Wireshark es un analizador de paquetes que permite configurar el dispositivo de red en modo promiscuo para ver todo el tráfico en la red o entre una fuente y destino específicos. Wireshark se puede utilizar para la resolución de problemas, detectar anomalías en paquetes de tráfico, fines de piratería y desarrollo de protocolo. Está disponible para Linux, Unix, Mac y Windows.
Además del proceso de instalación, este documento también explica cómo comenzar con Wireshark para capturar el tráfico relevante como las contraseñas.
Todos los pasos que se muestran en este tutorial incluyen capturas de pantalla, lo que facilita que todos los usuarios de Debian/Ubuntu los sigan."
Instalación de Wireshark en Debian 11
Instalar Wireshark en Debian y sus distribuciones de Linux es bastante fácil con el Administrador de paquetes APT.
Antes de instalarlo, actualice el repositorio de paquetes ejecutando el siguiente comando.
Actualización de sudo apto
Después de actualizar repositorios, instale Wireshark ejecutando el comando a continuación.
sudo apt install wireshark -y
Durante el proceso de instalación, se le preguntará si Wireshark se puede ejecutar como un usuario sin privilegios o solo como un raíz. Si usted es el único que usa su computadora, puede presionar Sí; De lo contrario, se recomienda presionar No.
Si seleccionó la opción No, Luego debe ejecutar Wireshark con privilegios como se muestra a continuación. Si seleccionó Sí, Luego puede abrir Wireshark desde el entorno gráfico como se muestra en la siguiente captura de pantalla.
Si se permitió el acceso de los usuarios no privilegiados, también puede abrir Wireshark desde el entorno gráfico en Internet.
Los usuarios no privilegiados con acceso también pueden ejecutar Wireshark desde la línea de comandos.
La interfaz de usuario de Wireshark
En la pantalla inicial de Wireshark, debe seleccionar la interfaz de red cuyo tráfico desea analizar. También puedes seleccionar Cualquier para escuchar a través de todos los dispositivos de red. En mi caso, elegiré mi interfaz de red inalámbrica, WLP3S0.
Una vez que seleccione su dispositivo de red, haga doble clic en él o presione el icono de aleta ubicado en la esquina superior izquierda debajo Archivo.
Después de presionar el dispositivo de red o el ícono de la aleta, Wireshark comenzará a escuchar el tráfico.
La interfaz de usuario de Wireshark se puede dividir en 6 secciones: Menú, Barra de herramientas, Barra de herramientas de filtro, Lista de paquetes, Detalle de paquetesarena Bytes de paquetes.
Las flechas en la captura de pantalla a continuación muestran la lista de paquetes (sección superior), los detalles del paquete (sección central) y la sección Bytes de paquetes (sección inferior).
Si selecciona un paquete de la sección superior (lista de paquetes), la sección central (detalles del paquete) mostrará una descripción del paquete seleccionado, y la sección inferior (bytes de paquetes) muestra un volcado hexagonal canónico del paquete seleccionado. Puedes ver un ejemplo en la siguiente captura de pantalla.
Las flechas a continuación apuntan a 4 flechas en la sección Detalles del paquete; Al presionarlos, puede ver la descripción del paquete.
El menú principal que puede ver en la imagen a continuación contiene las siguientes opciones:
Menú: La sección del menú incluye elementos para administrar archivos de captura, guardar, exportar e imprimir parciales o todas las capturas. En la pestaña Editar, esta sección contiene opciones para encontrar paquetes, administrar perfiles de configuración y algunas preferencias. La pestaña Vista permite la gestión de opciones de visualización como colorización específica de paquetes, fuentes, ventanas adicionales y más. La pestaña GO le permite inspeccionar paquetes específicos. La pestaña Captura permite comenzar y dejar de capturar archivos, así como editar filtros. Desde la pestaña Análisis, puede habilitar o deshabilitar la disección del protocolo y manipular filtros de visualización, entre opciones adicionales. La pestaña Estadísticas permite mostrar estadísticas y resúmenes de capturas. Las pestañas de telefonía le permiten mostrar estadísticas de telefonía. La pestaña inalámbrica muestra Bluetooth e IEEE 802.11 estadísticas. La pestaña Herramientas contiene herramientas disponibles para Wireshark. Finalmente, el menú de ayuda contiene páginas manuales y de ayuda.
