Wireshark Tutorial: Rastreador de redes y contraseñas

Por: Oliver Jones Oliver Jones
Hours Actualizado

Las computadoras se comunican mediante redes. Estas redes podrían estar en una red LAN de área local o expuestas a Internet. Los Network Sniffers son programas que capturan datos de paquetes de bajo nivel que se transmiten a través de una red. Un atacante puede analizar esta información para descubrir información valiosa, como identificadores de usuario y contraseñas.

En este artículo, le presentaremos las técnicas y herramientas comunes de rastreo de redes que se utilizan para rastrear redes. También analizaremos las contramedidas que puede implementar para proteger la información confidencial transmitida a través de una red.

¿Qué es el rastreo de redes?

Las computadoras se comunican transmitiendo mensajes en una red utilizando direcciones IP. Una vez que se ha enviado un mensaje en una red, la computadora receptora con la dirección IP coincidente responde con su dirección MAC.

El rastreo de redes es el proceso de interceptar paquetes de datos enviados a través de una red.Esto se puede hacer mediante un programa de software especializado o un equipo de hardware. Se puede olfatear para;

  • Capture datos confidenciales, como credenciales de inicio de sesión
  • Escuchar a escondidas los mensajes de chat
  • Los archivos de captura se han transmitido a través de una red.

Los siguientes son protocolos que son vulnerables al rastreo

  • Telnet
  • Iniciar sesión
  • HTTP
  • SMTP
  • NNTP
  • POP
  • FTP
  • IMAP

Los protocolos anteriores son vulnerables si los detalles de inicio de sesión se envían en texto sin formato.

Sniffing de red

Olfateo pasivo y activo

Antes de analizar el rastreo pasivo y activo, veamos dos dispositivos principales utilizados para conectar computadoras en red; concentradores e interruptores.

Un concentrador funciona enviando mensajes de difusión a todos los puertos de salida excepto al que ha enviado la difusión.. La computadora receptora responde al mensaje de transmisión si la dirección IP coincide. Esto significa que cuando se utiliza un concentrador, todas las computadoras de una red pueden ver el mensaje de transmisión. Opera en la capa física (capa 1) de la Modelo OSI.

El siguiente diagrama ilustra cómo funciona el concentrador.

Olfateo pasivo y activo

Un interruptor funciona de manera diferente; asigna direcciones IP/MAC a puertos físicos en él. Los mensajes de difusión se envían a los puertos físicos que coinciden con las configuraciones de dirección IP/MAC de la computadora del destinatario. Esto significa que los mensajes de difusión sólo son vistos por la computadora del destinatario. Los conmutadores operan en la capa de enlace de datos (capa 2) y en la capa de red (capa 3).

El siguiente diagrama ilustra cómo funciona el interruptor.

Olfateo pasivo y activo

El rastreo pasivo consiste en interceptar paquetes transmitidos a través de una red que utiliza un concentrador.. Se llama olfateo pasivo porque es difícil de detectar. También es fácil de realizar ya que el concentrador envía mensajes de difusión a todas las computadoras de la red.

El rastreo activo consiste en interceptar paquetes transmitidos a través de una red que utiliza un conmutador. Hay dos métodos principales que se utilizan para detectar redes enlazadas conmutadas, Envenenamiento por ARPy inundación de MAC.

ARTÍCULOS RELACIONADOS

Actividad de piratería: olfatear el tráfico de la red

En este escenario práctico, vamos a use Wireshark para rastrear paquetes de datos a medida que se transmiten a través del protocolo HTTP. Para este ejemplo, rastrearemos la red usando Wireshark, luego inicie sesión en una aplicación web que no utilice comunicación segura. Iniciaremos sesión en una aplicación web en http://www.techpanda.org/

La dirección de inicio de sesión es administrador@google.comy la contraseña es Password2010.

Nota: Iniciaremos sesión en la aplicación web solo con fines de demostración. La técnica también puede rastrear paquetes de datos de otras computadoras que están en la misma red que la que está utilizando para rastrear. El rastreo no solo se limita a techpanda.org, sino que también rastrea todos los paquetes de datos HTTP y otros protocolos.

Olfateando la red usando Wireshark

La siguiente ilustración te muestra los pasos que llevarás a cabo para completar este ejercicio sin confusión.

Olfateando la red usando Wireshark

Descargar Wireshark desde este enlace http://www.wireshark.org/download.html

  • Abierto Wireshark
  • Obtendrás la siguiente pantalla

Olfateando la red usando Wireshark

  • Seleccione la interfaz de red que desea detectar. Tenga en cuenta que para esta demostración estamos utilizando una conexión de red inalámbrica. Si está en una red de área local, debe seleccionar la interfaz de red de área local.
  • Haga clic en el botón de inicio como se muestra arriba

Olfateando la red usando Wireshark

Olfateando la red usando Wireshark

  • El correo electrónico de inicio de sesión es administrador@google.com y la contraseña es Password2010
  • Haga clic en el botón enviar
  • Un inicio de sesión exitoso debería mostrarle el siguiente panel

Olfateando la red usando Wireshark

  • Volver a la Wireshark y detener la captura en vivo

Olfateando la red usando Wireshark

  • Filtrar solo los resultados del protocolo HTTP utilizando el cuadro de texto de filtro

Olfateando la red usando Wireshark

  • Localice la columna Información y busque entradas con el verbo HTTP POST y haga clic en él.

Olfateando la red usando Wireshark

  • Justo debajo de las entradas del registro, hay un panel con un resumen de los datos capturados. Busque el resumen que dice Datos de texto basados ​​en líneas: application/x-www-form-urlencoded

Olfateando la red usando Wireshark

  • Debería poder ver los valores de texto sin formato de todas las variables POST enviadas al servidor a través del protocolo HTTP.

¿Qué es una inundación MAC?

La inundación de MAC es una técnica de rastreo de red que inunda la tabla MAC del conmutador con direcciones MAC falsas.. Esto conduce a una sobrecarga de la memoria del conmutador y hace que actúe como un concentrador. Una vez que el conmutador se ha visto comprometido, envía los mensajes de difusión a todas las computadoras de una red. Esto hace posible rastrear paquetes de datos a medida que se envían por la red.

Contramedidas contra las inundaciones de MAC

  • Algunos conmutadores tienen la función de seguridad de puerto.. Esta característica se puede utilizar para limitar el número de Direcciones MAC en los puertos. También se puede utilizar para mantener una tabla de direcciones MAC segura además de la proporcionada por el conmutador.
  • Servidores de autenticación, autorización y contabilidad. se puede utilizar para filtrar direcciones MAC descubiertas.

Olfatear contramedidas

  • Restricción a los medios físicos de la red. Reduce en gran medida las posibilidades de que se haya instalado un rastreador de red.
  • Cifrar mensajes a medida que se transmiten a través de la red, se reduce en gran medida su valor ya que son difíciles de descifrar.
  • Cambiar la red a Secure Shell (SSH)del sistema, También reduce las posibilidades de que la red sea detectada.

Resumen

  • El rastreo de redes consiste en interceptar paquetes a medida que se transmiten a través de la red.
  • El rastreo pasivo se realiza en una red que utiliza un concentrador. Es difícil de detectar.
  • El rastreo activo se realiza en una red que utiliza un conmutador. Es fácil de detectar.
  • La inundación de MAC funciona inundando la lista de direcciones de la tabla MAC con direcciones MAC falsas. Esto hace que el interruptor funcione como un HUB.
  • Las medidas de seguridad descritas anteriormente pueden ayudar a proteger la red contra el rastreo.