Wireshark no me muestra tráfico de otros ordenadores en mi red

jojo · 24 Mayo 2017, 22:31 PM

Hola a todos, espero estén bien.

Estoy iniciando en el mundo de la seguridad informática y me he instalado Wireshark en un ordenador con Ubuntu 17.

El problema que tengo es que escanedo la interfaz wlo1 que es a la que estoy conectado por wifi y sólo veo el trafico que genero yo, pero tengo otro ordenador conectado a la misma red y no veo su tráfico.

Tambien he probado escanear la interfaz "any" por descartar que estuviese escaneando la interfaz equivocada, pero aún asi sigo sin ver nada.

Espero que alguien que se haya peleado con esto ya me pueda ayudar.

Un saludo.

ThinkByYourself · 24 Mayo 2017, 23:02 PM

Pero tienes que hacer un MITM no? Es q sino el tráfico no pasa por tu pc, tienes que trolear al router. El programa clave es aircrack-ng.

O bueno, si quieres con Cain y Abel tmb puedes hacer

aangrymasther · 25 Mayo 2017, 13:33 PM

Pon la tarjeta de red en modo promiscuo

animanegra · 25 Mayo 2017, 13:54 PM

Da igual que la pongas a modo promiscuo, tienes que capturar el tráfico antes de hacer la asociación de red para poder ver todos los paquetes. Si no, solo veras los paquetes dirigidos a tu ordenador o los que van a broadcast. Utiliza airdump y la salida de este la metes al wireshark y veras los paquetes. Si quieres restringir sólo a los paquetes de una red específica filtralos en el airdump por el bssid.

MadBad · 25 Mayo 2017, 13:55 PM

Asegúrate de tener encendidos los ordenadores que tienes.

Asegúrate de que los ordenadores están bien conectados a la misma red (Ya sea por cable o por WiFi).

Asegúrate más de que están en la misma red y que se ven un ordenador con otro utilizando el comando 'ping [IP]'.

Asegúrate de que ejecutas WireShark como administrador, lo mejor es que entres en el terminal y escribas el comando 'sudo Wireshark'.

Por último, realiza una búsqueda por Internet desde el otro equipo (El que no tiene el WireShark).

Si has realizado los pasos correctamente, en WireShark aparecerá que [IP] ha accedido a X Página web [IP].

Espero haberte ayudado.

Un saludo,
MB

jojo · 26 Mayo 2017, 07:52 AM

Hola.

He logrado solucionarlo!

El problema se basaba en que no estaba haciendo IP Spoofing (por falta de conocimientos claro)

Ahora si puedo ver todo el tráfico de mi red!

Muchas gracias por sus comentarios, lo agradezco.

Saludos.

animanegra · 26 Mayo 2017, 11:40 AM

Querras decir arp spoofing.

¿Te das cuenta de lo que estas haciendo no?
Así no estas solo esnifando, estas redirigiendo todo el tráfico de la red por tu equipo. Por otro lado estás diciendo a todo el mundo que tu equipo es el que esta redirigiendo el tráfico. Si mira cualquiera su tabla de ARP verán tu dirección MAC asociada a todas las direcciones IP por no hablar de si mira cualquiera con un tcpdump o un snort. Verán tu inundación de paquetes ARPs.

Por tu POST parecía que lo que querias hacer era esnifar tráfico de la red de modo pasivo, no realizar un ataque activo de envenamiento de las tablas ARP.

jojo · 26 Mayo 2017, 19:16 PM

Hola @animanegra

Tienes razón, quería decir arp spoofing.

Entiendo que lo que he logrado es redirigir todo el trafico a mi ordenador y que cualquier podria revisar su tabla de ARP y mirar la mac que está recibiendo el tráfico. Pero, una solución a este problema, no sería cambiar mi mac address antes de realizar el arp spoofing? de esa manera si alguien revisara su tabla ARP al menos no podría identificar que soy quien recibe los paquetes.

Por otro lado a tu último comentario, si, mi intención inicial era mirar el tráfico de mi red.

Saludos y gracias por el aporte!

animanegra · 29 Mayo 2017, 09:05 AM

¿Has probado usando aerodump y después usar el archivo .cap generado como entrada del wireshark? Si la red es abierta tendrás todo el tráfico, si tiene clave compartida podrás antes de pasárselo al wireshark descifrarla con airdecap para ver también todo el tráfico.