Scribd Logo
Upload

Welcome to Scribd!

  • Guia Rapida Wireshark PDF

    Uploaded by

    Miguel Medina
    145 views6 pages

    Original Title

    Guia rapida Wireshark.pdf

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    145 views6 pages

    Guia Rapida Wireshark PDF

    Uploaded by

    Miguel Medina

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 6

    UNIVERSIDAD NACIONAL MAYOR DE SAN MARCOS

    (Universidad del Perú , DECANA DE AMËRICA)


    FACULTAD DE INGENIERÍA ELECTRÓNICA
    E.A.P. INGENIERÍA ELECTRÓNICA

    Uso del Analizador de Tráfico Wireshark

    La herramienta de software Wireshark se utiliza para capturar y analizar una traza de


    paquetes. Un rastro del paquete es un registro de tráfico en un punto de la red, como si
    una instantánea que se toma de todos los bits que se transmiten a través de un cable en
    particular. El rastreo de paquete registra una marca de tiempo para cada paquete, junto
    con los bits que componen el paquete, a partir de las cabeceras de capa inferior a los
    contenidos de capa más alta. Wireshark se ejecuta en la mayoría de sistemas
    operativos, incluyendo Windows, Mac y Linux. Se proporciona una interfaz de usuario
    gráfica que muestra la secuencia de paquetes y el significado de los bits cuando se
    interpreta como cabeceras de protocolo y de datos. Analiza los paquetes para que se
    investigue el comportamiento de los protocolos de red. Wireshark es ampliamente
    utilizado para solucionar problemas de redes.

    I. GUIA RÁPIDA DE WIRESHARK:

    Wireshark es una aplicación que ofrece una interfaz sencilla de utilizar y permite
    visualizar los contenidos de las cabeceras de los protocolos involucrados en una
    comunicación de una forma muy cómoda.
    Este tipo de programas, conocidos como analizadores de red, o sniffers, activan el modo
    promiscuo en la tarjeta de red de la máquina en la que se ejecuten, y obtienen todas las
    tramas Ethernet que se envían dentro de la misma red de área local.

    El modo promiscuo es una función software de la tarjeta de red que, si se activa,


    provoca que la tarjeta capture de la red todas las tramas, sin preocuparse de quién es el
    destinatario de la misma. Normalmente este flag está desactivado, y el sistema
    operativo sólo recibe las tramas cuya dirección Ethernet destino es la suya.

    INTERFAZ Y MENUS

    Wireshark funciona en modo gráfico y está programado con la librería de controles GTK.
    La ventana principal de la aplicación se divide en tres partes de visualización y una zona
    inferior de trabajo con filtros:

     Pantalla de capturas
     Pantalla de campos
     Pantalla de contenidos
    (1)

    (2)

    (3)

    En la pantalla de capturas (1) se muestra la información más relevante de los paquetes


    capturados, como, por ejemplo, las direcciones IP y puertos involucrados en la
    comunicación. Seleccionando un paquete en esta sección podemos obtener información
    detallada sobre él en las otras dos secciones de la pantalla que comentaremos a
    continuación.

    En la pantalla de campos (2) se muestra, utilizando controles tree-view, cada uno de los
    campos de cada una de las cabeceras de los protocolos que ha utilizado el paquete
    para moverse de una máquina a la otra. Así, si se ha capturado una serie de paquetes
    de, por ejemplo, una conexión telnet, se podra ver las cabeceras del protocolo TCP, del
    IP y de lo que se tenga debajo de ellos (trama Ethernet, por ejemplo, en una red
    Ethernet).

    En la pantalla de contenidos (3) muestra un volcado hexadecimal del contenido del


    paquete. Seleccionando cualquier campo en la parte central de la ventana se mostrarán
    en negrita los datos correspondientes del volcado hexadecimal, los datos reales que
    están viajando por la red.

