Sobre Wireshark

Foro de elhacker.net

Seguridad Informática

Seguridad (Moderador: r32)

Sobre Wireshark

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Sobre Wireshark (Leído 4,570 veces)

Agustín Cuba

Desconectado

Mensajes: 22

Sobre Wireshark

« en: 13 Marzo 2023, 14:16 pm »

Hola amigos.

Esto es unaseguencia tomada de wireshark

¿Qué puede provocar que una máquina esté preguntando repetidamente Who has por toda la red??

Esta máquina, (la 55) está haciendo esto constantemente

Broadcast   ARP   60   Who has 10.90.30.20? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.179? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.152? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.78? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.12? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.105? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.201? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.221? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.188? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.11? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.178? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.238? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.222? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.224? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.156? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.243? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.10? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.33? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.46? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.84? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.121? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.63? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.190? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.1? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.194? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.79? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.94? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.77? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.214? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.143? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.4? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.248? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.8? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.65? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.28? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.34? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.166? Tell 10.90.30.55
   Broadcast   ARP   60   Who has 10.90.30.162? Tell 10.90.30.55


	En línea

Danielㅤ

Desconectado

Mensajes: 1.825

🔵🔵🔵🔵🔵🔵🔵

Re: Sobre Wireshark

« Respuesta #1 en: 13 Marzo 2023, 15:33 pm »

Hola, lo que hace esa maquina es enviar instrucciones para obtener información de esas IPs que han conectado en ella, es algo parecido a revisar un log de accesos.

Saludos


	En línea

Agustín Cuba

Desconectado

Mensajes: 22

Re: Sobre Wireshark

« Respuesta #2 en: 13 Marzo 2023, 20:24 pm »

Sí Daniel, pero eso no debería hacerlo. Ninguna otra máquina de la red se comporta tal obsesiva. Incluso, no me doy cuenta que las otras computadoras le respondan.
Ahí veo un comportamiento anómalo, pero no sé cuál es la razón.

Gracias por responder


	En línea

Danielㅤ

Desconectado

Mensajes: 1.825

🔵🔵🔵🔵🔵🔵🔵

Re: Sobre Wireshark

« Respuesta #3 en: 13 Marzo 2023, 21:16 pm »

No, anómalo no es porque la herramienta puede hacer eso, en todo caso sería inusual.
Si esa máquina hace eso y las demás no, seguramente es porque algo tiene configurado distinto a las demás, deberías revisar la configuración de las otras máquinas y comparar.

Si compruebas que esa máquina tiene una configuración distinta y la herramienta está en constante funcionamiento, deberías cerrar la herramienta, cambiar la configuración y volverla a correr, en el caso que tengas que cerrarla o sino cambia la configuración y luego haz un refresco de la configuración (si es que esta disponible esa opción).


« Última modificación: 13 Marzo 2023, 21:17 pm por Danielㅤ »	En línea

Agustín Cuba

Desconectado

Mensajes: 22

Re: Sobre Wireshark

« Respuesta #4 en: 14 Marzo 2023, 13:18 pm »

Gracias. El asunto es que he revisado esa máquina y no encuentro qué configuración o programa hace que la computadora se comporte de esa forma, por eso pregunté.
No sé si es un programa mal instalado, un intento de suplantación de ip... No me he dado cuenta de qué programa ha provocado ese comportamiento


	En línea

Danielㅤ

Desconectado

Mensajes: 1.825

🔵🔵🔵🔵🔵🔵🔵

Re: Sobre Wireshark

« Respuesta #5 en: 14 Marzo 2023, 14:40 pm »

Bien, lo que podes hacer es abrir el administrador de tareas/procesos y verificar que programas son los que están funcionando, también podes usar un programa para monitorear cuales son los programas que están abiertos y que instrucciones envían, en ésta página hay varias de estas herramientas que podes usar:

https://www.nirsoft.net/

Ahi encontrarás muy buenas herramientas de utilidad que tienen una breve descripción de cómo funcionan, los programas que podrás usar te daras cuenta cuáles son no sólo por la descripción sino por el nombre del programa.


	En línea

Agustín Cuba

Desconectado

Mensajes: 22

Re: Sobre Wireshark

« Respuesta #6 en: 14 Marzo 2023, 14:47 pm »

Daniel Muchas gracias.


	En línea

CaptainH

Desconectado

Mensajes: 37

Re: Sobre Wireshark

« Respuesta #7 en: 3 Abril 2023, 14:52 pm »

Primero descartaría que la IP 10.90.30.55 no tenga algún servicio DNS corriendo, esas consultas son normales en una red LAN cuando tienes una máquina haciendo consultas por PING/Traceroute/NMAP donde intenta a nivel de capa 2 (ARP) saber que MAC corresponde a que IP para guardarlos en su tabla ARP y permitir la comunicación.


	En línea

Agustín Cuba

Desconectado

Mensajes: 22

Re: Sobre Wireshark

« Respuesta #8 en: 3 Abril 2023, 15:11 pm »

Cita de: CaptainH en 3 Abril 2023, 14:52 pm

Bueno, esta máquina no debería estar haciendo estas consultas, porque es de un usuario y debería comportarse como las otras. No he descubierto que esté corriendo algún programa sospechoso. También me llama la ayención de que ninguna máquina le responde el ARP.

Gracias por responder


	En línea

Páginas: [1]

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	Sobre wireshark... Hacking	juanbass	9	8,970	9 Enero 2011, 05:52 am por mtgm
	Duda sobre Wireshark Hacking Wireless	carepapa	7	7,795	5 Septiembre 2011, 02:17 am por MauroMasciar
	Duda sobre sniffear contraseñas con wireshark Hacking Wireless	flyingwifi	6	11,782	14 Junio 2012, 22:48 pm por OLM
	dudas sobre arp-poisoning y wireshark Hacking	Borito30	1	2,866	6 Enero 2017, 11:47 am por Ancasu
	libro sobre Wireshark Redes	D4CK3R	1	4,587	8 Septiembre 2022, 19:05 pm por el-brujo