Análisis de paquetes

Wireshark

Filtros

Tras capturar tráfico en modo monitor, podemos usar estos filtros de visualización en Wireshark:

Beacon Frames (AP)

Las tramas Beacon (baliza) provenientes del punto de acceso se pueden identificar usando el siguiente filtro de Wireshark:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 8)

Probe Request (Cliente)

Las tramas de solicitud de sondeo (Probe Request) provenientes del cliente se pueden identificar usando el siguiente filtro de Wireshark:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 4)

Probe Response (AP)

Las tramas de respuesta de sondeo (Probe Response) provenientes del punto de acceso se pueden identificar usando el siguiente filtro de Wireshark:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 5)

Autenticación

El proceso de autenticación entre el cliente y el punto de acceso se puede observar usando el siguiente filtro de Wireshark:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 11)

Association Request (Cliente)

Una vez completado el proceso de autenticación, la solicitud de asociación de la estación (cliente) se puede ver usando el siguiente filtro de Wireshark:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 0)

Association Response (AP)

La respuesta de asociación del punto de acceso se puede ver usando el siguiente filtro de Wireshark:

(wlan.fc.type == 0) && (wlan.fc.type_subtype == 1)

WPA2 Handshake (EAPOL)

Si la red de ejemplo utiliza WPA2, las tramas EAPOL (el handshake) se pueden ver usando el siguiente filtro de Wireshark:

eapol

Desconexión (Deauth/Disassoc)

Una vez que el proceso de conexión se ha completado, la terminación de la conexión se puede visualizar identificando qué parte (cliente o punto de acceso) inició la desconexión. Esto se puede hacer usando el siguiente filtro de Wireshark para capturar tramas de Disociación (10) o tramas de Desautenticación (12):

(wlan.fc.type == 0) && ((wlan.fc.type_subtype == 12) || (wlan.fc.type_subtype == 10))

Nombres de identidades

eap

Certificados

tls.handshake.certificate

Fusionar múltiples ficheros PCAP

mergecap combina todos los archivos y ordena los paquetes cronológicamente de forma automática basándose en sus marcas de tiempo (timestamps).

mergecap -w fusionado.pcap *.pcap

Si prefieres no usar la terminal:

Abre Wireshark.
Abre el primer archivo PCAP.
Ve al menú superior y selecciona File > Merge (Archivo > Combinar).
Selecciona el segundo archivo que quieres añadir. Wireshark te preguntará si quieres unirlo cronológicamente, al principio o al final del archivo actual.

Si tienes gigabytes de capturas, fusionarlas primero puede generar un archivo gigante muy difícil de abrir en la interfaz de Wireshark. En este caso, es mejor filtrar los archivos individualmente antes de unirlos. Para ello se utiliza tshark (el motor de Wireshark para la terminal).

FILTRO="eap"
for file in *.pcap; do
  tshark -r "$file" -Y "$FILTRO" -w "filtrado_$file"
done

mergecap -w identidades_todas.pcap filtrado_*.pcap

Búsqueda

for file in *.pcap; do
  echo "--- Archivo: $file ---"
  tshark -r "$file" -Y "eap.identity" -T fields -e eap.identity | sort -u
done

Wifi DB

https://github.com/r4ulcl/wifi_db

AnteriorCaptura de paquetes SiguienteAtaques Wi-Fi

Última actualización hace 7 días