Captura con Wireshark de ficheros SMB.

Posted by Alfon on julio 13, 2010
Seguridad Informática

Wireshark es una herramienta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible.

Cuando en Wireshark realizamos una captura de paquetes relacionada con el protocolo HTTP, podemos ver, e incluso guardar, todos los objetos transmitidos durante una determinada sesión de captura. También es posible extraer ficheros binarios. Este tipo de tareas las realiza Wireshark a través de Follow TCP Stream marcando la opción Raw.

También usando la opción Export Selected Packet Bytes del menú contextual situándonos en el campo DATA de la interfaz de Wireshark o, en caso de objetos HTTP desde File > Export > Objets > HTTP. Más información sobre extracción de ficheros binarios y objetos HTTP .

Gracias a Tadding Security Blog, disponemos ya de una nueva opción. La captura de objetos / ficheros SMB. Aunque, de momento, solo está disponible para Linux, esta opción nos permite capturar y visualizar los archivos involucrados en transacciones SMB.

SMB (Server Message Block), es, básicamente, un protocolo que permite compartir archivos, impresoras (Más info en Seguridad y Redes), puertos serie, etc entre hosts conectados en red. Pertenece a la capa de aplicación OSI y es un protocolo del tipo cliente servidor. SMB se encuentra por encima de NETBIOS, que es la que se encarga de la resolución de Nombre Host / IP. Más información sobre SMB / CIFS y NETBIOS.

Esta nueva opción la tenemos gracias a un plugin desarrollado por Tadding Security Blog: http://blog.taddong.com/2010/05/capturing-smb-files-with-wireshark.html. Para disponer de esta opción tan solo instalar o actualizar a la última versión disponible para Wireshark. La versión para Windows está siendo ahora verificada por el equipo de Wireshark.

Cómo funciona;

Si realizamos una captura de red, en la que tengamos tráfico SMB, una vez terminada solo tenemos que ir a File > Export > Object > SMB… y obtendremos una ventana con una lista de objetos o ficheros recopilados con su ubicación, tamaño, etc. Podemos abrir los ficheros directamente o guardarlos:

Más información sobre Wireshark:

Tags: , ,

Comments are closed.

Sentimos molestarte con lo de las Cookies, pero es por imperativo legal. Puedes ver aquí la Política de Cookies, si continúas navegando te informo que la estás aceptando ;)    Ver
Privacidad