Nesesito Monitorear trafico WEB en una RED

Iniciado por AnnonymuysByte, 26 Diciembre 2019, 17:04 PM

0 Miembros y 1 Visitante están viendo este tema.

AnnonymuysByte

Hola buenas tardes, basicamente estoy buscando una herramienta que me permita identificar dentro de una red la ip local del equipo y la web a la que esta visitando, ya sea http o https..

Estoy utilizando Wireshark, en filtro pongo http, efectivamente si ingreso a una web sin certificado SSL los datos los puedo ver y puedo detallar la ip de la maquina y la URL del sitio que esta visitando dentro de ese paquete.

Sin embargo si ingreso a una web con certificado SSL como facebook, Google entre otras, no puedo capturar o determinar cual son los paquetes que debo ver para poder saber que ese equipo visito ese sitio.

Por lo que tengo entendido, obiamente los sitios con SSL (https) traen encriptacion en la transmicion de los paquetes por ejemplo no podria ver datos como usuarios o contraseñas obiamente, cosa que en sitios http puedes ver en peticiones POST enviadas.

Basicamente solo nesesito saber que sitio esta visitando la persona nada mas, y de ser posible que me sirva tanto para HTTP como para HTTPS

Gracias

engel lex

#1
CitarPor lo que tengo entendido, obiamente los sitios con SSL (https) traen encriptacion en la transmicion de los paquetes por ejemplo no podria ver datos como usuarios o contraseñas obiamente, cosa que en sitios http puedes ver en peticiones POST enviadas.

Basicamente solo nesesito saber que sitio esta visitando la persona nada mas, y de ser posible que me sirva tanto para HTTP como para HTTPS

el problema es que en http la estructura del paquete es muy simple, todo se envia junto como usa sola cosa, incluyendo cabeceras (que incluye la cabecera host y el uri) y https crea un tunel en la capa de datos donde van... bueno los datos...


tienes 2 vias para saber los datos contenidos ahí...

1- haces un proxy en la "puerta de salida" de la red y les dices a todas las personas "ahora todas las paginas van a mostrar "esta conexión no es segura" porque estamos viendo todos sus datos... esto te permitirá usar el proxy como un lugar para decodificar todo y leer (como si fuera http), pero a su vez las paginas pierden el certificado de seguridad... esto puede traer problemas con paginas con HSTS configurado (como cualquier pagina decente) porque el navegador no poermitirá acceder a la pagina porque la conexión fue "hackeada"

2- tener suerte que la gente no se haya conectado poco antes y cuando se conecte al servidor el primer mensaje será un mensaje de protocolo TSL que llamamos "Cliente Hello" en este es donde el cliente le pide al servidor el acuerdo comun del cetificado de seguridad y para ello manda en texto claro el nombre del host... esto es un solo mensaje y de allí en mas te toca rastrear la ip destino y puerto origen para confirmar que el resto de paginas accedidas son a ese mismo host...
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.