Professional Documents
Culture Documents
Wireshark es una aplicación que ofrece una interfaz sencilla de utilizar y permite
visualizar los contenidos de las cabeceras de los protocolos involucrados en una
comunicación de una forma muy cómoda.
Este tipo de programas, conocidos como analizadores de red, o sniffers, activan el modo
promiscuo en la tarjeta de red de la máquina en la que se ejecuten, y obtienen todas las
tramas Ethernet que se envían dentro de la misma red de área local.
INTERFAZ Y MENUS
Wireshark funciona en modo gráfico y está programado con la librería de controles GTK.
La ventana principal de la aplicación se divide en tres partes de visualización y una zona
inferior de trabajo con filtros:
Pantalla de capturas
Pantalla de campos
Pantalla de contenidos
(1)
(2)
(3)
En la pantalla de campos (2) se muestra, utilizando controles tree-view, cada uno de los
campos de cada una de las cabeceras de los protocolos que ha utilizado el paquete
para moverse de una máquina a la otra. Así, si se ha capturado una serie de paquetes
de, por ejemplo, una conexión telnet, se podra ver las cabeceras del protocolo TCP, del
IP y de lo que se tenga debajo de ellos (trama Ethernet, por ejemplo, en una red
Ethernet).
Todas las opciones que pueden ser empleadas, son accesibles por medio de los
menús, la aplicación contiene los siguientes menús
File: Menú con los ítems para abrir, guardar ficheros de captura. Permite imprimir
y salir de la aplicación.
Edit: Menú para encontrar tramas concretas, ir a una trama y marcar tramas.
También tiene las opciones de preferencias, de captura y visualización de filtros y
protocolos.
Capture: Inicia o detiene la captura de paquetes.
Ayuda. Ayuda de la aplicación y “acerca de”.
CAPTURA DE TRÁFICO
Para capturar el tráfico que está circulando en este momento en la red, usar la opción
"Capture" del menú. Al seleccionar la opción “Options” aparecerá la caja de diálogo con
las preferencias para la captura de los paquetes. El diálogo de captura dispone de
varias opciones para el usuario:
Interface: Permite indicar la interfaz de red que se utilizará para capturar el tráfico.
En algunos sistemas es equivalente a las conexiones de red de las que se dispone
(PPP, Red, etc…) si al seleccionar una opción no se capturan datos, se debe a
que no se ha seleccionado la interface correcta.
Filter: Permite definir filtros en la captura, de modo que sólo se capturen aquellas
tramas Ethernet, paquetes IP, segmentos TCP , datagramas UDP, etc, que
cumplan determinadas características.
File: Permite indicar que queremos que el tráfico capturado sea almacenado en un
archivo, lo que permitirá se análisis posterior (en otra sesión). En caso de que se
desee que la captura sea volcada hacia un archivo, se puede seleccionar por
medio de este cuadro de texto.
Stop Capture Automatically After: Permite indicar que la captura sea finita, esto
es, que finalice cuando se hayan capturado un número determinado de tramas,
determinada cantidad de tráfico o durante cierto tiempo. Si no se selecciona
ningún límite será el usuario quien decida el final de la captura.
Presionando directamente el boton "OK" comienza la captura de tráfico. Una
ventana informa de los datos fundamentales de la captura según ésta se va
produciendo (número total de tramas y número de tramas por cada uno de los
principales protocolos):
VISUALIZACIÓN DE RESULTADOS
En la parte inferior se muestra el contenido del paquete tal cual, tanto en hexadecimal
(segunda columna y posteriores), como en ASCII (última columna).
FILTROS DE CAPTURA
Los filtros pueden hacer referencia a un protocolo, a un host, a un puerto, etc. Pueden
ser combinados mediante operadores booleanos ("and", "or" y "not"). Para eliminar
problemas de precedencia de operadores pueden utilizarse paréntesis.
Una expresión en un filtro consiste en una o más primitivas. Las primitivas consisten
normalmente de un identificador (nombre) seguido de uno o más calificadores que
parametrizan el funcionamiento de la primitiva.
src host máquina : análogo al anterior pero con la dirección IP fuente del
paquete.
ether dst máquina, ether src máquina, ether host máquina : análogos a los
tres anteriores pero especificando máquina con su dirección ethernet en lugar
que con su IP.
dst net red, src net red, net red : análogas a las tres primeras primitivas pero
que se aplican a todas las direcciones de una subred en lugar de direcciones
de máquina.
dst port puerto, src port puerto, port puerto : análogas a las tres primeras
primitivas pero con números de puerto en lugar de direcciones de host.
ip, arp, rarp : abreviaturas para ether proto protocolo, donde protocolo es ip,
arp o rarp.
tcp, udp, icmp: abreviaturas para ip proto protocolo, donde protocolo es tcp,
udp o icmp.
FILTROS DE VISUALIZACIÓN
Wireshark tiene dos tipos de filtros; los de captura, que siguen la nomenclatura de la
instrucción UNIX tcpdump, y los de visualización que siguen una nomenclatura propia
de la aplicación. Una vez que se ha realizado una captura de tráfico es posible filtrar las
tramas que se quiere visualizar.
El la parte inferior de la pantalla principal del Wireshark hay un cuadro de texto (Filter)
para especificar el filtro de visualización que quiere aplicarse.
Para crear un filtro de visualización, se debe crear la expresión. Wireshark dispone de
una herramienta que facilita la creación de dichos filtros.
Las normas son sencillas, y para saber qué operandos pueden tener las expresiones
basta con buscar el deseado en la ventana de Wireshark Filter Expresion. Los
operadores que se pueden emplear son de comparación o los booleanos de
combinación de expresiones. En las siguientes tablas se muestran estos operadores.
En el menú de ayuda ("Help") del Wireshark puede encontrarse el listado de todos los
protocolos y sus atributos.