¿Cómo puedo utilizar Wireshark para olfatear una transmisión SMB?

Hola internatura ! Aquí Raul en un nuevo tutorial para ustedes !
Espero que les sirva y nos vemos en el próximo tutorial

¿Se ha preguntado alguna vez qué pasa cuando se conecta a un recurso compartido de Windows? Hay una manera sencilla de averiguarlo. Utilice un sniffer de paquetes como Wireshark.

Qué es Wireshark?

Wireshark es una herramienta de captura de paquetes sencilla de instalar y fácil de usar que admite tanto Windows como Linux. En Windows, Wireshark utiliza el módulo Pcap de Windows como motor subyacente para capturar paquetes. Wireshark se capa en la parte superior de Pcap para proporcionar una interfaz fácil de usar y un filtro de paquetes.

La forma más sencilla de controlar los paquetes entre dos máquinas es simplemente instalar Wireshark en una de las dos máquinas y configurar un filtro para ver el tráfico. En este ejemplo, supervisaremos el tráfico entre una máquina cliente de Windows 10 y un servidor Windows 2012.

Configuración de un archivo compartido

En primer lugar, configuraremos un recurso compartido en la máquina Windows 2012. En la máquina Windows 2012, cree una nueva carpeta y llámala «compartir«. Haga clic con el botón derecho y seleccione propiedades. Vaya al compartir y seleccione compartir. Permitir al usuario administrativo acceder al contenido compartido con privilegios de lectura y escritura. En este caso, el administrador ya es el propietario de la acción.

Si el dispositivo cuota está escuchando con el orden limpio share.

Configuración del cliente

A continuación, en la máquina de Windows 10, nos conectaremos al recurso compartido de red de nueva creación con la línea de comandos.

Una vez confirmada la conectividad compartida, es hora de ver qué pasa. Instalamos Wireshark en la máquina Windows 10. Wireshark está disponible para descargar en www.wireshark.org. En este ejemplo utilizaremos Wireshark-win64-2.6.6.exe. Simplemente pulse Siguiente y elija todos los valores predeterminados del Asistente para instalar.

Cuando se ejecuta Wireshark, el primer paso siempre es iniciar una captura en una interfaz designada. En el menú Wireshark, vaya a captura | opciones. Elija la interfaz que desea escuchar e inicie la captura. En este caso, sólo tenemos un adaptador de red para elegir.

Una vez escuchado, verá todo el tráfico de la interfaz.

Filtrar el tráfico

Para ver sólo el tráfico implicado en el intercambio de pymes, deberemos configurar algunos filtros. Si no conoce todas las órdenes de filtro, Wireshark tiene una interfaz gráfica útil que se puede utilizar para configurar filtros. En el panel superior situado junto a la barra de búsqueda, elija expresión. Esto hará aparecer el «Wireshark: expresión del filtro de visualización«Ventana.

Desde esta ventana, navega por el protocolo para encontrar el filtro adecuado. En este caso, el filtro introductorio más sencillo para reducir el tráfico es limitar el tráfico por dirección IPv4.

Iremos a la dirección IPv4 y configuraremos ip.addr == 192.168.31.201 que es la dirección IP del recurso compartido SMB. Esta misma orden se puede escribir directamente en la barra de búsqueda si es un usuario más avanzado de Wireshark. Ahora, el tráfico se limita sólo al tráfico entre nuestro cliente y el servidor Windows 2012a.

A ver si conseguimos más información de esta captura. En primer lugar, eliminaremos la compartición. En Windows 10, ejecute el símbolo del sistema como administrador y escriba uso neto \ 192.168.31.201 share delete. A continuación se muestra un ejemplo del flujo TCP durante la supresión. Esta vez se proporciona un poco más de información en texto claro.

A continuación, reiniciaremos toda la conexión desde el principio para asegurarnos de que nuestras credenciales están protegidas. Primero, confirme que no hay ninguna sesión establecida ejecutando netstat y filtrado para cualquier ESTABLECIDO sesiones. A continuación, vuelva a conectarse al recurso compartido con credenciales explícitas y, a continuación, siga TCP Stream

Hurra! No hay contraseñas de texto claras. Sin embargo, veo un nombre de usuario. Puede ser el momento de actualizar a SMBv3.

Este ejemplo sencillo demuestra cómo utilizar Wireshark para controlar las conexiones de red. Wireshark se puede utilizar para oler todo el tráfico de red para solucionar problemas de conexiones o para determinar si los intercambios de paquetes tienen un texto claro que se debería proteger aún más. Wireshark es una herramienta más para añadir a su arsenal de seguridad. Feliz olfateando!

Deja un comentario