Como detectar wireshark en red

Iniciado por Kaxperday, 12 Noviembre 2014, 16:09 PM

0 Miembros y 1 Visitante están viendo este tema.

Kaxperday

Hola a todos tengo unas dudas acerca de wireshark:

¿El wireshark para capturar paquetes de otros ordenadores de la red necesita para ello que se haya realizado un MITM? Es decir imaginemos que entro en foro.elhacker.net y hay alguien que abre wireshark podría ver mi tráfico solo con abrirlo o necesitaría realizar un MITM a la red y sniffar de nuevo para poder captar la página a la que accedo.

Si usa un MITM sería fácil de detectar con ARP, pero si no usa un MITM ¿cómo podría proteger mi privacidad?

Saludos y gracias.
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.

el-brujo

Un sniffer de red puede interceptar paquetes que no vayan cifrados, es decir sin https (o ssl, tls según protocolo).

Si entras al foro por https y están usando wireshark no verán nada, sólo si te hacen un MITM y aceptas el certificado falso y podrán ver tus credenciales.

engel lex

no puedes detectar el wiresshark... es un proceso pasivo, es decir, el solo escucha
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

kub0x

#3
Utiliza un medio que sepas que actualmente no está siendo monitorizado como una VPN. Y esto de los certificados no es tan seguro, cualquiera con interés en interceptar tus comunicaciones puede adquirir un certificado que es confiado por tu navegador, por lo que te lo comerias y el atacante registraría tu tráfico.
Y siempre podrían redireccionarte a HTTP en aquellas páginas que no soportan HSTS.

Además nuestro foro es vulnerable a MITM ya que la página no está totalmente cifrada, es decir, no todas las solicitudes van por HTTPS, algunas como las imágenes van por HTTP por lo que podría inyectarte un bonito script en .js y tomar el control.

Saludos!
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


Kaxperday

Pero entonces ¿si no hace ningún MITM no puede ver mi tráfico? o de otra forma ¿l única manera para que pueda ver mi tráfico cifrado y sin cifrar me refiero, es haciendo un MITM?

¿Ustedes abren el wireshark ahora mismo sin nada previo, y pueden ver el tráfico de los demás ordenadores de la red o hacen un MITM antes para poder verlo?.

Si tienen que hacer un MITM para ver mi tráfico sé que con arp lo puedo evitar y defenderme si no, no se me ocurre manera alguna.

PD: eso del js parece muy interesante.

Saludos.
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.

kub0x

Cita de: Kaxperday en 12 Noviembre 2014, 18:58 PM
¿Ustedes abren el wireshark ahora mismo sin nada previo, y pueden ver el tráfico de los demás ordenadores de la red o hacen un MITM antes para poder verlo?

Sin nada previo podría ver a que servidor deseas conectarte, ver el acuerdo del handshake entre tu equipo y el servidor así como el intercambio de información cifrada. Lo que no podría es descifrar la información cifrada ya que no dispongo de un elemento intermedio. En resumen soy invisible, pasivo, solo recibiría paquetes cifrados.

Ahora dependiendo del escenario, si se pusiera un NIDS/PacketFilter intermedio en tu salida a internet podrían descifrar tu tráfico SSL, pero ojo, hay técnicas para saber si estás siendo engañado. Ahora mismo tu ISP podría estar entregando certificados que han sido firmados por una CA de confianza, por lo que podrían descifrar tu tráfico.

Ya se han visto casos en los que el gobierno interviene en las ISP con orden judicial y le obliga a descifrar cierto tráfico.

Cita de: Kaxperday en 12 Noviembre 2014, 18:58 PM
PD: eso del js parece muy interesante.

El eslabón más débil siempre trae problemas. Se denomina MITM mixed-content a un ataque MITM en un entorno mixto que utiliza HTTP y HTTPS.

Saludos!
Viejos siempre viejos,
Ellos tienen el poder,
Y la juventud,
¡En el ataúd! Criaturas Al poder.

Visita mi perfil en ResearchGate


Kaxperday

Vamos que si alguien abre el wireshark en la red puede ver las peticiones que hacen los equipos de dentro de ella sin necesidad de un MITM, el tráfico cifrado no lo podrá descifrar si no sabe como, y el texto plano enviado podrá verlo, luego hay que tener cuidado en redes compartidas y mucho.

Gracias, algún día tendré que probar eso de inyectar js por la red, aunque no sé que js debería de meter quizás alguno que redireccione a otra página no sé xD
Cuando el poder económico parasita al político ningún partido ni dictador podrá liberarnos de él. Se reserva el 99% ese poder.