lunes, 16 de octubre de 2017

Borrador: Analizar un trafico Web con Wireshark

Este es un borrador por eso no va a tener edición ni buenas imágenes por el momento.

Como todos ya sabrán wireshark es un sniffer de red que permite capturar el trafico que pasa por el, la captura del trafico es difícil ya que las comunicaciones son de tipo unidireccional, es por ello que wireshark solo podrá capturar el trafico que va a dirigido hacia su maquina.

Bien después de dejar un tiempo capturando trafico, podemos analizar que paginas a navegado nuestro usuario, el siguiente comando te permite ver las paginas consultadas:

dns.flags.response == 0 and ip.dst==<IP DNS>

dns.flags.response == 0 and ip.dst==8.8.8.8

Ahora Wireshark va a mostrar una lista de todas las paginas consultadas, para profundizar mas en la consulta realizada, podemos ver el historico de esa comunicacion, Wireshark lo almacena como UDP Stream.  Para visualizarlo haga clic en el packete y despliegue en la parte inferior User Datagram Protocol, busque el valor Stream index, con este valor vamos a construir la siguiente consulta:

udp.stream == <valor del Strema Index>
udp.stream == 1141

O también se podría consultar la busqueda encontrada por el usuario, para ello podemos utilizar la siguiente consulta:

dns.qry.name == "www.eldominio.com"

Esto va a filtrar el trafico y solo va a mostrar la resolución de direcciones de la pagina consultada.

Ahí podemos observar la dirección IP de la pagina que va a responder a la consulta.

Podemos filtrar por la dirección IP para encontrar le trafico TCP y HTTP, para ello utilizamos el siguiente filtro.

ip.src == 200.X.X.196

Al aplicar este filtro nos mostrar los paquetes TCP para establecer la sesión y los datos del protocolo HTTP.


Ahora para filtrar todo el trafico, wireshark index la conversaciones colocando un indicador llamado TCP index stream, para ver el indicador seleccione cualquier entrada y ubíquese en la sección Transmission Control Protocol:

Ahora va a mostrar todo el trafico filtrado, eso significa que podríamos ver la pagina y las imágenes descargadas, para ello guardamos solo ese trafico filtrado.
En el wireshark ingresamos a menu File > Xport Specified Packets, en la parte inferior habilitamos el option group que diga Packet Range, Displayed, le colocamos un nombre y lo guardamos.
Para ver el trafico abra el archivo guardado y nos ubicamos en menu File > HTTP objetc list, en esa ventana muestra el la información capturada, encontrar imágenes y el contenido de la pagina html.
Coloque Save all en una carpeta especifica, desde el explorador de Windows abra la carpeta y ya podrá visualizar la pagina capturada.



No hay comentarios:

Publicar un comentario