    Todas las opciones que pueden ser empleadas, son accesibles por medio de los
    menús, la aplicación contiene los siguientes menús

     File: Menú con los ítems para abrir, guardar ficheros de captura. Permite imprimir
    y salir de la aplicación.
     Edit: Menú para encontrar tramas concretas, ir a una trama y marcar tramas.
    También tiene las opciones de preferencias, de captura y visualización de filtros y
    protocolos.
     Capture: Inicia o detiene la captura de paquetes.
     Ayuda. Ayuda de la aplicación y “acerca de”.

    CAPTURA DE TRÁFICO

    Para capturar el tráfico que está circulando en este momento en la red, usar la opción
    "Capture" del menú. Al seleccionar la opción “Options” aparecerá la caja de diálogo con
    las preferencias para la captura de los paquetes. El diálogo de captura dispone de
    varias opciones para el usuario:

     Interface: Permite indicar la interfaz de red que se utilizará para capturar el tráfico.
    En algunos sistemas es equivalente a las conexiones de red de las que se dispone
    (PPP, Red, etc…) si al seleccionar una opción no se capturan datos, se debe a
    que no se ha seleccionado la interface correcta.
     Filter: Permite definir filtros en la captura, de modo que sólo se capturen aquellas
    tramas Ethernet, paquetes IP, segmentos TCP , datagramas UDP, etc, que
    cumplan determinadas características.
     File: Permite indicar que queremos que el tráfico capturado sea almacenado en un
    archivo, lo que permitirá se análisis posterior (en otra sesión). En caso de que se
    desee que la captura sea volcada hacia un archivo, se puede seleccionar por
    medio de este cuadro de texto.
     Stop Capture Automatically After: Permite indicar que la captura sea finita, esto
    es, que finalice cuando se hayan capturado un número determinado de tramas,
    determinada cantidad de tráfico o durante cierto tiempo. Si no se selecciona
    ningún límite será el usuario quien decida el final de la captura.
    Presionando directamente el boton "OK" comienza la captura de tráfico. Una
    ventana informa de los datos fundamentales de la captura según ésta se va
    produciendo (número total de tramas y número de tramas por cada uno de los
    principales protocolos):

    Para iniciar la captura se deberá pulsar “Start” y para detener la captura, es


    necesario pulsar en "Stop" en la ventana de información sobre el proceso de
    captura. Las tramas capturadas se cargan automáticamente en la pantalla principal
    del Wireshark.

    VISUALIZACIÓN DE RESULTADOS

    La lista de tramas capturadas aparece en la parte superior de la pantalla principal de


    Ethereal, indicando el momento en el que fue capturada (Time), las direcciones origen
    (Source) y destino (Destination), y el protocolo (Protocol) así como información
    adicional (Info) del mismo.

    Al seleccionar una trama, en la parte inferior puede verse el detalle de la trama,


    incluyendo los datos de todas las cabeceras de cada trama. Puede verse la trama a
    nivel de enlace (Ethernet II), de red (Internet Protocol), y de transporte (User Datagram
    Protocol). Ethereal además, soporta cierto número de protocolos de aplicación como
    pueden ser HTTP, DNS o NFS.

    En la parte inferior se muestra el contenido del paquete tal cual, tanto en hexadecimal
    (segunda columna y posteriores), como en ASCII (última columna).

    FILTROS DE CAPTURA

    Wireshark permite filtrar la información acerca de los paquetes capturados, tanto en el


    momento de la captura de los mismos como en la visualización. Wireshark utiliza la
    misma sintaxis para la definición de filtros que la orden de Unix tcpdump.

    Los filtros pueden hacer referencia a un protocolo, a un host, a un puerto, etc. Pueden
    ser combinados mediante operadores booleanos ("and", "or" y "not"). Para eliminar
    problemas de precedencia de operadores pueden utilizarse paréntesis.

    Una expresión en un filtro consiste en una o más primitivas. Las primitivas consisten
    normalmente de un identificador (nombre) seguido de uno o más calificadores que
    parametrizan el funcionamiento de la primitiva.

