Cómo usar Wireshark para capturar información en la red e interceptar el tráfico

Wireshark es una de las herramientas de análisis de redes más famosas del mundo, tanto porque gratises porque funciona bien y no es muy difícil de usar.
Su fama, sin embargo, se deriva del hecho de que con este programa puedes filtrar, capturar y espiar los paquetes e información que pasan dentro de una red de ordenadores.
El espionaje de paquetes, como se ve en una guía general (entrar en una red wifi protegida para capturar paquetes y espiar lo que se hace en Internet), permite leer cualquier tipo de información que pase en una comunicación clara entre el pc e Internet.
Esto significa que si dos personas están en la misma oficina o casa y se conectan a la misma red (o al mismo router) para ir a Internet, entonces se pueden ver los dos PCs y desde uno de ellos es posible, usando Wireshark, capturar la información del otro, incluyendo los sitios web que visita, contraseñas en texto claro (en sitios no https), correos electrónicos, chats y así sucesivamente.

Wireshark, sin embargo, es sobre todo un programa de análisis de redes muy poderoso usado también por técnicos profesionales y veamos entonces cómo usarlo de forma seria.

Es posible descargar Wireshark para Windows o Mac OS X de su sitio web oficial.
Si estás usando Linux u otro sistema similar a UNIX, Wireshark debería estar en el repositorio de software de la distribución.

Después de descargar e instalar Wireshark, puedes iniciarlo y deberías inmediatamente seleccionar la interfaz de red correcta para analizar.
Por ejemplo, si desea capturar el tráfico en la red inalámbrica, haga clic en la tarjeta de red wifi; de lo contrario, si la red utilizada es con cable, deberá elegir la conexión LAN y así sucesivamente.
Tan pronto como seleccione una interfaz, verá inmediatamente que cualquier información que pase por la red es visible en una lista de desplazamiento continuo.
Si se habilita el control de una red compartida por varias computadoras (como un wifi), y la adquisición de datos se ha activado en modo promiscuotambién verás el paquetes de otras computadoras conectadas a la misma red.
La adquisición en modo promiscuo es posible desde un PC con Windows sólo instalando el Controlador de WinPCap que se incluyen en el paquete de instalación de Wireshark.

En la esquina superior izquierda se puede detener el proceso de captura en tiempo real e interrumpir la captura del tráfico.
Wireshark muestra los datos interceptados con un color diferente para ayudar a identificar los tipos de tráfico más fácilmente.
Por defecto, El tráfico TCP es verdeEl tráfico del DNS es azul oscuro, el del UDP es azul claro; los que están en negro son paquetes TCP con problemas.
Para empezar y ver si funciona, hay que asegurarse de que mientras se navega por Internet abriendo unos cuantos sitios web, los datos y la información sean capturados por Wireshark.
Las llamadas HTTP son las relacionadas con el tráfico de Internet que puede ser el más interesante si quieres encontrar información de navegación como los sitios visitados.
También puedes descargar un archivo de muestra para analizar en Wireshark para

Para evitar perderse en el mar de datos generados es importante utilizar las reglas de filtrado de paquetes.
La forma más fácil de aplicar un filtro es escribir una clave de búsqueda en el cuadro de filtro en la parte superior de la ventana y hacer clic en Aplicar.
Por ejemplo, escribir “http” sólo verás las conexiones hechas a través del navegador en Internet.
Cada paquete puede ser inspeccionado y con sólo hacer clic con el botón derecho del ratón para ver más detalles y el TCP Stream, es decir, el historial de los pasos realizados (por ejemplo, si buscas con Google más cosas, puedes revisar todo el stream).
Desde el menú Analice se pueden aplicar filtros más específicos.

Durante la adquisición de paquetes, puede resultar incómodo y difícil comprender el flujo de datos e información olfateada a través de la red porque sólo se muestran las direcciones IP.
Sin embargo, es posible convertir las direcciones IP en nombres de dominio (para el tráfico http esto significa ver los nombres de los sitios web) activando la funcionalidad desde el menú Editar -; Preferencias ——-; Resolución de nombres y activar “Habilitar la resolución del nombre de la red“.
Al activar esta opción, verá nombres de dominio en lugar de direcciones IP, pero como Wireshark tendrá que buscar cada nombre de dominio, aumentará las solicitudes de DNS al incrementar el flujo de datos.

Si quieres configurar un captura automática de paquetes en tu ordenador, puedes crear un atajo en el escritorio para iniciar rápidamente Wireshark.
Después de crear el enlace, haga clic con el botón derecho, introduzca las propiedades y, donde está escrito “Destino“, añade a la línea, después de las comillas finales, un espacio y luego -i # -k .
en lugar de # tienes que poner el número de la tarjeta de red a comprobar, según el orden que da Wireshark en la fase de selección.

Capturar el tráfico de otras computadoras conectado a la misma red es quizás su propósito más entretenido que nos hace ser un poco hacker en nuestro pequeño (aunque no es tan fácil).
Si quieres grabar el tráfico de la red y espiar la información que pasa a través de un router, servidor u otro ordenadordebes usar el captura remota de Wireshark que, en Windows, utiliza el controlador WinPcap.
Una vez instalado, debe abrir la ventana de servicios de Windows (haga clic en Inicio y escriba en el cuadro Buscar o Ejecutar, el comando Services.msc).
En la lista de servicios, encontrar y activar lo que se llama Protocolo de captura de paquetes a distancia.
Este servicio está desactivado por defecto.
Haga clic en Opciones de captura en la ventana inicial de Wireshark y seleccione Remoto fuera de la caja Interfaz.
A continuación, introduzca la dirección del sistema remoto (por ejemplo, la dirección del sistema remoto. 192.168.2.3) y ¿cómo es que el 2002.
Para trabajar, debes tener acceso a la puerta 2002 en el sistema remoto, así que tendrás que abrir este puerto en el firewall o router de tu ordenador.
Después de la conexión, puede seleccionar una interfaz en el sistema remoto en el cuadro donde aparecen las tarjetas de red y hacer clic en Iniciar para comenzar a registrar las conexiones realizadas desde ese equipo.

En este video puedes ver un tutorial introductorio muy bien hecho para aprender a usar Wireshark.

Wireshark es una herramienta extremadamente poderosa aunque sólo los más experimentados pueden entenderla completamente y utilizarla para hacer todo tipo de operaciones en una red.
Este tutorial es sólo una introducción a todo lo que puedes hacer (aquí está el manual completo en inglés); sólo debes saber que los profesionales lo utilizan para depurar instalaciones de protocolo de red, para analizar problemas de seguridad y controlar el tráfico en las empresas.
Por último, una recomendación final: muchas organizaciones no permiten que Wireshark o herramientas similares actúen en sus redes (cuestión de la privacidad), por lo que no debe arriesgarse a utilizarlo en la oficina a menos que tenga permiso.

Si quieres probar programas más simples, te recomiendo que descargues el Herramienta Nirsoft para olfatear la red de ordenadores y ver los sitios visitados, las búsquedas en Internet y las contraseñas..

Red