Si no hubiera sido por el programa WireShark tal vez a estas horas estaría siendo víctima de un "troyano", que, entre otras cosas, se dedicaba a enviar SPAM (correo basura) desde mi ordenador. Parece una tontería, pero, las "lucecitas del módem" me pusieron sobre aviso, y, el programa WireShark, me dio la certeza completa y absoluta de que mi ordenador había sido secuestrado.
El programa WireShark debe ser, sino el mejor, de los mejores, dentro de su categoría. Y aquí reconozco que me pierdo un poco, porque, si bien comprendo que se dedica a analizar el tráfico de nuestra conexión a Internet, a través de diversos protocolos, digo que me pierdo, porque, estos protocolos, que son decenas, son también desconocidos para mí en gran medida.
Ahora bien, entre todos los protocolos para los que está preparado, y de los que te muestra información acerca de su utilización, están los más habituales, por decirlo así, como el SMTP, Simple Mail Tranfer Protocol, muy conocido de los "spammers". O el archiconocido (al menos de nombre) HTTP, Hyper Text Transfer Protocol, que, es el que alguien aprovechaba en mi ordenador para "traficar" con pornografía.
De estos protocolos, muy sencillamente, se puede estar más o menos al tanto, gracias al programa WireShark. El programa, literalmemente, "captura el tráfico", y te permite "verlo", porque, recuerda que todo este tráfico puede llevarse a cabo "en segundo plano", sin que tú te des cuenta, a poco que te olvides de las "lucecitas del módem". Si WireShark muestra tráfico HTTP ó SMTP... y tú no estás utilizando el navegador ni enviando un correo... malo.
Es decir, malo, ¡lo peor es no saberlo! Y gracias a WireShark puedes estar más tranquilo en ese sentido. Aunque es un programa que hay que ejecutar "bajo demanda", es decir, no se trata de un Firewall, como pueda ser el estupendo Firewall Comodo (que ahora uso), sino de un "analizador de tráfico de Internet", que hay que poner en marcha, precisamente, cuando quieras ver en lo "profundo" del asunto, qué está pasando ahí.
En definitiva, un excelente programa WireShark. Sólo de ver la lista de colaboradores se admira uno de la cantidad de personas que están implicadas en este proyecto, que, desde luego, y, desde mi humilde punto de vista, no parece nada sencillo, sino todo lo contrario. De hecho es un programa muy completo, que sirve, como he dicho, para analizar el tráfico de decenas de protocolos diferentes, pero, que, puede servirnos también para estar al loro, simplemente, de algunos de estos protocolos, por lo menos.
WireShark está disponible para varios sistemas operativos, acaba de llegar a su versión 1.0, pero, después de 10 años de trabajo. Y vaya si se nota que es un programa que merece la pena tener ahí disponible en nuestro sistema, por si las lucecitas del módem empiezan a parpadear más de la cuenta, por lo menos. Ya los más curiosos podrán adentrarse en las profundidades del tráfico de Internet en los protocolos más variopintos. No dejes de probarlo, aunque, mucho me temo que no te he descubierto nada nuevo.
Publicada el Jueves, 3/4/2008 por David Esperalta
Suscribirse a esta entrada - URL para Trackbacks
Prueba el anti-malware Comodo-Boclean . Me parece también una buena herramienta, que corre en segundo plano "vigilando troyanos, malwares y otras amenazas". Yo particularmente lo uso junto con el Comodo Firewall.
Te agradezco el dato userlazarus. Yo también estoy usando Comodo, como queda dicho, desde que lo comentaras ayer. Creo que es estupendo. Por otro lado, mi ordenador no está para muchos trotes, y, muchos servicios en segundo plano,... más los que están en primer plano, ¡puf!
Pero, ahí estoy mirándole a las lucecitas del módem, je je je... y desde luego contento, puesto que, aunque me queda que reinstalar buena parte de los programas que uso, creo que voy a tomármelo con calma, por un lado, y que, lo más importante, he conseguido librarme de un troyano que la padre que lo parió...
Hola David, podrías indicarme como configuraste el wireshark para detectar el correo spam. En mi caso quiero detectar un ordenador de mi lan que envia Spam.
Gracias.
Un saludo.
Hola. La verdad es que no creo saber ni poder ayudarte. Este programa es muy complejo, a lo que entiendo, y yo apenas si puedo utilizarlo muy básicamente.
Yo me voy al menú "Capture" y eligo la opción "Interfaces". En el cuadro de diálogo que aparece eligo el botón "Start" correspondiente a una de las "interfaces".
No entiendo mucho, y no sé si a ti te aparecerán una, dos o más "interfaces". A mí me aparecen dos, y pulso sobre el botón "Start" de la que corresponde con mi tarjeta de "Ethernet".
Acto seguido el programa se pone en marcha, por decirlo así, y empieza a capturar el tráfico de dicha "Interface". Se habrá cerrado el cuadro de diálogo anterior y verás la pantalla principal del programa, mostrándote un montón de tráfico.
Pero este corresponde a diversos protocolos. Ahora bien, a nosotros nos interesa el protocolo "SMTP", así que en la casilla "Filter" escribo en minúsculas "smtp", sin las comillas.
A partir de ahí el programa muestra sólo el tráfico SMTP correspondiente, que tiene que ser ninguno, en caso de que tu ordenador no esté enviando correo.
Si lo está enviando verás que desde WhireSark puedes ver las cabeceras y hasta el cuerpo de los correos, con lo que es más o menos sencillo darte cuenta de qué se trata...
Espero haberte ayudado en algo. ;)
Gracias David, lo probaré.
Saludos.