Captura de tramas inalámbricas en Tshark

Introducción

En este laboratorio, aprenderá a capturar y analizar tramas de red inalámbrica utilizando Tshark, la utilidad de línea de comandos de Wireshark. Practicará cómo habilitar el modo monitor en una interfaz inalámbrica, capturar paquetes con filtros específicos y examinar los detalles de las tramas a través de ejercicios prácticos.

El laboratorio cubre técnicas esenciales, como la configuración de la interfaz, la captura de paquetes en tiempo real y el análisis dirigido de tramas beacon 802.11. Obtendrá experiencia práctica tanto con métodos de línea de comandos como de interfaz gráfica de usuario (GUI) para observar el tráfico inalámbrico que normalmente es invisible en los modos de red estándar.

Habilitar el modo monitor con -I

En este paso, aprenderá cómo habilitar el modo monitor en Wireshark utilizando la opción -I. El modo monitor es un modo especial de interfaz inalámbrica que permite a su adaptador de red capturar todo el tráfico inalámbrico en un canal específico, incluyendo paquetes que no están destinados a su dispositivo. Esto es diferente del modo "administrado" normal, en el que su dispositivo solo recibe los paquetes destinados a él.

Antes de comenzar, necesitamos verificar que su interfaz inalámbrica esté disponible. La mayoría de los sistemas Linux utilizan wlan0 como nombre de interfaz inalámbrica predeterminado. Utilizaremos el comando iwconfig para comprobarlo:

iwconfig

Debería ver wlan0 enumerado entre las interfaces. Si ve un nombre diferente, deberá sustituirlo en los siguientes comandos.

A continuación, utilizaremos airmon-ng de la suite aircrack-ng para habilitar el modo monitor. Esta herramienta ayuda a administrar las interfaces inalámbricas:

sudo airmon-ng start wlan0

Este comando crea una nueva interfaz virtual en modo monitor, normalmente llamada wlan0mon. El sufijo "mon" indica que está en modo monitor.

Verifiquemos que el modo esté activo comprobando las propiedades de la interfaz:

iwconfig wlan0mon

En la salida, busque "Mode:Monitor", lo que confirma que la interfaz está configurada correctamente. También puede ver detalles sobre la frecuencia y el canal aquí.

Ahora estamos listos para iniciar Wireshark con el modo monitor habilitado:

wireshark -I -i wlan0mon

La opción -I le dice específicamente a Wireshark que utilice el modo monitor, mientras que -i wlan0mon especifica nuestra interfaz de monitor. Sin estas opciones, Wireshark intentaría capturar en el modo administrado normal.

Cuando se abra Wireshark, compruebe la lista de interfaces. Debería ver wlan0mon con un indicador "(modo monitor)" junto a él. Esta confirmación visual ayuda a garantizar que está capturando todo el tráfico inalámbrico correctamente.

Iniciar la captura con -i wlan0

En este paso, capturará el tráfico de red inalámbrica utilizando la interfaz de línea de comandos de Wireshark. La opción -i es crucial, ya que le dice a Wireshark qué interfaz de red debe monitorear. Dado que estamos trabajando con redes inalámbricas, utilizaremos la interfaz de modo monitor que preparamos anteriormente.

Antes de comenzar, confirmemos que nuestra interfaz de modo monitor esté configurada correctamente. Esta verificación garantiza que estemos capturando el tipo correcto de datos inalámbricos:

iwconfig wlan0mon

Busque "Mode:Monitor" en la salida; esto confirma que su interfaz está lista para capturar todo el tráfico inalámbrico en su vecindario, no solo el tráfico destinado a su dispositivo.

Ahora lanzaremos Wireshark para comenzar a capturar paquetes:

wireshark -i wlan0mon

La parte -i wlan0mon le dice específicamente a Wireshark que utilice nuestra interfaz de modo monitor. En la ventana de Wireshark que aparece:

• La lista de paquetes se llenará en tiempo real a medida que los dispositivos de su alrededor transmitan tramas inalámbricas.
• Verifique que aparezca "wlan0mon" en la barra de estado para confirmar la selección correcta de la interfaz.
• Observe cómo aumenta el contador de paquetes, lo que muestra una actividad de captura exitosa.

Para detener la captura de paquetes cuando haya terminado:

• Haga clic en el prominente botón rojo "Stop" en la barra de herramientas.
• Alternativamente, presione Ctrl+E para activar/desactivar la captura.

Para situaciones en las que prefiera trabajar en la terminal o necesite automatizar las capturas, Tshark (la versión de línea de comandos de Wireshark) es perfecto:

tshark -i wlan0mon -c 10

Este comando captura exactamente 10 paquetes y luego se detiene automáticamente, mostrando los resultados directamente en su terminal. La opción -c controla cuántos paquetes se deben capturar antes de detenerse.

Filtrar balizas con -Y "wlan.fc.type_subtype==0x08"

En este paso, aprenderá cómo filtrar los marcos de baliza (beacon frames) en Wireshark utilizando la sintaxis de filtro de visualización. Los marcos de baliza son marcos de gestión especiales (tipo 0x08) que los puntos de acceso inalámbricos transmiten continuamente para anunciar la presencia de su red. Estos marcos contienen información esencial como el nombre de la red (SSID), las velocidades de datos admitidas y la configuración de seguridad.

