Wireshark / Tshark. Capturar el tráfico de red de forma remota. RPCAPD

En este artículo vamos a ver otra forma de capturar el tráfico de red. Acostumbrados a usar Wireshark / Tshark o cualquier otro software de captura en modo local o usando archivos de captura .pcap, veremos que también podemos conectar nuestro Wireshark o Tshark a un interfaz de red remoto. Esto último usando una utulidad contenida en Winpcap llamada RPCAPD.

captura de red en host remoto rpcapd

RPCAPD es una herramienta que nos sirve para conetarnos a una interfaz de red en un host remoto. Se encuentra por defecto en C:\Archivos de programa\WinPcap.

Preparando el host remoto 192.168.1.30

Para capturar desde un host local A a nuestro host remoto B, necesitamos saber que dispositivo o interfaz de red vamos a usar del host remoto B en la captura. Para ello tan sencillo como, entre otras formas, usar Tshark en el host remoto B para el descubrimiento de dicha información:

captura informacion interfaz tshark

La interfaz que nos interesa es la número 4 que está reseñada. Copiamos o volcamos la información a un archivo de texto para luego usarla en Wireshark.

Para terminar la preparación del host remoto B, una vez tenemos la información anterior, tan solo nos hace falta dejar RPCAPD escuchando en el host remoto B:

captura de red en host remoto rpcapd

Con -n le decimos que no requiera autentificación. La opción -p3333 es para indicar el puerto a la escucha.

Preparación del host local 192.168.1.5 para la captura con Wireshark.

Ahora cargamos Wireshark. Introducimos los datos necesarios:

opciones de captura remota Wireshark

Le damos a OK. Y ahora tenemos que introducir el nombre del dispositivo de red del host remoto B que descubrimos anteriormente con Tshark -D. Lo haremos usando esta forma (en negrita el nombre del dispositivo):

rpcap://192.168.1.30:3333/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A}

Lo vemos mejor:

wireshartk opciones de captura remota rpcap

Reseñado está lo que hemos introducido en el campo de la interface. Esto lo podemos hacer escribiendo directamente en el campo.

Pulsamos ahora el botón Remote Setting y decimos a Wireshark que no capture el tráfico RPCAP:

Nireshark remote capture setting.no capturar trafico RPCAP

OK y en el panel principal pulsamos Start.

Y capturamos a traves de Wireshark todo el tráfico de red de la interfaz remota Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A} de forma, también remota; del host local A a host remoto B tal como podemos comprobar:

captura remota con wireshark

NOTAS de uso RPCAPD:

Si bien en este artículo hemos usado Wireshark con la opción Null Authentication para comunicarse con RPCAPD (usamos la opcion -n de RPCAPD), lo mejor es hacerlo  mediante credenciales (Password authentication).

Podemos guardar la configuración de RPCAPD  en un archivo (rpcapd.ini) con la opción -s y cargar ese mismo fichero con -f

Con la opción -b de RPCAPD podemos decir que eschuche y comunique con un determinado host o hacerlo a través de una lista blanca -l

Con la opción –d podemos usar RPCAPD como servicio en sistemas win32.

——————————-

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , . Guarda el enlace permanente.

9 respuestas a Wireshark / Tshark. Capturar el tráfico de red de forma remota. RPCAPD

  1. link dijo:

    con whireshark tengo un direccion de comunicacion con un msn pero la direccion que me da no es la publica se puede averiguar la ip publica de un host con whireshark?

  2. Alfon dijo:

    Si claro. Un ejemplo. Te conectas a una máquina remota via VNC a través de un firewall. Debes conectarte a una IP pública y luego el firewall y NAT te redireccionán a la máquina local de la LAN remora que sea. Si capura los paquetes de esa conexión, verás que la IP remota es la pública. Todo esto si entendí bien tu pregunta.

  3. Victor dijo:

    al momento de escoger la interfaz remota me sales un error, no si podrias ampliar con mas detalle que se debe necesitar para conectarnos a la otra máquina o que requerimientos tiene que tener nuestra red
    Saludos y muchas gracias.

  4. Alfon dijo:

    Hola Victor, eso te pasa con wireshark o con RPCAPD ?.

  5. Gustavo dijo:

    Hola.
    Lo he intentando hacer capturando el trafico que pasa por un linux en el que tengo el Tshark pero no se como hacer la parte del RPCAPD. TE agradezco si me puedes colaborar.
    Mil gracias

  6. Alfon dijo:

    Hola Gustavo. Para linux tienes un rpcapd exclusivo para este SO que debes ejecutar como root. Además en la parte de windows y en wireshark o en el linux que tengas el wireshark la interfaz de red será rpcap://xxx.xxx.xxx.xxx/eth0 o la interface que sea. Si sigues sin saber como pues hacemos una entrada en el blog.
    Saludos y gracias por leerme.

  7. Marcos dijo:

    Hola.
    Alfon, me gustaría saber exactamente cómo hacer para monitorizar la eth1 de un Linux usando Wireshark, pero desde otro Linux en otro ordenador. Ambos están conectados en una red privada del tipo 10.0.0.0/8.
    Gracias y saludos!!

  8. Nick dijo:

    Recibe un cordial saludo amigo, sabes que quiero ver el trafico en una interfaz remota con wireshark sin que el usuario se dé cuenta, leí que arriba colocas que creando un “rpcapd.ini” se puede hacer, pero que debe llevar ese archivo?! yo le puse “C:\archivos de programa\winpcap\rpcapd -s -n -3333” pero no sucede nada, cualquier ayuda estaría muy agradecido.

  9. EVITA dijo:

    Hola, tengo la misma inquietud……..
    me gustaría saber cómo hacer para monitorizar la eth1 de un Linux usando Wireshark, pero desde otro Linux en otro ordenador (ver las capturas). Ambos están conectados en una red privada
    Gracias y saludos!!

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s