Wireshark

[ars1993]

Buenas a todos/as!

Estoy en la universidad con la asignatura de redes. Es la primera vez en la vida que toco este tema, y me está gustando mucho. Llevo ya 3 meses con la asignatura (se acerca el final! ).

He estado buscando sobre sniffers para anazilar los paquetes y tengo varias preguntas/dudas, a ver si me echáis un cable:

1.- Como puede ser que wireshark reciba paquetes que no van dirigidos a mi? Si la ip destino de un paquete no soy yo, no entiendo como es que puedo ver dicho paquete.

2. He puesto el filtro de cojer solamente paquetes ftp y no me coge nada... qué pasa? (mientras ejecuto el sniffer voy navegando por internet eh, eso es evidente)

Muchas gracias gente! aver si de aquí un tiempo puedo ser yo quien resuelva las dudas a los foreros!

[MauroMasciar]

1.- Como puede ser que wireshark reciba paquetes que no van dirigidos a mi? Si la ip destino de un paquete no soy yo, no entiendo como es que puedo ver dicho paquete.

Haciendo un MITM (Man In The Middle)

http://casidiablo.net/man-in-the-middle/

[Sh4k4]

1.- Como puede ser que wireshark reciba paquetes que no van dirigidos a mi? Si la ip destino de un paquete no soy yo, no entiendo como es que puedo ver dicho paquete.

Por que se efectua un arp spoofing(arp cache poisoning-envenenamiento arp)...lo mas comun hay otros  , cada adaptador tiene una mac address y tu modificas la cache de la tabla poniendo tu mac a la del router o ap y los paquetes te llegan a ti, esto es un tipo MITM.  
http://es.wikipedia.org/wiki/ARP_Spoofing

2. He puesto el filtro de cojer solamente paquetes ftp y no me coge nada... qué pasa? (mientras ejecuto el sniffer voy navegando por internet eh, eso es evidente)

Por que pudiste equivocarte al configurar el wireshark o por que no soporta el modo promiscuo tu adaptador de red(wifi o ethernet) o por que alguien mantiene fija la tabla contrarrestando el arp spoofing(avs,firewalls y demas programas entorpecen el trafico envenenado), por que no has inicializado tu arp spoofing o por que simplemente no hay trafico ftp lo cual no es lo mismo que http el cual es para navegar(prueba en una maquina diferente hacer trafico ftp directo -ftp://ftp1.dell.com/- y listo!)....etc,etc,etc.

Si claro por que no! tu puedes aprender mucho y ojala nos enseñes tambien!!! nunca se para de aprender!  

[ars1993]

Realmente lo estoy probando todos desde la red local de mi casa. Tengo un router comtrend para salir a internet y dentro tengo 4 PC's conectados al router.

Así pues... cuando ejecuto el wireshark, automáticamente y sin que yo haga nada él envenena las tablas ARP de todos los hosts de mi red local? Porque para recibir SUS paquetes se tiene que modificar SU tabla ARP.

Sobre los paquetes FTP, eso que habéis comentado de que alguien mantenga fila ja tabla (avs, firewalls) lo veo difícil porque como he dicho es algo que estoy probando dentro de mi propia casa ahaha.

Gracias a todos!

[kaiserr]

Todo lo que pasa por tu router lo "snifa"  wireshark.

Sobre FTP, seguramente no estas visitando FTP xd

[Sh4k4]

cuando ejecuto el wireshark, automáticamente y sin que yo haga nada él envenena las tablas ARP de todos los hosts de mi red local? Porque para recibir SUS paquetes se tiene que modificar SU tabla ARP.

No, el wireshark solo sniffea y lo que obtendras solo sera tu trafico localmente(tu PC), antes tendras que envenenar la tabla, ver si obtendras trafico de todos los "4" equipos o solo de 1 de ellos(obviamente no el tuyo sino pues volvemos al principio).

Sobre los paquetes FTP, eso que habéis comentado de que alguien mantenga fila ja tabla (avs, firewalls) lo veo difícil porque como he dicho es algo que estoy probando dentro de mi propia casa ahaha.

Si tu eso pasa en redes donde no eres administrador y tu un usuario de bajo nivel, pero en ese caso tu modo promiscuo y que inicies el spoofing.

Salu2!!