Utilizando Ethereal/Wireshark con RouterOS

Existen situaciones en donde debemos analizar el tráfico para poder tener información y tomar alguna acción / medida, ya sea por un ataque o detectar problemas de negociación de algún protocolo. Para ellos necesitamos una herramienta para poder sniffear la red.

MikroTik RouterOS tiene incorporado un packet sniffer que nos permitirá analizar el tráfico que pasa por el router. Esta funcionalidad nos permite analizar el tráfico, guardarlo en un archivo o enviarlo por streaming a un server que este corriendo Wireshark. El streaming se realiza por UDP port 37009 en el formato TZSP.

Para configurar el packet sniffer en RouterOS para enviar a un host corriendo Wireshark hay que configurar con:

/tool sniffer set streaming-enabled=yes streaming-server=IP_WIRESHARK_HOST
/tool sniffer start

Wireshark (el analizador de red mas conocido) que está disponible para Linux / Windows / MacOS y es gratuito puede ser descargado desde wireshark.org.

Entre las funcionalidades de Wireshark tenemos:

  • Análisis DPI de cientos de protocolos.
  • Análisis online u offline
  • Análisis profundo para VoIP (hasta permite reconstruir y escuchar una llamada SIP)
  • Puede leer datos de Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token ring, Frame relay entre otros.

 

Wireshark

Wireshark VoIP