¿Como capturar tráfico WiFi con Wireshark en Windows?

Inicio / Acrylic WiFi Free / ¿Como capturar tráfico WiFi con Wireshark en Windows?

¿Como capturar tráfico WiFi con Wireshark en Windows?

Wireshark hace uso de las librerías libpcap o winpcap en windows para capturar tráfico de red. Las librerías winpcap no están pensadas para integrarse con tarjetas inalámbricas, por lo que directamente no ofrecen soporte para capturar tráfico WiFi con Wireshark o con otras herramientas cómo Cain & Abel o Elcomsoft Wireless Security Auditor en windows.

Limitaciones de Winpcap y tráfico WiFi con Wireshark

Las limitaciones de captura de paquetes WiFi en Windows dependen de Winpcap y no propiamente de Wireshark. Wireshark sin embargo si incluye soporte de Airpcap, unos adaptadores de red WiFi especiales, y algo caros, cuyos drivers soportan la monitorización de tráfico de red en modo monitor en Windows, que es como se denomina a la captura de tráfico en modo promiscuo en una red WiFi.

Acrylic WiFi incluye un driver de captura de tráfico que hace uso de la tecnología NDIS que captura tráfico de red WiFi en modo monitor en Windows y que permite capturar tráfico WiFi con Wireshark desde Windows Vista, Windows 7, Windows 8 y Windows 8.1. Con este driver podemos dotar, de forma automática, a otros sniffers WiFi de compatibilidad para capturar tráfico de redes inalámbricas en Windows.

Driver NDIS e interfaces WiFi en Wireshark

Para lograr esta integración Acrylic instala una librería propia airpcap.dll en el sistema simulando ser la librería de una tarjeta Airpcap original. Cuando Wireshark carga la librería de airpcap proporcionada por Acrylic del sistema, esta devuelve una lista falsa de tarjetas airpcap instaladas, con una entrada por cada tarjeta WiFi interna o tarjeta WiFi usb instalada.

tarjeta WiFi con Wireshark en Windows

Aprovechando este método, podemos usar nuestro analizador de red favorito para ver el tráfico WiFi con wireshark. Haciendo doble click sobre la interfaz de red podemos ver las opciones, en donde se puede observar que la interfaz de red WiFi va a mostrar la cabecera radiotap, que incluye información del nivel de señal de los paquetes capturados.

Wireshark NDIS WiFi interface detail under Windows

Si hacemos click en el botón “Wireless settings” podemos configurar las opciones avanzadas, como por ejemplo el canal WiFi que queremos monitorizar, y y la comprobación de FCS. El FCS o Frame Check Sequence es una firma de integridad de los paquetes WiFi que permite descartar aquellos corruptos, que se han leido incorrectamente.

Wireshark seleccionar canal con tarjeta WiFi NDIS en Windows

Capturando tráfico WiFi con Wireshark en Windows

Resumiendo, tras instalar Acrylic WiFi arrancamos Wireshark como Administrador (pulsando el botón derecho sobre el icono de Wireshark y seleccionando “Ejecutar como Administrador”) y seleccionamos cualquier tarjeta WiFi que aparece con el nombre de interfaz de red NDIS. En nuestro caso la tarjeta WiFi integrada en nuestro equipo DELL (Dell Wireless 1702/b/g/n) Wireshark Captura NDIS WiFi Windows

 

Videotutorial Acrylic WiFi con Wireshark en Windows

Hemos preparado un video que explica el proceso, échale un vistazo si te ha quedado alguna duda o si quieres ver a wireshark capturar tráfico wireless con cualquier tarjeta WiFi en windows.

 

Descarga la versión Acrylic WiFi Profesional que incluye muchas funcionalidades avanzadas para realizar la captura de tráfico y procesamiento de información. Puedes probarlo gratis y comprarlo para ayudar al desarrollo del software (Cada semana incorporamos nuevas funcionalidades). La versión gratuita Acrylic WiFi Free también se integra con Wireshark. Consulta la lista de tarjetas compatibles para obtener los mejores resultados.

Comprar versión Pro

Captura tráfico WiFi con Wireshark y Acrylic

Analiza los paquetes WiFi con Wireshark y desde Acrylic WiFi Profesional en Windows
Comprar versión Pro

Te agradecemos tus comentarios o que compartas este artículo en las redes sociales con los botones que tienes a continuación.No olvides consultar información de tarjetas compatibles con modo monitor.

By | 2017-06-16T09:39:27+00:00 8 Abr. 2014|12 Comments

12 Comments

  1. Rocco Dylan 24 septiembre, 2014 at 21:12 - Reply

    Enhorabuena por la aplicacion parece prometedora y creo que muchos estabamos buscando esa compatibilidad con las tarjetas wireless al momento de usar wireshark.
    Comentarles que intentando instalar en Windows 7 x64 me sale este error:
    Runtime error (at 88:340):
    Internal error: Unknown constant “OutputBaseFileName”
    La solución del blog resolvió el problema:
    https://www.acrylicwifi.com/blog/faq-items/error-en-la-instalacion-de-acrylic-wifi/
    Saludos.

