la herramienta ntopng mucho más "visual" para analizar tráfico. wireshark está muy bien cuando ya tienes experiencia previa analizado tráfico en formato pcap, por ejemplo. Pero para empezar es una herramienta más complicada. Citar Lo que me sigue extrañando es la conexión a Akamai. Me enmascara el servidor de destino... Akamai es una CDN muy grande, puede ser el mismo antivirus que se conecte ahí o navegando cualquier imagen o script esté almacenado allí. Puede ser incluso que Google use Akamai como CDN o para servir algún tipo de contenido. Citar Me enmascara el servidor de destino... Aquí me perdí, no se a que te refieres con que "enmascara" el servidor de destino. ¿A que te refieres? |