Capturando Tráfico con WIRESHARK
Wireshark es una herramienta libre para investigar la información que viaja a través de una red, es lo que llamamos un Sniffer.
Para entender lo que hacen programas como Wireshark tenemos que entender como viaja el tráfico en una red. Cuando recibimos una información dirigida a nosotros a través de la red tendemos a pensar que esa información a viajado directamente desde su emisor hasta nosotros y nada mas lejos de la realidad. Esa información se ha dividido en paquetes y cada uno de esos paquetes va viajando por el camino que en cada momento es considerado el mas adecuado y va saltando de tarjeta de red en tarjeta de red hasta que encuentra la que corresponde a su Receptor.
Habitualmente las tarjetas de red tienen la buena costumbre de no hacer caso de los paquetes que no son para ellas, sin embargo esta configuración se puede cambiar y hacer que nuestra tarjeta de red trabaje en Modo Promiscuo, de esta forma la tarjeta va capturando todo el trafico que pasa por ella aunque su destinatario sea otro. En el “mundo real” seria como ir a una cafetería y ponernos a grabar una conversación entre dos personas que charlan en la mesa del al lado.
Lo que hace un programa Sniffer como WireShark es analizar todo ese trafico que captura nuestra tarjeta de red. Como en muchos otros aspectos de la vida luego cada uno puede hacer buen o mal uso de la información que obtenga por este medio. Por ejemplo, si por este medio detectamos que una aplicación bancaria esta transmitiendo datos bancarios de un usuario de la red sin encriptarlos, bien podríamos tomar medidas para que nuestros usuarios no trabajen con ese programa (y avisar a los responsables para que lo corrijan) o callarnos y utilizar esos datos para hacer una transferencia desde la cuenta del usuario a nuestra cuenta de las islas Caimán.
Analizando un protocolo inseguro: TELNET.
Telnet es un protocolo que nos permite conectarnos remotamente a un servidor y trabajar en el como si estuviéramos allí físicamente, eso si, en modo consola.
La forma de conectarnos a través de telnet seria abriendo una Ventana de Comandos y escribiendo Telnet Direccion_IP/Nombre_Dominio Puerto, por ejemplo telnet http://www.google.com 80 nos conectaría con en servidor web que aloja la pagina de Google.
Este protocolo está bastante en desuso debido al problema de seguridad que plantea el hecho de que los datos que se intercambian con el servidor viajan por la red en texto plano (sin encriptar), con lo que cualquiera que capturase ese tráfico podría ver datos como por ejemplo el usuario y contraseña con los que nos conectamos al servidor.
En esta practica vamos a analizar el trafico que (previamente) ha capturado el programa Wideshark de una sesión de Telnet. Para ello nos descargamos las trazas capturadas (telnet-raw.pcap) y abrimos el archivo con el programa Wireshark (que previamente nos hemos descargado de https://www.wireshark.org/#download. Vamos a File, Open y seleccionamos el archivo de nuestro disco duro.
Ahora, para facilitar la lectura de los datos vamos a filtrar para dejar solo los relativos al Telnet.
Ahora iremos uno por uno analizando los datos a ver que información podemos sacar y responderemos a las siguientes cuestiones que nos propone la practica:
- ¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
- ¿Qué sistema operativo corre en la máquina?
- ¿Qué comandos se ejecutan en esta sesión?
Lo primero que tenemos que saber es que Telnet envía los caracteres de uno en uno, por lo que es difícil localizar datos como el usuario y contraseña directamente. Sin embargo el programa Wireshark es capaz de poner todos los datos juntos para nosotros, para ello clicamos con el botón derecho sobre uno de los registros de la sesión de telenet y seleccionamos la opción de “Follow TCP Stream“.
Este comando nos devolverá una pantalla con el texto de la sesión telnet desde el que podremos obtener la información necesaria para responder a las preguntas que nos plantea la practica.
¿Qué usuario y contraseña se ha utilizado para acceder al servidor de Telnet?
Usuario: fake y password: user
¿Qué sistema operativo corre en la máquina?
OpenBSD 2.6 (Una version libre de Unix).
¿Qué comandos se ejecutan en esta sesión?
- LS: List, lista los ficheros y directorios.
- LS -a: Como el LS pero con la opcion de mostrar los archivos ocultos.
- PING: hace un ping a http://www.yahoo.com
- EXIT: Cierra las ventanas o las conexiones remotas abiertas.
Con esto doy por finalizada la practica.
hacketicomooc 