Wireshark no me muestra tráfico de otros ordenadores en mi red

Iniciado por jojo, 24 Mayo 2017, 22:31 PM

0 Miembros y 1 Visitante están viendo este tema.

jojo

Hola a todos, espero estén bien.

Estoy iniciando en el mundo de la seguridad informática y me he instalado Wireshark en un ordenador con Ubuntu 17.

El problema que tengo es que escanedo la interfaz wlo1 que es a la que estoy conectado por wifi y sólo veo el trafico que genero yo, pero tengo otro ordenador conectado a la misma red y no veo su tráfico.

Tambien he probado escanear la interfaz "any" por descartar que estuviese escaneando la interfaz equivocada, pero aún asi sigo sin ver nada.

Espero que alguien que se haya peleado con esto ya me pueda ayudar.

Un saludo.

ThinkByYourself

Pero tienes que hacer un MITM no? Es q sino el tráfico no pasa por tu pc, tienes que trolear al router. El programa clave es aircrack-ng.

O bueno, si quieres con Cain y Abel tmb puedes hacer
No te voy a engañar.
Todos hemos sido programados para normalizar la psicopatía de las élites económicas y políticas, y para realimentar su patrón de ciega codicia.

aangrymasther

Probablemente el 99% de lo que digo sea incorrecto

animanegra

Da igual que la pongas a modo promiscuo, tienes que capturar el tráfico antes de hacer la asociación de red para poder ver todos los paquetes. Si no, solo veras los paquetes dirigidos a tu ordenador o los que van a broadcast. Utiliza airdump y la salida de este la metes al wireshark y veras los paquetes. Si quieres restringir sólo a los paquetes de una red específica filtralos en el airdump por el bssid.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

MadBad

Asegúrate de tener encendidos los ordenadores que tienes.

Asegúrate de que los ordenadores están bien conectados a la misma red (Ya sea por cable o por WiFi).

Asegúrate más de que están en la misma red y que se ven un ordenador con otro  utilizando el comando 'ping [IP]'.

Asegúrate de que ejecutas WireShark como administrador, lo mejor es que entres en el terminal y escribas el comando 'sudo Wireshark'.

Por último, realiza una búsqueda por Internet desde el otro equipo (El que no tiene el WireShark).

Si has realizado los pasos correctamente, en WireShark aparecerá que [IP] ha accedido a X Página web [IP].

Espero haberte ayudado.

Un saludo,
MB


<--!Python/C#/C++/Ruby/RubyOnRails/Java/-->
Veni, Vidi, Vici - MadBad 3012 A.C.

jojo

Hola.

He logrado solucionarlo!

El problema se basaba en que no estaba haciendo IP Spoofing (por falta de conocimientos claro)

Ahora si puedo ver todo el tráfico de mi red!

Muchas gracias por sus comentarios, lo agradezco.

Saludos.

animanegra

Querras decir arp spoofing.

¿Te das cuenta de lo que estas haciendo no?
Así no estas solo esnifando, estas redirigiendo todo el tráfico de la red por tu equipo. Por otro lado estás diciendo a todo el mundo que tu equipo es el que esta redirigiendo el tráfico. Si mira cualquiera su tabla de ARP verán tu dirección MAC asociada a todas las direcciones IP por no hablar de si mira cualquiera con un tcpdump o un snort. Verán tu inundación de paquetes ARPs.

Por tu POST parecía que lo que querias hacer era esnifar tráfico de la red de modo pasivo, no realizar un ataque activo de envenamiento de las tablas ARP.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.

jojo

Hola @animanegra

Tienes razón, quería decir arp spoofing.

Entiendo que lo que he logrado es redirigir todo el trafico a mi ordenador y que cualquier podria revisar su tabla de ARP y mirar la mac que está recibiendo el tráfico. Pero, una solución a este problema, no sería cambiar mi mac address antes de realizar el arp spoofing? de esa manera si alguien revisara su tabla ARP al menos no podría identificar que soy quien recibe los paquetes.

Por otro lado a tu último comentario, si, mi intención inicial era mirar el tráfico de mi red.

Saludos y gracias por el aporte!

animanegra

¿Has probado usando aerodump y después usar el archivo .cap generado como entrada del wireshark? Si la red es abierta tendrás todo el tráfico, si tiene clave compartida podrás antes de pasárselo al wireshark descifrarla con airdecap para ver también todo el tráfico.

42
No contesto mensajes por privado, si tienes alguna pregunta, consulta o petición plantéala en el foro para que se aproveche toda la comunidad.