Saltar al contenido

Tutorial de Wireshark: rastreador de redes y contraseñas

Las computadoras se comunican mediante redes. Estas redes pueden estar en una red de área local LAN o expuestas en Internet. Los rastreadores de red son programas que toman paquetes de datos de bajo nivel transmitidos a través de una red. Un atacante puede analizar esta información para encontrar información valiosa, como identificadores de usuario y contraseñas.

En este artículo, le presentaremos técnicas y herramientas comunes de rastreo de redes que se utilizan para rastrear redes. También analizaremos las contramedidas que puede tomar para proteger la información confidencial transmitida a través de una red.

Materiales cubiertos en este tutorial

¿Qué es el rastreo de redes?

Las computadoras se comunican transmitiendo mensajes a través de una red utilizando direcciones IP. Cuando se envía un mensaje a través de una red, la computadora receptora responde con la dirección IP coincidente con su dirección MAC.

El rastreo de redes es el proceso de interceptar paquetes de datos enviados a través de una red.Esto se puede hacer con el programa de software o el equipo de hardware. Oler se puede utilizar para;

Los siguientes son protocolos que son vulnerables a la detección

Los protocolos anteriores son vulnerables si los datos de inicio de sesión se envían en texto sin formato

Olfateo pasivo y activo

Antes de analizar el rastreo pasivo y activo, echemos un vistazo a dos dispositivos principales que se utilizan para conectar computadoras en red; concentradores y conmutadores.

Un concentrador funciona enviando mensajes de transmisión a todos los puertos de salida que no sean el que envió la transmisión.. La computadora receptora responde al mensaje de transmisión si la dirección IP coincide. Esto significa que al utilizar un concentrador, todas las computadoras de la red pueden ver el mensaje de transmisión. Opera en la capa física (capa 1) del modelo OSI.

El siguiente diagrama muestra cómo funciona el concentrador.

Un interruptor funciona de forma diferente; asigna direcciones IP / MAC a puertos físicos en él. Los mensajes de difusión se envían a los puertos físicos que coinciden con las configuraciones de dirección IP / MAC de la computadora receptora. Esto significa que los mensajes de difusión solo pueden ser vistos por la computadora receptora. Los conmutadores operan en la capa de conexión de datos (capa 2) y en la capa de red (capa 3).

El siguiente diagrama muestra cómo funciona el interruptor.

El rastreo pasivo implica paquetes transmitidos a través de una red que utiliza un concentrador.. Se llama olfateo pasivo porque es difícil de detectar. También es fácil de hacer, ya que el concentrador envía mensajes de difusión a todas las computadoras de la red.

El rastreo activo implica la transmisión de paquetes a través de una red que utiliza un conmutador.. Se utilizan dos métodos principales para rastrear redes de conmutador de enlace, ARP Poisoning y MAC flooding.

Actividad de piratería: olfatear el tráfico de la red

En este caso práctico, debemos use Wireshark para oler los paquetes de datos a medida que se transmiten a través del protocolo HTTP. Por ejemplo, huele la red usando Wireshark, luego iniciamos sesión en una aplicación web que no usa comunicación segura. Iniciaremos una aplicación web en http://www.techpanda.org/

La dirección de inicio de sesión es Esta dirección de correo electrónico está protegida contra spambots. Necesita tener JavaScript habilitado para verlo.y la contraseña Contraseña2010.

Nota: iniciaremos sesión en la aplicación web solo con fines de demostración. La técnica puede oler paquetes de datos de otras computadoras en la misma red que la que estás usando para rastrear. El rastreo no solo se limita a techpanda.org, sino que rastrea todos los paquetes de datos HTTP y otros protocolos.

Oler la red con Wireshark

El siguiente diagrama muestra los pasos que debe seguir para realizar este ejercicio sin confusión.

Descarga Wireshark desde este enlace http://www.wireshark.org/download.html

  • Abrir Wireshark
  • Obtendrá la siguiente pantalla
  • Seleccione la interfaz de red que desea rastrear. Nota para esta demostración, estamos usando una conexión de red inalámbrica. Si está en una red de área local, debe seleccionar la interfaz de red de área local.
  • Haga clic en el botón de inicio como se muestra arriba
  • El correo electrónico de inicio de sesión es Esta dirección de correo electrónico está protegida contra spambots. Necesita tener JavaScript habilitado para verlo. y la contraseña Contraseña2010
  • Haga clic en el botón enviar
  • Un inicio de sesión exitoso debería proporcionarle el siguiente panel
  • Vuelve a Wireshark y detén la captura en vivo.
  • Filtre los resultados del protocolo HTTP simplemente usando el cuadro de texto del filtro
  • Busque la columna Información y busque entradas con el verbo HTTP POST y haga clic en ella
  • Justo debajo de las entradas del registro hay un panel con un resumen de los datos capturados. Busque el resumen que dice Datos basados ​​en texto en línea: application / x-www-form-urlencoded
  • Debería poder ver los valores de texto sin formato de todas las variables POST enviadas al servidor a través del protocolo HTTP.

¿Qué es MAC Flood?

La inundación de MAC es una técnica de rastreo de red que inunda el conmutador de la tabla MAC con direcciones MAC falsas. Esto da como resultado que la memoria del conmutador se sobrecargue y actúe como un concentrador. Cuando el conmutador se ve comprometido, envía los mensajes de difusión a todas las computadoras de una red. Esto puede oler paquetes de datos a medida que se envían en la red.

Contramedidas contra inundaciones MAC

Medidas de recuento de olfateo

Resumen