En este artículo vamos a ver otra forma de capturar el tráfico de red. Acostumbrados a usar Wireshark / Tshark o cualquier otro software de captura en modo local o usando archivos de captura .pcap, veremos que también podemos conectar nuestro Wireshark o Tshark a un interfaz de red remoto. Esto último usando una utulidad contenida en Winpcap llamada RPCAPD.
RPCAPD es una herramienta que nos sirve para conetarnos a una interfaz de red en un host remoto. Se encuentra por defecto en C:\Archivos de programa\WinPcap.
Preparando el host remoto 192.168.1.30
Para capturar desde un host local A a nuestro host remoto B, necesitamos saber que dispositivo o interfaz de red vamos a usar del host remoto B en la captura. Para ello tan sencillo como, entre otras formas, usar Tshark en el host remoto B para el descubrimiento de dicha información:
La interfaz que nos interesa es la número 4 que está reseñada. Copiamos o volcamos la información a un archivo de texto para luego usarla en Wireshark.
Para terminar la preparación del host remoto B, una vez tenemos la información anterior, tan solo nos hace falta dejar RPCAPD escuchando en el host remoto B:
Con -n le decimos que no requiera autentificación. La opción -p3333 es para indicar el puerto a la escucha.
Preparación del host local 192.168.1.5 para la captura con Wireshark.
Ahora cargamos Wireshark. Introducimos los datos necesarios:
Le damos a OK. Y ahora tenemos que introducir el nombre del dispositivo de red del host remoto B que descubrimos anteriormente con Tshark -D. Lo haremos usando esta forma (en negrita el nombre del dispositivo):
rpcap://192.168.1.30:3333/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A}
Lo vemos mejor:
Reseñado está lo que hemos introducido en el campo de la interface. Esto lo podemos hacer escribiendo directamente en el campo.
Pulsamos ahora el botón Remote Setting y decimos a Wireshark que no capture el tráfico RPCAP:
OK y en el panel principal pulsamos Start.
Y capturamos a traves de Wireshark todo el tráfico de red de la interfaz remota Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A} de forma, también remota; del host local A a host remoto B tal como podemos comprobar:
NOTAS de uso RPCAPD:
Si bien en este artículo hemos usado Wireshark con la opción Null Authentication para comunicarse con RPCAPD (usamos la opcion -n de RPCAPD), lo mejor es hacerlo mediante credenciales (Password authentication).
Podemos guardar la configuración de RPCAPD en un archivo (rpcapd.ini) con la opción -s y cargar ese mismo fichero con -f
Con la opción -b de RPCAPD podemos decir que eschuche y comunique con un determinado host o hacerlo a través de una lista blanca -l
Con la opción –d podemos usar RPCAPD como servicio en sistemas win32.
——————————-
Seguridad y Redes 
con whireshark tengo un direccion de comunicacion con un msn pero la direccion que me da no es la publica se puede averiguar la ip publica de un host con whireshark?
Si claro. Un ejemplo. Te conectas a una máquina remota via VNC a través de un firewall. Debes conectarte a una IP pública y luego el firewall y NAT te redireccionán a la máquina local de la LAN remora que sea. Si capura los paquetes de esa conexión, verás que la IP remota es la pública. Todo esto si entendí bien tu pregunta.
al momento de escoger la interfaz remota me sales un error, no si podrias ampliar con mas detalle que se debe necesitar para conectarnos a la otra máquina o que requerimientos tiene que tener nuestra red
Saludos y muchas gracias.
Hola Victor, eso te pasa con wireshark o con RPCAPD ?.
Hola.
Lo he intentando hacer capturando el trafico que pasa por un linux en el que tengo el Tshark pero no se como hacer la parte del RPCAPD. TE agradezco si me puedes colaborar.
Mil gracias
Hola Gustavo. Para linux tienes un rpcapd exclusivo para este SO que debes ejecutar como root. Además en la parte de windows y en wireshark o en el linux que tengas el wireshark la interfaz de red será rpcap://xxx.xxx.xxx.xxx/eth0 o la interface que sea. Si sigues sin saber como pues hacemos una entrada en el blog.
Saludos y gracias por leerme.
Hola.
Alfon, me gustaría saber exactamente cómo hacer para monitorizar la eth1 de un Linux usando Wireshark, pero desde otro Linux en otro ordenador. Ambos están conectados en una red privada del tipo 10.0.0.0/8.
Gracias y saludos!!
Recibe un cordial saludo amigo, sabes que quiero ver el trafico en una interfaz remota con wireshark sin que el usuario se dé cuenta, leí que arriba colocas que creando un «rpcapd.ini» se puede hacer, pero que debe llevar ese archivo?! yo le puse «C:\archivos de programa\winpcap\rpcapd -s -n -3333» pero no sucede nada, cualquier ayuda estaría muy agradecido.
Hola, tengo la misma inquietud……..
me gustaría saber cómo hacer para monitorizar la eth1 de un Linux usando Wireshark, pero desde otro Linux en otro ordenador (ver las capturas). Ambos están conectados en una red privada
Gracias y saludos!!