Tenemos la opción de tener instalado wireshark en el pc, sentarnos delante de él, arrancarlo y trabajar. También la opción de instalar wireshark en una máquina puente que pueda controlar todo el trafico entre la wan y la lan, pero eso no siempre es posible.
Y por último tenemos la opción de conectarnos desde nuestro pc y conectar nuestro wireshark a la tarjeta de red del pc que queremos controlar.
Para hacer esto tenemos que instalar WinPcap en el pc que queremos controlar. WinPcap se instala conjuntamente con wireshark si no existe ya en el sistema, ya que lo necesita para funcionar.
Al instalar WinPcap en el pc se crea un servicio en windows que se llama Remote Packet Capture Protocol v.0 (experimental), el servicio esta en estado manual y parado.
Para comenzar a capturar paquetes de esta máquina desde nuestro wireshark tendríamos que arrancar este servicio y después conectarnos.
Mi primera prueba fue arrancar el servicio e intentar conectarme, pero no conseguía validarme. La solución que encontré fue arrancar el servicio sin necesidad de autenticación, escribiendo rpcapd -n en una ventana de comandos.
Para hacer esto remotamente utilice psexec de sysinternals, el cual te permite abrir una sesión de consola de forma remota de una forma muy fácil.
Con un usuario con privilegios para acceder como administrador al pc cliente tecleas psexec \\maquina cmd.Y cuando conectes escribes C:\Archiv~1\Winpcap\rpcapd -n
Ahora desde nuestra máquina nos vamos a Capture, Interfaces y añadimos la interfaz remota.
Pulsamos en añadir y en la siguiente ventana ponemos la ip de la máquina y el puerto al que queremos conectarnos que será el 2002, y que no queremos autenticación.
Pulsamos ok y ya tenemos creada una nueva interfaz de red en nuestro wireshark.
La marcamos para activarla.
Y ya lo tenemos todo, ahora ya podemos analizar el trafico de un cliente remoto con si estuviéramos sentados delante de ella.