1. Primero, asegúrese de que Wireshark esté en ejecución capturando en wlan0mon (del paso anterior):

wireshark -i wlan0mon

Este comando inicia Wireshark y comienza a capturar paquetes en la interfaz wlan0mon, que ya debería estar en modo monitor según la configuración previa.

2. En la interfaz de Wireshark:
   • Busque la barra de herramientas "Filter" en la parte superior (justo debajo del menú principal).
   • Ingrese la expresión de filtro:

wlan.fc.type_subtype == 0x08

Este filtro le dice a Wireshark que solo muestre los paquetes en los que el tipo/subtipo de marco coincida con los marcos de baliza (0x08 en hexadecimal).

• Presione Enter o haga clic en Aplicar para activar el filtro.

3. Ahora solo debería ver marcos de baliza en la lista de paquetes. Estos normalmente muestran:

   • Dirección MAC de origen del punto de acceso (identifica el dispositivo físico).
   • SSID (nombre de la red) en los detalles del paquete (lo que los usuarios ven como el nombre de WiFi).
   • Intervalos regulares (por lo general, cada 100 ms, que es el intervalo de baliza predeterminado).

4. Para examinar un marco de baliza en detalle:

   • Seleccione cualquier marco de baliza en la lista de paquetes haciendo clic en él.
   • Expanda la sección "IEEE 802.11 Wireless LAN Management Frame" en el panel central.
   • Aquí puede ver detalles importantes como:
     • SSID (bajo Parámetros etiquetados).
     • Velocidades de datos admitidas.
     • Información del canal.
     • Capacidades de seguridad.

5. Para filtrar desde la línea de comandos con tshark (útil para capturas automatizadas):

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -c 5

Este comando captura exactamente 5 marcos de baliza (-c 5) que coinciden con nuestro filtro (-Y) desde la interfaz wlan0mon y luego se cierra automáticamente. La opción -Y en tshark funciona de manera similar al filtro de visualización de Wireshark.

Mostrar tramas con -V

En este paso, aprenderá cómo utilizar el modo de salida detallada de Wireshark con la opción -V para mostrar información detallada de los marcos en la terminal. Esto es especialmente útil cuando se trabaja con herramientas de línea de comandos como tshark, ya que proporciona información más completa que la vista resumida predeterminada.

1. Primero, asegúrese de tener algunos marcos de baliza capturados (del paso anterior). Utilizaremos tshark para mostrarlos con todos los detalles:

tshark -r /tmp/capture.pcap -Y "wlan.fc.type_subtype==0x08" -V

Este comando lee desde su archivo de captura guardado (/tmp/capture.pcap) y filtra los marcos de baliza (tipo/subtipo 0x08). La opción -V le dice a tshark que muestre todos los detalles disponibles sobre cada marco.

2. La opción -V proporciona una salida detallada que muestra:

   • Encabezados de marco completos (incluyendo todos los campos del marco 802.11)
   • Todas las capas de protocolo (desde la capa física hasta los datos de la aplicación)
   • Valores de campo detallados (con explicaciones de lo que significa cada valor)
   • Volcados de carga útil en hexadecimal (útiles para analizar el contenido bruto de los paquetes)

3. Para capturar y mostrar marcos en tiempo real con salida detallada:

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5

Esto hará lo siguiente:

• Capturará desde la interfaz wlan0mon (su interfaz de modo monitor)
• Filtrará solo los marcos de baliza (utilizando el mismo filtro que antes)
• Mostrará una salida detallada (con todos los detalles explicados anteriormente)
• Se detendrá después de 5 marcos (el parámetro -c 5 limita la captura)

4. Información clave a observar en la salida detallada:

   • Valores del campo de control de marco (muestra el tipo de marco, la dirección y otras banderas)
   • Direcciones MAC (origen, destino y BSSID)
   • Intervalo de baliza (con qué frecuencia el punto de acceso envía marcos de baliza)
   • Información de capacidad (qué características admite el punto de acceso)
   • Tasas soportadas (las velocidades de datos que el punto de acceso puede manejar)

5. Para una mejor legibilidad, especialmente con salidas largas, puede canalizar la salida a less:

tshark -i wlan0mon -Y "wlan.fc.type_subtype==0x08" -V -c 5 | less

Esto le permite desplazarse por la salida página por página utilizando las teclas de flecha, en lugar de que toda la salida se muestre en su terminal de una vez. Presione 'q' para salir del visor less cuando haya terminado.

Resumen

En este laboratorio, has aprendido cómo capturar marcos inalámbricos utilizando Wireshark en modo monitor. Los pasos clave incluyeron habilitar el modo monitor con airmon-ng, verificar el estado de la interfaz con iwconfig y lanzar Wireshark con la opción -I para la captura en modo monitor. También practicaste especificar la interfaz de monitoreo con -i y observar el tráfico en tiempo real.

Además, exploraste técnicas de filtrado utilizando -Y para marcos de baliza (beacon frames) y -V para análisis detallado. El laboratorio cubrió tanto métodos de interfaz gráfica de usuario (GUI) como de línea de comandos, incluyendo tshark para operaciones sin interfaz gráfica, proporcionando una base sólida para el análisis de marcos inalámbricos.