20/6/07

Wireshark 101 - Recursos del Wiki

En este Post, me gustaría comentar sobre algunos recursos del Wiki de Wireshark que considero que pueden ser de mucha utilidad para los lectores de este blog.

Por su propia naturaleza, un Wiki permite a muchos autores editar un documento, asi que este es un recurso vivo, con mucha información interesante, y si no lo habías hecho antes, recomiendo darle una visita. a Continuación se describen algunos de los documentos que he encontrado interesantes y con toda seguridad hay más.

El primero que voy a mencionar es la página con información sobre Capture Setup (como en otras oportunidades las páginas del wiki estan en inglés), acá se proporcionan 4 pasos para poder iniciar la captura de paquetes, el paso 3 aplica para capturar el tráfico de la máquina en la que se tiene instalado el wireshark, el paso 4 para capturar tráfico destinado a otras máquinas y el paso 5 da algunas sugerencias para capturar tráfico remotamente, al final hay varios links para más información, por ejemplo el setup para capturar tráfico Wireless, capturar tráfico en VLANs y algunos otros interesantes, capturar tráfico de Bluetooth? bueno, de acuerdo con el wiki, no esta soportado del todo, pero algo se puede analizar

Otra página recomendable, es la que describe como setear el Wireshark para capturar tráfico en una red ethernet (por muchisimo la técnología LAN más utilizada), este es un buen recurso para los que encontraron interesante mi post como capturar tráfico, ya que describe métodos adicionales para poder capturar tráfico, uno que me parecio muy interesante y que espero poner a prueba próximamente es el de capturar insertando una pc (con dos tarjetas de red), entre las dos fuentes de tráfico (referido como Capture using a machine-in-the-middle, en esta página del wiki). También se describen algunos métodos más propios de hackers que otra cosa, recomiendo muchisima precaución al utilizar estos métodos (Capture using a MITM (Man-In-The-Middle) software y MAC Flooding) ya que sus resultados pueden ser impredecibles.

Probablemente estas con todo el deseo de abrir el wireshark y empezar a examinar paquetes, pero también es probable que no cuentes con el permiso para hacerlo en tu red, o simplemente no hay tráfico interesante que examinar, pues bien, no hay más excusas ya que en el Wiki también puedes bajar capturas de paquetes, hay un bonito listado y links hacia donde se pueden obtener más, es una manera interesante de estudiar diferentes protocolos. Conocer como se comporta un protocolo normalmente ayuda para detectar comportamientos anómalos a la hora de resolver problemas.

Hay muchos recursos más, sin embargo por razones de tiempo y espacio, unicamente voy a mencionar una más, y es una página con links de ayuda para resolución de problemas de redes, no es muy amplia, pero puedes encontrar algun recurso que sea de utilidad.

Si encuentras algún recurso que te sea de utilidad y consideras que puede ayudar a otros, no dudes en compartir tus experiencias dejando un comentario.

10 comentarios:

Anónimo dijo...

Hola de nuevo, estaba mirando los ejemplos de captura de tráfico y al principio dice que hay que ver si la versión del wireshark que se utiliza soporta zlib, como veo eso y que es???

Tambien cuando baje el primer ejemplo:

SkypeIRC.cap (libpcap) Some Skype, IRC and DNS traffic.

y lo abri me salieron los siguientes mensajes en el programa:

XMLStub: Unable to open module libxml2.dll

y este otro:

Diameter: Using static dictionary! (Unable to use XML)



Muchas gracias.

Claudio

Leonel Munguia dijo...

Claudio, zlib es una utileria para comprimir y descomprimir archivos, asi que la advertencia en la pagina de captura es que si Wireshark no soporta zlib, los archivos con extensión gz deben ser descomprimidos antes, pero si estas usando la versión más reciente de wireshark en Windows, no deberías preocuparte por esto.
Probe a bajar el archivo que mencionas y abrio sin problemas, lo que si me fije es que primero intente bajar el archivo con un click derecho y guardar como, y el archivo que bajo estaba con extensión htm aun así fue posible abrirlo en wireshark, te sugiero guardar el archivo en una carpeta conocida y luego abrirlo desde el cuadro de dialogo de Wireshark, no deberías tener problema, como te comento, lo acabo de abrir sin problemas, estoy utilizando la version 0.99.5 corriendo en Windows Xp, asegurate de bajar el archivo con la extensión pcap o gz.

Anónimo dijo...

Hola Leonel, gracias por tus prontas respuestas.
He probado haciendo como me dices y estoy utilizando la misma versión del programa y también sobre xp, me sucede lo mismo sigue haciendo referencia a una biblioteca de XML, me dice que está utilizando una biblioteca estática o algo así y que es incapaz de utilizar la de XML. La verdad es que no se bien en que afecta esto ya que de todas formas al cerrar estos dos pequeños cuadros de diálogos se abre el archivo y muestra los paquetes capturados para poder estudiarlos.

Bueno eso es lo que pasa, de todas maneras echare el vistazo al ejemplo de captura pero como te digo no se en que puede afectar estos mensajes que hacen referencia a las bibliotecas de XML.

se despide Claudio.

Leonel Munguia dijo...

