Wireshark es un sniffer gratuito muy sencillo de usar y disponible tanto para Linux como para Windows.
Lo primero que debemos hacer para analizar el tráfico, es indicar la interfaz de red por la que vamos a escuchar. Para esto, selecciona la opción de menú "capture" y luego "interfaces...". Se te muestra todas las interfaces de red de tu equipo, pulsa el botón "start" sobre aquella interfaz en la que quieres analizar el tráfico.
En seguida se mostrará todos los paquetes que se reciben o transmiten por la interfaz de red seleccionada. La ventana principal está dividida en tres partes:
- En la primera se muestra una lista con todos los paquetes capturados.
- En la segunda parte de la ventana se muestra en detalle el paquete seleccionada en la lista previa. Se te muestra los diferentes protocolos del paquete (encapsulado).
- En la última parte se te muestra para el paquete seleccionado su contenido en hexadecimal.
Una de las cosas que pido a mis alumnos es recoger en un documento los protocolos a los que pertenecen los paquetes capturados con una breve descripción de su propósito. Para ampliar la práctica, puedes decirles a tus alumnos que abran un cliente emule o bittorrent y que analicen el tráfico generado. Además, puedes pedirle que visiten páginas web no seguras y que recuperen con el sniffer la información transmitida.
Para que vean que pueden capturar todos los paquetes que incluso no están destinados a su máquina puedes conectar los equipos con un hub. También puedes usar un switch y realizar ataques del tipo arp poisoning o "hombre en medio" o del tipo arp flooding para que puedan ver el tráfico enviado a otras máquinas. Pero esto, que es muy divertido e ideal para explicar el protocolo ARP, direcciones IP y direcciones físicas, mejor lo explico en una próxima entrada de este blog.