MANUAL WIRESHARK
¿Qué es Wireshark?
A continuación continuación se darán las pautas necesarias básicas básicas para entrar en el mundo de una herramienta grafica la cual posee muchas características en el contexto de las redes, para dar inicio se expondrá su significado técnico. Wiresha Wireshark, rk, antes antes era conoci conocido do como Ethere Ethereal al la cual cual es una herramie herramienta nta gráfica o software de análisis de protocolos utiliada por los administradores de la red para identificar ! analiar el tipo tráfico en un momento determinado, este basa en las librerías "cap ! #ue, como he dicho anteriormente, se utilia com$ com$nm nmen ente te como como herr herram amie ient nta a para para real reali iar ar un anál anális isis is de rede redess ! aplicaciones en red. Wireshark soporta una gran cantidad de protocolos, como %&'", ())", )&", *+. -unciona en arias plataformas, como Windows, / 0, 1inux ! 2+%0. Es usado regularmente por desarrollador, profesional de la seguridad ! en muchos casos para para la educ educac ació ión. n. Es tota totalm lmen ente te grat gratis is ! de códi código go libr libre. e. Ademá demás, s, está está publicado ba3o licencia 4+2 4"1 ersión 5.
Características de Wireshark
1as características más releantes del software son #ue es un capturador ! anali analiado adorr de pa#uet pa#uetes es de red 6llama 6llamado do a eces eces,, sniff sniffer7 er7.. Wiresh Wireshark ark nos nos permitirá er, aun niel ba3o ! detallado, #ué está pasando en la red. "osee una interfa gráfica ! muchas opciones de organiación ! filtrado de información. Así, permite er todo el tráfico #ue pasa pasa a traés de una. 'ás &aracterísticas de Wireshark 8
*isponible para 1inux ! Windows
8
&aptu aptura ra de pa# pa#u uetes etes en io io des desde de una in interf terfa a de red red
8
'ues 'uestr tra a los los pa#u pa#uet etes es con con inf infor orma maci ción ón deta detallllad ada a de de los los mism mismos os
8
Abre ! guarda pa#uetes capturados
8
%mpor mporta tarr ! exp exporta ortarr pa pa#uet #uetes es en dife iferent rentes es for formato matoss
8
-iltrado de información de pa#uetes
8
9esaltado de pa#uetes dependiendo el filtro
8
&rear estadísticas
Ventajas y desventajas de Wireshark
2na de las enta3as #ue tiene Wireshark es #ue en un momento dado, podemos de3ar capturando datos en una red el tiempo #ue #ueramos !, posteriormente almacenarlos, con el fin de poder realiar el análisis más adelante. Esto es algo totalmente necesario, por#ue son miles los pa#uetes #ue se capturan en una red !, si tratamos de hacer el análisis en el mismo instante, nos eríamos desbordados.e puede detectar toda clase de información siempre ! cuando ia3e por la internet, esto puede incluir, usuarios, contrase:as, mensa3es de texto, ! otro tipo de información. ; una de las desenta3as es #ue en alg$n momento puede ser mu! difícil de descifrar la información #ue transita en la red, sin embargo para usuarios con más experiencia puede ser más fácil identificar #ué es lo #ue está transitando exactamente, #uien enía la información ! #uien la recibe. Este manual comprenderemos las funciones básicas del software Wireshark, como lo son la captura ! el análisis de pa#uetes ! otras funcionalidades más específicas, es decir como configurarlo. *espués de hacer una adecuada instalación de nuestro software esto es lo #ue gráficamente nos aparecerá, estas capturas de pantalla representan la interfa o apariencia del software Wireshark.
1a captura de pantalla representa el inicio de W%9E(A9<, donde se puede dar clic para ir inmediatamente a la aplicación para hacer efectio la captura de los pa#uetes o para abrir un archio #ue antes se ha!a traba3o de W%9E(A9< para los #ue desean contin$an traba3ando en la misma captura del pa#uete. e muestran diferentes opciones como capturar pa#uetes, abrir pa#uetes !a analiados, nos llea directamente a la página oficial de Wireshar< para descargarlo ! da la opción de obtener guía de esta aplicación. "ara este caso le damos en la opción &A")29E /")%/+ . Al darle doble clic nos parecerá esta imagen
.
Esta opción es para la captura de intefa, al darle doble clic en la opción, podemos identificar los siguientes aspectos= %+)E9-A&E= Especifica con #ue interfa se desea capturar. ólo se puede capturar con una interfa a la e ! #ue Wireshark ha!a encontrado. +o se puede utiliar la interfa de loopback. %" A**9E= 'uestra la dirección %" de la interfa seleccionada. >2--E9 %?E= + 'E4A>;)E67= *efine el tama:o del buffer #ue será usado durante la &aptura.