    Los posibles calificadores son de uno de los tipos siguientes:

     Tipo: Identifican si hablamos de una dirección de host ("host"), de red ("net") o de


    un número de puerto ("port").
     Dirección: Especifica una dirección de transferencia desde o hacia el identificador.
    Las posibles direcciones son fuente ("src"), destino ("dst"), o variantes, por
    ejemplo "src or dst" (este es el valor por defecto si no se especifica ninguno) o "src
    and dest".
     Protocolo: Restringe la captura a un protocolo particular. Posibles valores son
    "ether", "fddi", "ip", "rarp", "tcp", "udp", etc.
    Las principales primitivas válidas son:

     dst host máquina : verdadera si la dirección IP de destino del paquete es el


    host especificado, que puede ser un nombre o una dirección IP.
    Ejm : "dst host 163.117.244.212"

     src host máquina : análogo al anterior pero con la dirección IP fuente del
    paquete.

     host máquina : verdadera si la dirección IP fuente o destino ("src or dst") del


    paquete es máquina.

     ether dst máquina, ether src máquina, ether host máquina : análogos a los
    tres anteriores pero especificando máquina con su dirección ethernet en lugar
    que con su IP.

     dst net red, src net red, net red : análogas a las tres primeras primitivas pero
    que se aplican a todas las direcciones de una subred en lugar de direcciones
    de máquina.

     dst port puerto, src port puerto, port puerto : análogas a las tres primeras
    primitivas pero con números de puerto en lugar de direcciones de host.

     ip proto protocolo : verdadera si la trama contiene un paquete IP que tiene en


    el campo de protocolo el valor protocolo especificado. protocolo puede ser
    "icmp", "igrp", "udp" o "tcp". Como tcp, udp e icmp son también identificadores,
    deben ser escapados con "\".
    Ejm: Para obtener los paquetes IP que por encima usan TCP, escribiríamos "ip
    proto \tcp".

     ether broadcast o ip broadcast : verdaderas si el paquete es un broadcast


    ethernet o ip, respectivamente.

     ether multicast o ip multicast : verdaderas si el paquete es un multicast


    ethernet o ip, respectivamente.

     ether proto protocolo : verdadera si el paquete es un paquete ethernet


    llevando por encima el protocolo de nivel superior protocolo. Protocolo puede
    ser "ip", "arp" o "rarp". Como ip, arp y rarp son también identificadores, deben
    ser escapados con "\".
    Ejm: Para obtener los paquetes ethernet que por encima usan ip, escribiríamos
    ether proto \ip .

     ip, arp, rarp : abreviaturas para ether proto protocolo, donde protocolo es ip,
    arp o rarp.
     tcp, udp, icmp: abreviaturas para ip proto protocolo, donde protocolo es tcp,
    udp o icmp.

    FILTROS DE VISUALIZACIÓN

    Wireshark tiene dos tipos de filtros; los de captura, que siguen la nomenclatura de la
    instrucción UNIX tcpdump, y los de visualización que siguen una nomenclatura propia
    de la aplicación. Una vez que se ha realizado una captura de tráfico es posible filtrar las
    tramas que se quiere visualizar.

    El la parte inferior de la pantalla principal del Wireshark hay un cuadro de texto (Filter)
    para especificar el filtro de visualización que quiere aplicarse.
    Para crear un filtro de visualización, se debe crear la expresión. Wireshark dispone de
    una herramienta que facilita la creación de dichos filtros.

    Las normas son sencillas, y para saber qué operandos pueden tener las expresiones
    basta con buscar el deseado en la ventana de Wireshark Filter Expresion. Los
    operadores que se pueden emplear son de comparación o los booleanos de
    combinación de expresiones. En las siguientes tablas se muestran estos operadores.

    Ejm: Si queremos mostrar todas las tramas dirigidas a 163.117.142.245 se podría


    utilizar el filtro "ip.dst == 163.117.142.245".
    Para ver todas las tramas intercambiadas con 163.117.142.245 , no sólo las que tengan
    su dirección IP destino, se podría usar "(ip.src == 163.117.142.245) or (ip.dst ==
    163.117.142.245)", o de una forma más sencilla "ip.addr == 163.117.142.245".

    En el menú de ayuda ("Help") del Wireshark puede encontrarse el listado de todos los
    protocolos y sus atributos.

    You might also like