Wireshark

BocaDePez 18 septiembre 2013 18:09

⋮

Estoy haciendo pruebas con el Wireshark.

Bueno, ciertamente detecta las páginas a las que entro desde mi ordenador e incluso las contraseñas para entrar en foros y demás.

Ahora bien, he puesto un segundo ordenador en mi red y le he instalado el Wireshark. La idea es que este segundo ordenador haga el rol de un intruso que entrase en mi red. He seguido utilizando el primer ordenador de igual manera entrando en páginas y foros con la esperanza que el wireshark del segundo ordenador detectase páginas y contraseñas. Pero nada de nada.

Aunque el segundo pc (el que simula a un intruso) no tiene abierta ninguna pestaña ni nada (sólo el wireshark) y el primer pc tiene mucho tráfico esto no queda reflejado en el programa Wireshark. En las cápturas apenas detecta la actividad del primer ordenador (y eso aún incluso poniéndole su ip en el filtro). Por supuesto no me dice las páginas a las que voy y menos aún las contraseñas.

Experimento = fracaso

¿Alguién puede explicarme cómo hacer que el Wireshark pueda auditar a un pc externo (pero en la misma red lógicamente) de la misma manera que lo hace con el pc en el que está instalado?

sds

soulreaver 18 septiembre 2013 18:14

⋮

mmm, no tramas nada bueno eh.

1saludo:D

BocaDePez 18 septiembre 2013 18:46

⋮

Busca en Internet acerca de ARP Spoofing y ethereal o similares, es lo que tienes que hacer en una red conmutada (con switches). Si tuvieras un hub en vez de un switch no necesitarías hacer nada de eso.

BocaDePez 18 septiembre 2013 20:00

⋮

Si tienes un switch es el comportamiento esperado. Si el switch que usas es gestionable tal vez puedas activar el port mirroring.

BocaDePez 18 septiembre 2013 21:01

⋮

Hola a todos. Gracias por las respuestas.

Son dos ordenadores en la red. El que hace de victima es un ordenador de sobremesa conectado a la red por cable. El que hace de intruso es un portatil conectado por wifi. El router es un Hitron BVW.

Lo único que quiero es el conocimiento, saber utilizar esos programas y experimentar con ellos. No es para atacar al vecino ni nada por el estilo.

Voy a buscar sobre ARP Spoofing como dice selur a ver si puedo conseguir algo.

Respecto a lo que dice BocadePez pues no sé si el Hitron tiene eso de port mirroring. Pero veré a ver.

Gracias y un saludo.

✖

WiLZy 19 septiembre 2013 09:00

⋮

Si "suplantas" la tabla ARP del Switch conseguirás que direccione el tráfico de la "víctima" también a tu "PC intruso".

También puedes intentar hacer un "MAC Flood" para saturar la tabla del switch y que actúe como un hub, redirigiendo el tráfico a todos sus puertos, aunque también se puede quedar frito :)

De todos modos yo conectaría tu "equipo intruso" a otro puerto del Switch, para evitar problemas con la WiFi.

✖

BocaDePez 19 septiembre 2013 16:03

⋮

La WiFi actúa como hub y todos los paquetes se transmiten al medio (en este caso ondas radioeléctricas)... pero claro, si una MAC está asociada a un puerto físico, supongo que por mucho que nos pongamos en modo promiscuo, el switch no transmitirá paquetes al resto sin que la clonemos, ¿no?

El ARP spoofing funciona cuando se alcanza el objetivo por IP. Pero una vez obtenida la MAC original, los equipos que habían contactado con el objetivo previamente al spoofing, se la habían guardado en su tabla de ARP en memoria RAM y no vuelven a consultarla hasta que caduca. Si el trasiego de datos es continuo, la entrada puede que no llegue a caducar. El tiempo dependerá de la implementación de la pila; en un Windows Server por ejemplo es de 600 segundos.

✖

BocaDePez 19 septiembre 2013 16:08

⋮

^^^^ Donde digo "consultarla" quería decir "solicitarla" enviando un ARP Request ^^^^

BocaDePez 20 septiembre 2013 16:04

⋮

Hola a todos.

Siguiendo las recomendaciones de varios usuarios, estuve viendo algo de ARP Spoofing y cosas así y me hice con un software denominado "Cain y Abel" que según leí se puede utilizar conjuntamente con Wireshark.

Bueno pues puse a la vez "Cain y Abel" y "Wireshark" en el ordenador portatil (que ejerce como intruso) y los puse a snifar del ordenador de sobremesa (que hace de victima).

Lo primero que tengo que decir es que tan pronto puse a funcionar esos programas la velocidad de internet del ordenador de sobremesa cayó en picado. Tengo 20 Mbs con R y yo creo que debió de caer a menos de 1. Internet iba lentísimo y tardó un montón en abrir las páginas.

Bueno, el experimentó consistió en abrir las páginas de Google y de tres periódicos (El Pais, El Mundo y un diario local) además de dos foros (uno de astronomía y del espacio y otro de política).

En los foros, además, entré con mi nombre de usuario y mi contraseña.

Resultado:

El resultado podemos decir que fue de "éxito" pero muy relativo.

Veamos, Wireshark y Cain y Abel pillaron el nombre de las páginas de los tres periódicos además de Google. Pero ni papa de los foros. Para esos programas sólo visité Google y los tres periódicos pero no fui a ningún foro. Por supuesto ni que decir que no me dio ni nombres de usuario ni menos contraseñas.

Hice un segundo experimento. Los resultados de éste fueron aún más pobres.

Volví a ir a El Mundo y esta vez al periódico Público.

Entré, además, en otros dos foros (uno de informática) y otro de un club de fútbol del que soy seguidor. Volví a entrar con mi nombre de usuario y contraseña.

Esta vez Wireshark pilló que había visitado la página del diario El Mundo pero no supo nada de la de Público ni nada en absoluto de los dos foros que visité (y nada, por supuesto, del nombre de usuario y contraseña). Por su parte "Cain y Abel" sólo pillo que había estado en la página del foro de internet (pero no detectó ni el nombre de usuario ni la contraseña). Tampoco detectó el otro foro en el que estuve ni los periódicos que visité.

Bueno, pues ese ha sido el resultado. Continuaré experimentando.

sds

BocaDePez 27 septiembre 2013 18:34

⋮

Hola, he vuelto a realizar capturas pero esta vez he desactivado el antivirus y el firewall de Windows del equipo victima.

Al hacer esto sí que he podido detectar todas las páginas que visite durante el experimento así como algunas claves (no todas) y nombres de usuarios de foros que visité.

Claro, pero esto es si desactivo tanto el antivirus como el cortafuegos.

Entonces me pregunto ¿hay forma de burlar estos escudos defensivos?

saludos