-
MANUAL WIRESHARK
Qu es Wireshark?
A continuacin se darn las pautas necesarias bsicas para entrar
en el mundo
de una herramienta grafica la cual posee muchas caractersticas
en el contexto
de las redes, para dar inicio se expondr su significado
tcnico.
Wireshark, antes era conocido como Ethereal la cual es una
herramienta
grfica o software de anlisis de protocolos utilizada por los
administradores de
la red para identificar y analizar el tipo trfico en un momento
determinado, este
basa en las libreras Pcap y que, como he dicho anteriormente, se
utiliza
comnmente como herramienta para realizar un anlisis de redes
y
aplicaciones en red. Wireshark soporta una gran cantidad de
protocolos, como
ICMP, HTTP, TCP, DNS.
Funciona en varias plataformas, como Windows, OS X, Linux y
UNIX. Es usado
regularmente por desarrollador, profesional de la seguridad y en
muchos casos
para la educacin. Es totalmente gratis y de cdigo libre. Adems,
est
publicado bajo licencia GNU GPL versin 2.
Caractersticas de Wireshark
Las caractersticas ms relevantes del software son que es un
capturador y
analizador de paquetes de red (llamado a veces, sniffer).
Wireshark nos
permitir ver, aun nivel bajo y detallado, qu est pasando en la
red. Posee una
interfaz grfica y muchas opciones de organizacin y filtrado de
informacin.
As, permite ver todo el trfico que pasa a travs de una.
Ms Caractersticas de Wireshark
Disponible para Linux y Windows
Captura de paquetes en vivo desde una interfaz de red
Muestra los paquetes con informacin detallada de los mismos
Abre y guarda paquetes capturados
Importar y exportar paquetes en diferentes formatos
-
Filtrado de informacin de paquetes
Resaltado de paquetes dependiendo el filtro
Crear estadsticas
Ventajas y desventajas de Wireshark
Una de las ventajas que tiene Wireshark es que en un momento
dado,
podemos dejar capturando datos en una red el tiempo que queramos
y,
posteriormente almacenarlos, con el fin de poder realizar el
anlisis ms
adelante. Esto es algo totalmente necesario, porque son miles
los paquetes
que se capturan en una red y, si tratamos de hacer el anlisis en
el mismo
instante, nos veramos desbordados.Se puede detectar toda clase
de
informacin siempre y cuando viaje por la internet, esto puede
incluir, usuarios,
contraseas, mensajes de texto, y otro tipo de informacin.
Y una de las desventajas es que en algn momento puede ser muy
difcil de
descifrar la informacin que transita en la red, sin embargo para
usuarios con
ms experiencia puede ser ms fcil identificar qu es lo que est
transitando
exactamente, quien enva la informacin y quien la recibe.
Este manual comprenderemos las funciones bsicas del software
Wireshark,
como lo son la captura y el anlisis de paquetes y otras
funcionalidades ms
especficas, es decir como configurarlo.
Despus de hacer una adecuada instalacin de nuestro software esto
es lo que
grficamente nos aparecer, estas capturas de pantalla representan
la interfaz
o apariencia del software Wireshark.
-
La captura de pantalla representa el inicio de WIRESHARK, donde
se puede
dar clic para ir inmediatamente a la aplicacin para hacer
efectivo la captura de
los paquetes o para abrir un archivo que antes se haya trabajo
de
WIRESHARK para los que desean continan trabajando en la misma
captura
del paquete.
Se muestran diferentes opciones como capturar paquetes, abrir
paquetes ya
analizados, nos lleva directamente a la pgina oficial de
WiresharK para
descargarlo y da la opcin de obtener gua de esta aplicacin. Para
este caso
le damos en la opcin CAPTURE OPTIONS .Al darle doble clic nos
parecer
esta imagen
.
Esta opcin es para la captura de intefaz, al darle doble clic en
la opcin,
podemos identificar los siguientes aspectos:
INTERFACE: Especifica con que interfaz se desea capturar. Slo se
puede
capturar con una interfaz a la vez y que Wireshark haya
encontrado. No se
puede utilizar la interfaz de loopback.
IP ADDRESS: Muestra la direccin IP de la interfaz
seleccionada.
BUFFER SIZE: N MEGABYTE(S): Define el tamao del buffer que ser
usado
durante la Captura.
Le damos la opcin star y al hacerle doble clic nos parece lo
siguiente:
-
Cada interfaz ilustrada, especifica de manera detallada el
paquete
seleccionado, cada tem despliega ms informacin concreta del
paquete.
