Wireshark. Duda analizando paquetes

Iniciado por banderas20, 17 Mayo 2020, 19:22 PM

0 Miembros y 1 Visitante están viendo este tema.

banderas20

Buenas,

estoy iniciándome en Wireshark. Para hacer una prueba de concepto he hecho una captura de tramas en mi PC local.

La prueba es muy sencilla: "Me conecto con Firefox a Google y pongo en el buscador una palabra clave"

Al abrir Wireshark, veo mi IP local, mi dirección MAC y que el user-agent es Firefox. Hago filtrados por protocolos http, pero me quedo  bloqueado en lo siguiente:


- No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada)
- No veo la palabra buscada
- Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí.
- No sé ver el PID.

¿Me podéis orientar un poco?

Muchas gracias!

El_Andaluz

Citar¿Me podéis orientar un poco?


Hola buenas mira este enlace es un Manual del Wireshark en Español a ver si te Orientas un poco.


http://manualwireshark.blogspot.com/

banderas20

#2
Cita de: El_Andaluz en 17 Mayo 2020, 21:16 PM

Hola buenas mira este enlace es un Manual del Wireshark en Español a ver si te Orientas un poco.


http://manualwireshark.blogspot.com/

Muchas gracias por el 5ª resultado de Google. Ya lo había visto, así como la documentación oficial de Wireshark y varios tutoriales.

Mi intención no es hacer una tesis doctoral sobre Wireshark, sino resolver algunos puntos específicos (como reza el título del hilo). Para eso he recurrido a un foro.

Seré más específco:

¿alguien me puede dar alguna indicación para resolver en particular una o varios de las siguientes dudas?

Cita de: banderas20
- No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada)
- No veo la palabra buscada
- Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí.
- No sé ver el PID.

Muchas gracias!

MinusFour

El tráfico de google probablemente este ahí pero ten en cuenta que el tráfico viene cifrado (porque usas HTTPS). Wireshark no decifra el tráfico por defecto. Wireshark necesita poder acceder a las llaves necesarias para poder descifrar el contenido. Aqui hay una guía muy básica de como hacerlo. Si no puedes exportar las llaves de los clientes SSL olvidalo.

Por otro lado, puedes usar curl o cualquier otro cliente para hacer una petición por HTTP si es que el servidor al que quieras probar lo soporta (muy probable que sí).

EdePC

Saludos,

- Google funciona sobre TLS (https) así que los paquetes estarán cifrados y no podrá "ver" nada. Solo se pueden "ver" los paquetes sin cifrar como DNS, HTTP, FTP, etc.

- Wiresharp permite especificarle un fichero SSLKEYLOGFILE el cual contiene una cache de las TLS Keys utilizadas para cifrar los paquetes TLS.

- Por defecto Chrome y Firefox permiten especificar precisamente este fichero, para hacerlo tienes que crear una variable de entorno de nombre: SSLKEYLOGFILE cuyo contenido será la ruta donde quieras que esté tu fichero, en mi caso lo configuraré en mi escritorio. Puedes abrir una línea de comandos (CMD) y copiar/pegar lo siguiente:

-- Primero cierra Firefox o Chrome

CitarSetX SSLKeyLogFile %UserProfile%\Desktop\sslkeys.txt

-- Luego abres Firefox o Chrome (de preferencia con un bloqueador de anuncios como uBlock Origin para evitar tantas peticiones de publicidad o rastreo) y pones a WireShark a capturar tu data.

-- Ahora ve a WireShark > Edit >Preferences > Protocols > TLS > Pre-Master Secret Log File y ahí buscas y elijes tu fichero sslkeys.txt

-- Entonces debes de poder ver los TLS decifrados con nombre HTTP2, puedes buscar con Ctrl + F, seleccionar String y tipear tu palabra a buscar.

- Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark



banderas20

#5
Cita de: MinusFour.
Cita de: EdePC.


Entiendo que no pueda ver el tráfico. Es lógico que vaya cifrado. :)

Lo que me sigue extrañando es la conexión a Akamai. Me enmascara el servidor de destino...

Muchas gracias por la información que me habéis indicado. Es muy útil. ;)

Un saludo!

el-brujo

Citar- No sé ver el PID.

Citar- Que yo sepa WiresShark no muestra que aplicaciones causan en tráfico, para esto tendrías que usar otro programa como https://www.nirsoft.net/utils/tcp_log_view.html y así obtener los Process ID y/o Process Name que intervienen con ciertas IP y características que luego puedes filtrar en WiresShark

Correcto. De hecho casi ningún analizador de tráfico saldrá el PID, tendrá que ser algo más avanzado o especifico. Te recomiendo la herramienta ntopng mucho más "visual" para analizar tráfico.

wireshark está muy bien cuando ya tienes experiencia previa analizado tráfico en formato pcap, por ejemplo. Pero para empezar es  una herramienta más complicada.

CitarLo que me sigue extrañando es la conexión a Akamai. Me enmascara el servidor de destino...

Akamai es una CDN muy grande, puede ser el mismo antivirus que se conecte ahí o navegando cualquier imagen o script esté almacenado allí. Puede ser incluso que Google use Akamai como CDN o para servir algún tipo de contenido.

CitarMe enmascara el servidor de destino...

Aquí me perdí, no se a que te refieres con que "enmascara" el servidor de destino. ¿A que te refieres?