Wireshark. Duda analizando paquetes

Buenas,

estoy iniciándome en Wireshark. Para hacer una prueba de concepto he hecho una captura de tramas en mi PC local.

El test que hago es muy sencillo: "Me conecto con Firefox a Google y pongo en el buscador una palabra clave"

Al abrir Wireshark, veo mi IP local, mi dirección MAC y que el user-agent es Firefox. Hago filtrados por protocolos http, pero me quedo bloqueado en lo siguiente:

- No veo mi conexión a Google (filtro por protocolo http, https y busco "Google" en el archivo de captura y no sale nada)
- No veo la palabra buscada
- Veo una conexión a la IP 84.53.132.152 (Akamai). He visto que es un CDN, pero no sé por qué paso por ahí.
- No sé ver el PID.

¿Me podéis orientar un poco?

Muchas gracias!
Hola, intentaré ayudarte con lo poco que sé y si alguien que me lea cree que me he equivocado en algo que se sienta libre en rectificarme.

Para comenzar la búsqueda que haces con el filtro HTTP es incorrecta, debes filtrar por DNS ya que estás buscando algo mediante Google y Google lo que hace es consultar a sistemas de nombres de dominio (o al menos yo entiendo eso).

Para facilitar la búsqueda concreta en la barra de filtro pon udp.streak eq 53, ya que es el protocolo que se usa para realizar la consulta al DNS mediante el puerto 53.

Si te fijas en la captura que te dejo verás que en la primera línea se hace la consulta (standard query) al DNS de mi proveedor de internet y en la segunda línea recibo la respuesta del mismo.

Imagen



Edito para decir que mi explicación anterior no es válida. No podemos ver la búsqueda que hacemos en Google ya que habría que configurar unas reglas y aún así la búsqueda se hace encriptada [facepalm]
https://osqa-ask.wireshark.org/questions/63151/is-there-a-way-to-capture-google-search-packets

Dejo mi primera explicación que aunque errónea quizás te pueda servir para algo.
@neofonta

Buenas tío!

Sí, leí que las búsquedas están cifradas.

En todo caso, te agradezco mucho la explicación. Me es muy útil :)

Mil gracias! [beer]
neofonta escribió:@banderas20 Te dejo en enlace a un cheat sheet de Wireshark, espero que te sea de utilidad.

https://stationx-public-download.s3.us-west-2.amazonaws.com/Wireshark-Cheat-Sheet-v1.pdf


[beer]
En su día me vino muy bien la siguiente documentación.
[rtfm] https://www.incibe.es/extfrontinteco/im ... eshark.pdf

Algunas veces se suele tirar de primeras a Wireshark que está muy bien pero puede ser cómo matar moscas a cañonazos, no olvides TCPDdump que puede ser más simple, pero según que quieras hacer te puede resolver el problema [oki]

Respecto a la prueba de concepto de Google no sé si te dejará hacerla usando http dónde es posible que la query no vaya encriptada.
Las búsquedas van cifradas, ya van siempre por https, por lo que no podrás encontrarlas en los paquetes salvo que tengas la clave (que obviamente no).
Si quieres hacer pruebas busca una web http y ahí rellenas formularios, que entonces sí que podrás ver los paquetes con su info.
La parte principal ya te han dicho los compañeros, las prácticas siempre con http o vas a ver bien poco.

Respecto a Akamai, te lo vas a encontrar en el 90% de capturas que hagas e intervenga la red pública. Es un cacheador y replicador de recursos de internet que utilizan infinidad de compañías en el mundo. De esta forma, yo monto una empresa y en vez de montar servidores con las imágenes en todo el mundo para que se descarguen mejor, contrato a Akamai y le digo que me las replique él, así un español descarga los recursos de servidores españoles, y un alemán, de servidores alemanes.

También dan otros servicios pero ese es el principal de Akamai.

Un saludo
Dracot escribió:Es un cacheador y replicador de recursos de internet que utilizan infinidad de compañías en el mundo. De esta forma, yo monto una empresa y en vez de montar servidores con las imágenes en todo el mundo para que se descarguen mejor, contrato a Akamai y le digo que me las replique él, así un español descarga los recursos de servidores españoles, y un alemán, de servidores alemanes.

También dan otros servicios pero ese es el principal de Akamai.



O sea, que actúa de proxy-cache.

Gracias! [beer]
banderas20 escribió:
Dracot escribió:Es un cacheador y replicador de recursos de internet que utilizan infinidad de compañías en el mundo. De esta forma, yo monto una empresa y en vez de montar servidores con las imágenes en todo el mundo para que se descarguen mejor, contrato a Akamai y le digo que me las replique él, así un español descarga los recursos de servidores españoles, y un alemán, de servidores alemanes.

También dan otros servicios pero ese es el principal de Akamai.



O sea, que actúa de proxy-cache.

Gracias! [beer]


A efectos prácticos si....aunque no lo es realmente, porque no hace de proxy para las comunicaciones....Cuando tú atacas a una web, Akamai no está en medio como proxy cacheando, accedes a la web original allí donde esté. Pero cuando dicha web busca una imagen, video, etc, en lugar de atacar a sus servidores, lo hace a uno de Akamai que sea conveniente geográficamente.

Pero a efectos prácticos, se consigue una mejora muy parecido y por métodos relativamente similares a los de un proxy-cache
Dracot escribió:
banderas20 escribió:
Dracot escribió:Es un cacheador y replicador de recursos de internet que utilizan infinidad de compañías en el mundo. De esta forma, yo monto una empresa y en vez de montar servidores con las imágenes en todo el mundo para que se descarguen mejor, contrato a Akamai y le digo que me las replique él, así un español descarga los recursos de servidores españoles, y un alemán, de servidores alemanes.

También dan otros servicios pero ese es el principal de Akamai.



O sea, que actúa de proxy-cache.

Gracias! [beer]


A efectos prácticos si....aunque no lo es realmente, porque no hace de proxy para las comunicaciones....Cuando tú atacas a una web, Akamai no está en medio como proxy cacheando, accedes a la web original allí donde esté. Pero cuando dicha web busca una imagen, video, etc, en lugar de atacar a sus servidores, lo hace a uno de Akamai que sea conveniente geográficamente.

Pero a efectos prácticos, se consigue una mejora muy parecido y por métodos relativamente similares a los de un proxy-cache

¿Puede ser un CDN?

Aquí [ https://www.akamai.com/es/es/resources/cdn-server.jsp ] creo que explican lo que comentas ;)
Efectivamente, pero al ser un término poco conocido me enrollé en explicarlo de forma más sencilla

Además nunca se sabe quién lee el foro y lo que sabe o no, así cualquiera que se encuentre conexiones a Akamai sabe de qué va el rollo XD
13 respuestas