Autor Tema: Wireshark para toda mi red (router WiFI)  (Leído 18651 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Maki

  • Visitante
Wireshark para toda mi red (router WiFI)
« en: 24-06-2008, 15:37 (Martes) »
Buenas,

Uso Ubuntu y me he bajado el Wireshark. Empiezo a sniffar mi red y veo los paquetes que me llegan, con protocolo HTTP, TCP, MSNMS e incluso puedo ver las conversaciones de msn que estoy teniendo filtrando el protocolo MSNMS y mirando directamente los paquetes, pero eso no es lo que me interesa.
Quiero ser capaz de hacer todo eso pero usando el trafico de toda la red, no solo el que viene a mi ordenador.
He leido sobre eso y decian que habia que poner la tarjeta WiFi en modo monitor.
La he puesto y empece a capturar con el Wireshark pero no me aparece lo mismo que antes, me vienen infinidad de paquetes Broadcast, WLAN, etc. Nada de HTTP o MSNMS.
Que hago mal?

Gracias



ChimoC

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #1 en: 24-06-2008, 15:53 (Martes) »
Buenas:

Imagino que te referiras a modo promiscuo....

O bien ponerte en modo monitor usando airodump.... capturar los paquetes, pasar el airdecap y abrir ese dec.cap con wireshark.... (pero de esta formo última no monitoreas en tiempo real)

Un saludo

ChimoC

Maki

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #2 en: 24-06-2008, 16:01 (Martes) »
En opciones activo el modo promiscuo y tampoco consigo ningun paquete dirigido a mi otro PC que esta conectado en la misma red WiFi que yo, asi que no se si es que todas las tarjetas no aceptan ese modo o que hay que hacerlo de otra forma.

Lo otro que me has dicho me parece interesante, no lo sabia lo probare, pero claro, estoy mas interesado en hacerlo en tiempo real xd.
-Edito- Lo he intentado pero no puedo abrir el dec.cap con el Wireshark, como lo hago?

Gracias por responder.
« Última modificación: 24-06-2008, 16:17 (Martes) por Maki »

spanslus9mm

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #3 en: 25-06-2008, 13:53 (Miércoles) »
Buenas
Citar
Lo he intentado pero no puedo abrir el dec.cap con el Wireshark, como lo hago?
El wireshark abre directamente los archivos .cap


Con el método que te comenta ChimoC puedes ver todo el tráfico de la red. No es en tiempo real, pero es la forma más sencilla.


Para capturar en tiempo real toda la red debes poner la tarjeta en modo promiscuo instalando winpcap. Y que tu tarjeta lo soporte.
Los problemas que se presentan con este procedimiento es que la red normalmente va con switch no con hub:
http://es.wikipedia.org/wiki/Hub_VS._Switch

Para sniffar tráfico que no va dirigido a ti en modo promiscuo y bajo un switch necesitas hacer envenenamiento ARP.

Saludos ;)

Maki

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #4 en: 25-06-2008, 14:17 (Miércoles) »
Acerca de los archivos cap/Wireshark:

Lo he abierto arrastrandolo a la ventana de Wireshark y no me aparecen paquetes HTTP, MSNMS, TCP, etc. Me salen como si estuviera capturandolos con Wireshark y la tarjeta puesta en modo monitor.
Probare lo que me has dicho de modo promiscuo, gracias (aunque se supone que lo hace Wireshark por si solo).
----------------
Tema principal:

Creo que mi principal problema radica en un no conocimiento de algunos conceptos basicos.

Mi router WiFi puede ir con hub o con switch?

He leido ese link pero no me ha quedado del todo claro.

En ese caso dependiendo de como conecte mi router los ordenadores tendria que hacer una cosa u otra, no?