Claudio, con relación a tu ultima consulta, no creo que el asunto del XML debiera afectarte, en todo caso, como te comente previamente, asegurate de bajar el archivo con extension .cap, en general, no creo que este asunto del XML sea tan serio, al menos no debería afectar en el análisis de paquetes.

Anónimo dijo...

Hola

he estado buscando informacion sobre el protocolo SMB (Server Message Block), ya que utilice el software para analisis de trafico ethereal y me muestra un warrining en este protocolo, la pregunta es es normal que tenga este protocolo como de los mas usados en mi red ademas del TCPIP.

saludos

Leonel Munguia dijo...

Estimado lector, con relación a tu pregunta sobre SMB, te puedo decir, que si tu red esta basada en sistemas operativos Windows, es normal que tengas mucho tráfico SMB, ya que es el que utiliza Windows para compartir archivos, impresoras, de hecho es un protocolo un poco desconocido y poco documentado, si te interesa conocer más sobre el, puede bajar el libro Implementing CIFS: The Common Internet File Systemeste libro esta orientado a programadores, pero igual da una buena introducción al protocol SMB que te puede ser de utilidad para entender el tráfico de tu red, espero que esta información te sea util, saludos

Anónimo dijo...

Hola a todos, estoy tratando de analizar una trama de DNS con este programa queria saber si existe algun tutorial para revisar como puedo leer esto.

Muchas gracias.

Anónimo dijo...

hola solo quiero saber si es posible leer los comentarios de mesenger, y si se puede ver por el router de internet ya que mi novio vive a la par, de mi casa y yo le doy señal que sale de mi router kiero saber si se puede con wireshark ya que lo instale pero solo me sale el nombre del router cuando el esta conectado, y cuando yo estoy en el mesenger me sale solamente el correo de las pesonas con quien estoy peero no me sale lo que yo escribo te pido tu ayuda solo kiero saber si el me engaña please. te agradecer mucho porfa. contestame pronto

Anónimo dijo...

Hola, desde hace algun tiempo aca he estado investigando acerca de como conectarse a una red inalambrica a larga distancia por medio de mi LapTop... Probe con el CommView y no me detecta mi tarjeta de red inalambrica...
O sera que estoy interpretando mal las cosas...
Por favor si podrias darme una pronta respuesta respecto al tema te lo agradeceria!!

Nota: He investigado que se utiliza la herramienta AirCrack...
una pronta respuesta a mi correo: danny.rusbell@gmail.com

Gracias!!

Anónimo dijo...

Hi!
I’ve been browsing through the section for quite a long time but was feeling shy to subscribe.
today some new cheap sun glasses links for my friends!
[URL=http://sunglasses-for-less.sunglassescheapcheapcheap.info/map.html]sunglasses for less[/URL]
[URL=http://sunglassescheapcheapcheap.info]cheap sunglasses[/URL]
[URL=http://chanel-silver-sunglasses.sunglassescheapcheapcheap.info]chanel silver sunglasses[/URL]
[URL=http://mazzi-sunglasses.sunglassescheapcheapcheap.info]mazzi sunglasses[/URL]
[URL=http://perscription-sunglasses-valentino.sunglassescheapcheapcheap.info]perscription sunglasses valentino[/URL]
[URL=http://sunglasses-clip-on.sunglassescheapcheapcheap.info]sunglasses clip on[/URL]
[URL=http://top-brands-sunglasses.sunglassescheapcheapcheap.info]top brands sunglasses[/URL]
[URL=http://famous-designers-sunglasses.sunglassescheapcheapcheap.info]famous designers sunglasses[/URL]
[URL=http://chole-sunglasses.sunglassescheapcheapcheap.info]chole sunglasses[/URL]
[URL=http://versace-mens-sunglasses.sunglassescheapcheapcheap.info]versace mens sunglasses[/URL]
[URL=http://julbo-sunglasses-website.sunglassescheapcheapcheap.info]julbo sunglasses website[/URL]
[URL=http://versace-cutout-temple-wrap-sunglasses.sunglassescheapcheapcheap.info]versace cutout temple wrap sunglasses[/URL]
[URL=http://coco-chanel-replica-sunglasses.sunglassescheapcheapcheap.info]coco chanel replica sunglasses[/URL]
[URL=http://prada-sunglasses-06e.sunglassescheapcheapcheap.info/map.html]prada sunglasses 06e[/URL]
[URL=http://kids-sunglasses.sunglassescheapcheapcheap.info]kids sunglasses[/URL]
[URL=http://older-armani-sunglasses.sunglassescheapcheapcheap.info]older armani sunglasses[/URL]
[URL=http://styleyes-sunglasses.sunglassescheapcheapcheap.info]styleyes sunglasses[/URL]
[URL=http://sunglasses-bugatti.sunglassescheapcheapcheap.info]sunglasses bugatti[/URL]
[URL=http://christain-dior-sunglasses.sunglassescheapcheapcheap.info]christain dior sunglasses[/URL]
[URL=http://victoria-sunglasses.sunglassescheapcheapcheap.info]victoria sunglasses[/URL]
[URL=http://roxy-foxy-sunglasses.sunglassescheapcheapcheap.info]roxy foxy sunglasses[/URL]

Your [b]sun glasses[/b] doctor