Wireshark y TCPDump son las herramientas imprescindibles para cualquier administrador de redes y, por supuesto, muy útiles en pentesting. Si realizas un pentest interno, es posible que una de las primeras cosas que debas hacer es descubrir las máquinas del entorno. Para ello, usas herramientas específicas en redes Windows como «Responder.py», pero no te puedes olvidar de usar un buen sniffer.

Wireshark lleva muchos años de desarrollo y tiene características muy interesantes, la primera de ellas es que funciona sobre sistemas Linux, MacOS y Windows, cuenta con una interfaz gráfica y soporta filtros de captura y “display”. Es una herramienta tan potente como TCPDump que merece la pena conocer.

Es oportuno señalar que ambas se basan en la tecnología BPF (Berkeley Packet Filter), lo que significa que los filtros que aplicas para capturar paquetes, funcionan en ambas. Esta es una gran ventaja, ya que no necesitas aprender una sintaxis nueva para las operaciones de captura habituales de ambas herramientas.

En este post, quisiera compartir contigo algunos de los filtros de display que puedes aplicar en Wireshark sobre una captura activa.

• ip.addr == IP → Filtra por la dirección IP indicada, en origen o destino

• ip.dst == IP_DST && ip.src == IP_SRC → Filtra por las direcciones IP indicadas en origen y destino

• http or dns → Enseña todos los paquetes HTTP o DNS capturados

• tcp.port==PORT → Enseña los paquetes TCP cuyo puerto en origen o destino coincida con el especificado

• tcp.flags.reset==1 → Enseña todos los paquetes TCP que tengan la flag RST establecida

• tcp contains TERMINO → Filtra por aquellos paquetes que contengan el término especificado

• !(arp or icmp or dns or ssdp or udp) → Filtra todos los paquetes no utilicen el protocolo ARP, ICMP, DNS, SSDP o UDP.

• tcp.port in {80 25} → Enseña todos los paquetes cuyo puerto TCP en origen o destino sea el 80 o 25.

• !(tcp.port in {22 443}) → Enseña todos los paquetes cuyo puerto TCP en origen o destino no sea el 22 o 443.

Esto en cuanto a filtros de display, es decir, aquellos que aplicas sobre un conjunto de paquetes que has cargado de un PCAP o una captura activa.

No obstante, también tienes filtros de captura, los cuales siguen el formato de BPF. Estos los aplicas antes de arrancar el sniffer.

A continuación, te enseño algunos que son muy útiles:

• not arp → Captura todos los tipos de paquetes excepto ARP

• port 22 → Solamente captura paquetes cuyo puerto de origen o destino sea el 22, sin importar si es tráfico TCP o UDP

• tcp port 443 → Solamente captura paquetes TCP cuyo puerto de origen o destino sea el 443

• not port 25 and not port 53 → Ignora todos los paquetes TCP o UDP cuyo puerto sea el 25 o 53

• tcp src port 80 → Captura paquetes TCP cuyo puerto de origen sea el 80

• tcp[tcpflags] == tcp-syn → Captura los paquetes TCP con la flag SYN

• tcp[tcpflags] == (tcp-syn + tcp-ack) → Captura los paquetes TCP con las flags SYN+ACK

• tcp[tcpflags] == tcp-rst → Captura los paquetes TCP con la flag RST

Wireshark es una herramienta que, en mi opinión, es un “must to know”, como Nmap. No es muy complicada de usar, pero tiene varias opciones que debes conocer. Si estás interesado en dominar esta herramienta, te recomiendo el curso de Análisis de redes con Wireshark. En el que rápidamente aprenderás las mejores prácticas de uso, analizar los principales protocolos de red, e interpretar la información contenida en los paquetes de datos.

¿Conoces algún otro filtro de display o captura que merezca la pena incluir en este listado?

¡Te leo en los comentarios!

Recuerda que tienes todas las formaciones y packs de The Hacker Way.

Las mejores formaciones en castellano que podrás encontrar y al mejor precio.
No lo digo yo, puedes ver las reseñas en el sitio web.

Más de 500 alumnos han aprovechado los cursos online en THW y tú también podrías ser uno de ellos: https://thehackerway.es/cursos

Además de los cursos y la comunidad THW, tenemos el Plan Starter en Ciberseguridad (PSC) con el que no solo aprenderás Hacking ético, además adquirirás las habilidades necesarias para trabajar en el sector de la ciberseguridad.
Ya sea que seas un trabajador en activo o busques una primera experiencia, en THW podemos ayudarte mediante el plan PSC. Tienes más información en este enlace

¡Un saludo y Happy Hack!
Adastra.