En este artículo vamos a ver otra forma de capturar el tráfico de red. Acostumbrados a usar Wireshark / Tshark o cualquier otro software de captura en modo local o usando archivos de captura .pcap, veremos que también podemos conectar nuestro Wireshark o Tshark a un interfaz de red remoto. Esto último usando una utulidad contenida en Winpcap llamada RPCAPD.

RPCAPD es una herramienta que nos sirve para conetarnos a una interfaz de red en un host remoto. Se encuentra por defecto en C:\Archivos de programa\WinPcap.

Preparando el host remoto 192.168.1.30

Para capturar desde un host local A a nuestro host remoto B, necesitamos saber que dispositivo o interfaz de red vamos a usar del host remoto B en la captura. Para ello tan sencillo como, entre otras formas, usar Tshark en el host remoto B para el descubrimiento de dicha información:

La interfaz que nos interesa es la número 4 que está reseñada. Copiamos o volcamos la información a un archivo de texto para luego usarla en Wireshark.

Para terminar la preparación del host remoto B, una vez tenemos la información anterior, tan solo nos hace falta dejar RPCAPD escuchando en el host remoto B:

Con -n le decimos que no requiera autentificación. La opción -p3333 es para indicar el puerto a la escucha.

Preparación del host local 192.168.1.5 para la captura con Wireshark.

Ahora cargamos Wireshark. Introducimos los datos necesarios:

Le damos a OK. Y ahora tenemos que introducir el nombre del dispositivo de red del host remoto B que descubrimos anteriormente con Tshark -D. Lo haremos usando esta forma (en negrita el nombre del dispositivo):

rpcap://192.168.1.30:3333/\Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A}

Lo vemos mejor:

Reseñado está lo que hemos introducido en el campo de la interface. Esto lo podemos hacer escribiendo directamente en el campo.

Pulsamos ahora el botón Remote Setting y decimos a Wireshark que no capture el tráfico RPCAP:

OK y en el panel principal pulsamos Start.

Y capturamos a traves de Wireshark todo el tráfico de red de la interfaz remota Device\NPF_{58C21E09-0C1F-4F85-9463-12328CA28B9A} de forma, también remota; del host local A a host remoto B tal como podemos comprobar:

NOTAS de uso RPCAPD:

Si bien en este artículo hemos usado Wireshark con la opción Null Authentication para comunicarse con RPCAPD (usamos la opcion -n de RPCAPD), lo mejor es hacerlo  mediante credenciales (Password authentication).

Podemos guardar la configuración de RPCAPD  en un archivo (rpcapd.ini) con la opción -s y cargar ese mismo fichero con -f

Con la opción -b de RPCAPD podemos decir que eschuche y comunique con un determinado host o hacerlo a través de una lista blanca -l

Con la opción -d podemos usar RPCAPD como servicio en sistemas win32.

-------------------------------