  2. Guille 29 mayo, 2015 at 19:20 - Reply

    Se puede usar la versión gratuita de acrylic wifi para capturar el tráfico??

    • Tarlogic Security 5 junio, 2015 at 17:30 - Reply

      Hola Guille,

      La versión gratuita se integra con Wireshark, y desde herramientas como Wireshark podrás capturar el tráfico.
      Si lo que buscas es hacerlo directamente desde Acrylic, visualizar los paquetes de red, o almacenar una captura de tráfico, para ello deberás usar la versión Pro.

  3. Emilio 4 junio, 2015 at 21:51 - Reply

    Estimados, es normal que el tráfico (Internet) de notebook se caiga al utilizar el wireshark? asumo que es por estar “escuchando” pero me gustaría saber sus comentarios al respecto.

    Saludos!

    • Tarlogic Security 5 junio, 2015 at 17:29 - Reply

      Hola Emilio,

      Es perfectamente normal. Al usar Wireshark o Acrylic WiFi en modo monitor se fuerza a la tarjeta a operar en otro modo distinto, e incluso a escuchar en una frecuencia distinta a la del funcionamiento de la red, por lo que no es posible estar conectado a la red al mismo tiempo que se realiza una captura de tráfico

  4. Alex 29 marzo, 2016 at 17:35 - Reply

    Acrylic funciona para poner en modo promiscuo la tarjeta inalámbrica en windows, y me surgio la duda si requieres conectar la tarjeta alambrica en puerto espejo, te sirve de igual manera para ponerla en modo promiscuo o en este caso que se puede hacer?

    • Tarlogic Security 6 abril, 2016 at 11:36 - Reply

      Buenos días Alex,

      Entiendo que quieres redirigir todo el tráfico capturado con la tarjeta inalámbrica en modo monitor a través de Ethernet. Lo que comentas de usar la tarjeta de red como puerto espejo no es algo directo, principalmente porque son capas físicas distintas. Sin embargo una opción es usar un servicio de remotepcap, a través del cual podrás capturar todas las tramas WiFi en remoto.
      Acrylic Wi-Fi Professional se integra con Wireshark, de manera que podrás capturar las tramas 802.11 con este software. Wireshark tiene opciones para activar el servicio remotepcap, con lo que ésta sería la forma de acometer una captura en remoto de las tramas WiFi.

      Un saludo

  5. Javier 4 junio, 2016 at 12:55 - Reply

    Buenas, tengo un problema al usar Wireshark y es que este solo me captura el trafico de mi pc, no de otros que esten conectados a la red. Me pueden ayudar?

    Un saludo!!

    • Tarlogic Security 10 junio, 2016 at 08:23 - Reply

      Hola Javier,

      Éste es un comportamiento normal de Wireshark (y de cualquier otro sniffer) al monitorizar una interfaz de cable ethernet. En una red cableada, los switchs se encargan de dirigir a cada extremo únicamente el tráfico que va destinado a ellos, por lo que al activar un sniffer sólo es posible ver el tráfico involucrado con su PC.
      Por el contrario, en una comunicación WiFi, al transmitirse por el “aire” (realmente por el espacio), es posible capturar los paquetes aún sin estar destinados a nosotros. Gracias a Acrylic WiFi y su modo monitor es posible visualizar qué es lo que está ocurriendo en nuestro entorno WiFi. Cabe reseñar que las comunicaciones WiFi suelen y deben configurarse para que se transmitan siempre cifradas de forma que no sea posible inspeccionar los mensajes intercambiados entre dos o más dispositivos.

      Espero haber aclarado sus dudas.

  6. Tom shaiker 6 junio, 2016 at 13:43 - Reply

    A partir de Windows 7 y Windows Server 2008 R2 se puede capturar tráfico desde CMD con netsh trace: http://www.sysadmit.com/2016/06/windows-capturar-trafico.html

    El tráfico capturado después puede analizarse con Wireshark u otro sniffer.

    • Tarlogic Security 10 junio, 2016 at 08:08 - Reply

      Hola Tom,

      Efectivamente con netsh trace se puede capturar tráfico de red. Sin embargo no es posible capturar paquetes WiFi. Con Acrylic WiFi y su modo monitor es posible capturar las tramas WiFi emitidas entre dos o más dispositivos, aunque nuestro PC no se encuentre conectado a ninguna red. Hemos integrado nuestro driver con Wireshark para que sea posible, a través de una interfaz virtual, capturar estos mismos datos y realizar los análisis necesarios.

      Espero haber aclarado su cuestión. Un saludo

  7. Javier 22 agosto, 2016 at 11:13 - Reply

    Muy interesante. Soy ingeniero de software, básicamente me dedico a desarrollar servicios web y me ha sido de gran utilidad para detectar vulnerabilidades. Gracias por la información.

Deja un comentario

¿ Quieres conocer todo sobre Acrylic WiFi ?