La barra de herramientas que puede ver en la imagen a continuación contiene las siguientes opciones:
Barra de herramientas: La barra de herramientas principal contiene botones para comenzar, reiniciar y dejar de capturar paquetes. Desde esta barra de herramientas, puede guardar, recargar y cerrar archivos de captura. Desde este menú, también puede acceder a opciones de captura adicionales o encontrar paquetes específicos. Puede pasar al siguiente paquete o volver al anterior. Esta barra de herramientas incluye opciones de visualización para colorear paquetes, acercarse o acercarse, etc.
Para terminar con la interfaz de usuario, la barra de herramientas de filtro que puede ver en la imagen a continuación contiene las siguientes opciones:
Barra de herramientas de filtro: Esta barra de herramientas es útil para especificar el tipo de paquetes que desea capturar o especificar el tipo de paquetes que desea soltar. Por ejemplo, para capturar todos los paquetes cuya fuente es el puerto 80, puede escribir "TCP SRC Port 80". Para dejar todos los paquetes ARP, puede escribir "no ARP."
Captura de contraseñas con Wireshark
Esta sección del presente tutorial explica cómo usar Wireshark para piratear contraseñas de protocolo vulnerable.
Para este propósito, usaré http: // testphp.vulnweb.com/inicio de sesión.Sitio web de PHP como objetivo porque la contraseña se envía en texto plano (http en lugar de https). También puede obtener contraseñas de protocolo cifradas para descifrar más tarde, pero este tutorial cubre la piratería de contraseña de texto sin formato.
El primer paso es obtener la dirección IP del sitio web. Podemos hacerlo usando el comando host seguido de la URL cuya dirección IP queremos. La sintaxis es la siguiente.
anfitrión
Por lo tanto, en este caso, ejecuto lo siguiente.
host http: // testphp.vulnweb.com/inicio de sesión.php
Queremos ver el tráfico al destino con la dirección IP 44.228.249.3 solamente. Para hacerlo, use la barra de herramientas de filtro que se muestra en la siguiente captura de pantalla.
La sintaxis para filtrar por dirección IP es la siguiente.
IP.ADDR ==
Por lo tanto, para ver solo paquetes pertenecientes a la IP del sitio web de destino (en este ejemplo, 44.228.249.3), escribo lo siguiente en el filtro de la barra de herramientas y presiono el INGRESAR llave.
IP.ADDR == 44.228.249.3
Inicie sesión en el sitio web vulnerable para capturar la contraseña y aprender el proceso.
En la sección Lista de paquetes, busque el CORREO solicitud, como lo señaló la flecha a la Información columna.
En la sección Descripción del paquete, presione URL de formulario HTML codificado: aplicación/x-www-form-urlencoded, y el CORREO El contenido aparecerá, en este caso revelando el nombre de usuario y la contraseña enviados al sitio vulnerable.
Eso es todo para comenzar con Wireshark. En el próximo tutorial, explicaremos cómo revelar contraseñas cifradas usando Wireshark y una herramienta de descifrado.
Conclusión
Como puede ver, instalar Wireshark en Debian es bastante fácil; Solo requiere ejecutar el Administrador de paquetes APT. El uso de Wireshark es fácil una vez que sepa para qué sirven los elementos de la interfaz de usuario. A pesar de que Wireshark es una de las herramientas más populares para ejecutar el hombre en los ataques medios, esta no es solo una herramienta de piratería, como se muestra en el ejemplo anterior; Es un gran recurso diagnosticar los problemas de la red y aprender cómo funcionan los protocolos. Para los usuarios de terminales, puede usar Tshark en su lugar, la alternativa de línea de comandos de Wireshark. Otra alternativa popular a Wireshark que puede probar es TCPDUMP.
Gracias por leer este tutorial explicando cómo instalar Wireshark en Debian y cómo comenzar con él. Sigue siguiéndonos para obtener más tutoriales profesionales de Linux.