Siendo est una de las principales funciones de Wireshark con el
fin de realizar
el anlisis para obtener una red estable. Luego hacemos doble
clic en Edit
capture filter se despliega una ventana donde se listan las
interfaces locales
disponibles para iniciar la captura de paquetes. De inmediato
aparecer lo
siguiente:
Desde el men Edit.->Preferences, por defecto se tienen:
-
N.: posicin del paquete en la captura.
TIME: muestra el Timestamp del paquete. Su formato puede ser
modificado
desde el men View->Time Display Format.
SOURCE: direccin origen del paquete.
DESTINATION: direccin destino del paquete.
PROTOCOL: nombre del protocolo del paquete.
INFO: informacin adicional del contenido del paquete.
Podemos aplicar el filtro se hace con el propsito de que el
nmero de
paquetes visualizados o capturados se reduzca a nicamente los
que son de
inters para el usuario. Limitando as el anlisis nicamente a los
protocolos,
direcciones IP, tiempos y rangos que se estn examinando
Le damos clic en la OPCIN CAPTURE, luego CAPTURE FILTERS y
le
damos enter y nos aparece lo siguiente:
-
Una vez que se tienen capturados los paquetes estos son listados
en el panel
de paquetes capturados, al seleccionar uno de estos se despliega
el contenido
del paquete en el resto de los paneles que son panel de detalles
de paquetes y
panel en bytes.
Se efecta le anlisis, de acuerdo a la informacin arrojada con la
informacin
detallada de cada paquete, tales como:
Protocolo
Interfaz
Bytes
Puerto
Tiempo de la captura
Para acceder de manera instantnea a determinado paquete se
aplica dos
maneras
1. la funcin de FIND PACKET. (Encontrar paquete)
Se puede acceder de dos maneras:
Presionando la tecla Control + f
En la barra de men principal, opcin FIND PACKET
-
2. Packet number.(Nmero del paquete):
De la barra men principal , la opci GO le damas clic , ah se
deplsiega una
serie de opciones le damos clic en la opcin go to packet y nos
parece los
siguinete:
-
Pero esta opcin se utiliza para buscar el paquete por el nmero
de posicin
del paquete en la captura. Entonces se rellena el campo
solicitado de acuerdo
al paquete que se dese encontrar y le damos la OPCIN FIND.
Por lo general el anlisis de trfico es bastante complejo ya que
son muchos
los paquetes que se obtienen la captura, WireShark permite
marcar los
paquetes para que sean identificados con ms facilidad esta marca
es
aplicar colores a los paquetes en el panel correspondiente.
Existen tres funciones para aplicar el marcado de paquetes:
MARK PACKETS (TOGGLE): para marcar el paquete.
MARK ALL PACKETS: aplica la marca a todos los paquetes.
UNMARK ALL PACKETS: elimina la marca para todos los
paquetes.
La Barra de herramientas principal, permite el acceso rpido a
las funciones
ms utilizadas.
Exactamente nos ubicamos en la opcin EDIT COLORING RULES.
Al darle doble clic nos parece el siguiente cuadro, indicado un
color especfico
para cada protocolo, con el fin de una ubicacin ms prctica de
los paquetes a
partir de colores.
-
WireShark proporciona un rango amplio de estadsticas de red que
son
accedidas desde el men Statistics que abarcan desde la
informacin general
de los paquetes capturados hasta las estadsticas especficas de
un protocolo.
Podemos distinguir entre cada una de las anteriores:
Summary: la cantidad de paquetes capturados.
CONVERSATIONS: Un caso particular es el trfico entre una IP
origen y una IP
destino.
ENDPOINTS: Muestra las estadsticas de los paquetes hacia y desde
una
direccin IP.
IO GRAPHS: Muestra las estadsticas en grafos.
-
Para la obtencin de los grficos aplicamos los siguientes
pasos:
1. Damos clic en la opcin IO GRAPHS, y nos arroja la siguiente
imagen:
2. Le damos clic en la OPCIN FILTER y seleccionamos el protocolo
as: En
este caso utilizamos el protocolo HTTP. Le damos en LA OPCIN OK
por
ltimo nos muestra la grfica del protocolo seleccionado.
Conclusin
Se dise un manual bsico sobre la funcionalidad e utilizacin del
programa
analizador del trfico de red WIRESHARK.
Se document en internet informacin acerca del manejo del
software
WIRESHARK.