Gracias por responder.
« Última modificación: 25-06-2008, 14:24 (Miércoles) por Maki »

spanslus9mm

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #5 en: 25-06-2008, 16:36 (Miércoles) »
Citar
Acerca de los archivos cap/Wireshark:

Lo he abierto arrastrandolo a la ventana de Wireshark y no me aparecen paquetes HTTP, MSNMS, TCP, etc. Me salen como si estuviera capturandolos con Wireshark y la tarjeta puesta en modo monitor.

Lo más probable es que estes intentando abrir una captura encriptada. ¿Le pasaste el airdecap? Otra opción es desencriptar la captura desde el propio wireshark
Preferencias >>Protocolo>>IEEE 802.11 ahí pones tu clave WEP/WPA y te desencripta la captura.

Citar
Creo que mi principal problema radica en un no conocimiento de algunos conceptos basicos.

Mi router WiFi puede ir con hub o con switch?

Creo que ya no quedan muchos hub por ahí. :P
Todos los routers actuales funcionan como Switch.

Saludos ;)

Maki

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #6 en: 25-06-2008, 22:17 (Miércoles) »
Citar
Acerca de los archivos cap/Wireshark:

Lo he abierto arrastrandolo a la ventana de Wireshark y no me aparecen paquetes HTTP, MSNMS, TCP, etc. Me salen como si estuviera capturandolos con Wireshark y la tarjeta puesta en modo monitor.



Lo más probable es que estes intentando abrir una captura encriptada. ¿Le pasaste el airdecap? Otra opción es desencriptar la captura desde el propio wireshark
Preferencias >>Protocolo>>IEEE 802.11 ahí pones tu clave WEP/WPA y te desencripta la captura.

Lo pase por airdecap tambien pero entonces es que nisiquiera lo abre el Wireshark, y hago lo que has dicho desde el Wireshark y no me cambia nada :-s



Cita de: spanslus9mm
Citar
Creo que mi principal problema radica en un no conocimiento de algunos conceptos basicos.

Mi router WiFi puede ir con hub o con switch?

Creo que ya no quedan muchos hub por ahí. :P
Todos los routers actuales funcionan como Switch.

Saludos ;)


Entonces intentare hacer un envenenamiento ARP como antes dijiste. Mas o menos como funciona?


Gracias por las respuestas :-)

ChimoC

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #7 en: 26-06-2008, 00:04 (Jueves) »
Buenas:

Con wireshark abres el XXX-dec.cap

Recuerda que preguntas que nada tengan que ver con el hilo original a un nuevo post....así= foro ordenado  ;)

Un saludo

ChimoC

uNbAs

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #8 en: 26-06-2008, 16:22 (Jueves) »
El problema de que con wireshark solo puedas ver el traffico de tu pc es por que estas conectado a un router, exiten bastantes diferencias entre un hub un swicht y un router.

No te voy a decir la teoria ni las diferencias por que son un coñazo.

Si estubieses conectado a un hub podrias ver todo el traffico de los ordenadores que estubiesen conectados.

Con un swicht o router solo podras ver lo que pasa por ese odenador.

Si quieres informacion mas detallada pidela, pero es por la estructuracion de la pila OSI, y dominios de difusion y colision de estos dispositivos.

Si quisieras sniffar toda la red, necesitarias entrar en temas de hacking basico y logicamente tener conocimientos, amplios y avanzados de red y dispositivos de red.

Mediante wifi como te dicen si capturas un ratito de traffico y filtras los protocolos, podras ver todo el traffico aereo que hay en el aire, pero antes tendras que desencriptar el paquete, para ver los datos de la captura, sino mal lo llebas.

Maki

  • Visitante
Re: Wireshark para toda mi red (router WiFI)
« Respuesta #9 en: 26-06-2008, 17:12 (Jueves) »
Ok, ya voy pillando las cosas. Me he bajado el ettercap para hacer un envenenamiento ARP al router y a ver si me sale ya bien.

He hecho otro topic sobre ettercap para que, como dijo ChimoC, este todo mas o menos en orden.

Gracias por las respuestas :-)