1e damos la opción star ! al hacerle doble clic nos parece lo siguiente=
&ada interfa ilustrada, especifica de manera detallada el pa#uete seleccionado, cada ítem despliega más información concreta del pa#uete . iendo está una de las principales funciones de Wireshark con el fin de realiar el análisis para obtener una red estable. 1uego hacemos doble clic en Edit capture filter se despliega una entana donde se listan las interfaces locales disponibles para iniciar la captura de pa#uetes. *e inmediato aparecerá lo siguiente=
*esde el men$ Edit.->Preferences, por defecto se tienen=
+@.= posición del pa#uete en la captura. TIME = muestra el Timestamp del pa#uete. u formato puede ser modificado
desde el men$ View->Time Display Format . SOU!E = dirección origen del pa#uete. DESTI"#TIO" = dirección destino del pa#uete. POTO!O$= nombre del protocolo del pa#uete.
%+-/= información adicional del contenido del pa#uete. "odemos aplicar el filtro se hace con el propósito de #ue el n$mero de pa#uetes isualiados o capturados se reduca a $nicamente los #ue son de interés para el usuario. 1imitando así el análisis $nicamente a los protocolos, direcciones %", tiempos ! rangos #ue se estén examinando
1e damos clic en la /"&%+ &A")29E, luego &A")29E -%1)E9 ! le damos enter ! nos aparece lo siguiente=
2na e #ue se tienen capturados los pa#uetes estos son listados en el panel de pa#uetes capturados, al seleccionar uno de estos se despliega el contenido del pa#uete en el resto de los paneles #ue son panel de detalles de pa#uetes ! panel en b!tes.
e efect$a le análisis, de acuerdo a la información arro3ada con la información detallada de cada pa#uete, tales como= "rotocolo %nterfa >!tes "uerto )iempo de la captura "ara acceder de manera instantánea a determinado pa#uete se aplica dos maneras B. la función de -%+* "A&
5. "acket number.6+$mero del pa#uete7= *e la barra men$ principal , la opció 4/ le damas clic , ahí se deplsiega una serie de opciones le damos clic en la opción go to packet ! nos parece los siguinete=
"ero esta opción se utilia para buscar el pa#uete por el n$mero de posición del pa#uete en la captura. Entonces se rellena el campo solicitado de acuerdo al pa#uete #ue se dese encontrar ! le damos la /"&%+ -%+*. Por lo general el análisis de tráfico es bastante complejo ya que son muchos los paquetes que se obtienen la captura, WireShark permite marcar los paquetes para que sean identificados con más facilidad esta marca es aplicar colores a los paquetes en el panel correspondiente. Existen tres funciones para aplicar el marcado de paquetes !"#$ P"%$E&S '&())*E+ para marcar el paquete. !"#$ "** P"%$E&S aplica la marca a todos los paquetes. -!"#$ "** P"%$E&S elimina la marca para todos los paquetes. *a arra de herramientas principal, permite el acceso rápido a las funciones más utili/adas.
Exactamente nos ubicamos en la opción E*%) &/1/9%+4 921E. Al darle doble clic nos parece el siguiente cuadro, indicado un color específico para cada protocolo, con el fin de una ubicación más práctica de los pa#uetes a partir de colores.
Wirehark proporciona un rango amplio de estadísticas de red #ue son accedidas desde el men$ Statistics #ue abarcan desde la información general de los pa#uetes capturados hasta las estadísticas específicas de un protocolo. "odemos distinguir entre cada una de las anteriores=
ummar!= la cantidad de pa#uetes capturados.
&/+DE9A)%/+= 2n caso particular es el tráfico entre una %" origen ! una %" destino.
E+*"/%+)= 'uestra las estadísticas de los pa#uetes hacia ! desde una dirección %". %/ 49A"(: 'uestra las estadísticas en grafos.
"ara la obtención de los gráficos aplicamos los siguientes pasos=
B. *amos clic en la opción %/ 49A"(, ! nos arro3a la siguiente imagen=
5. 1e damos clic en la /"&%+ -%1)E9 ! seleccionamos el protocolo así= En este caso utiliamos el protocolo ())". 1e damos en 1A /"&%+ /< por $ltimo nos muestra la gráfica del protocolo seleccionado.
Conclusión
e dise:ó un manual básico sobre la funcionalidad e utiliación del programa analiador del tráfico de red W%9E(A9<. e documentó en internet información acerca del mane3o del software W%9E(A9<.
