UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

ESCUELA DE ELECTRÓNICA Y TELECOMUNICACIONES

WIRESHARK

Alumnos: Eduardo Suárez

Nixon Villavicencio

Ciclo: 8to “C”

Fecha: 2009-07-22

Docente: Ing. Francisco Sandoval

Periodo académico: marzo 2009 – agosto 2009

 SOFTWARE DE MONITOREO DE RED- WIRESHARK

Introducción: Las redes de cómputo, se vuelven cada vez más complejas y la exigencia en
cuanto a la operación de las mismas es cada vez más grande. Las redes, cada vez soportan
más aplicaciones y servicios estratégicos. Por lo cual el análisis y monitoreo de redes se ha
convertido en una labor cada vez mas importante y de carácter pro-activo para evitar
problemas y mejorar la calidad del servicio que se brinda a los usuarios de las distintas
redes.

En nuestro caso hemos elegido el software de monitoreo de red WIRESHARK 1.2.1 la

elección del mismo se la ha hecho en base a las grandes capacidades que posee y a que es
de licencia libre, entre otras cualidades que se describirán seguidamente.

Wireshark.- antes llamado Ethereal, es un analizador de protocolos utilizado para realizar

análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y
protocolos. Cuenta con todas las características estándar de un analizador de protocolos.

Usos de Wireshark

• Administradores lo usan para resolver problemas en la red.

• Ingenieros lo usan para examinar problemas de seguridad.

• Desarrolladores lo usan para depurar la implementación de los protocolos de red.

• Estudiantes los usan para aprender internamente cómo funciona una red.

Características principales de Wireshark:

 Wireshark es un capturador/analizador de paquetes de red. Wireshark permite

ver, a un nivel bajo y detallado, qué está pasando en una red. Permite la captura
de paquetes en vivo desde una interfaz de red.
 Este software cuenta con una interfaz gráfica lo que facilita su utilización
especialmente para usuarios no muy avanzados y que no están acostumbrados a
la operación mediante líneas de comandos, pero también cuenta con una versión
basada en texto llamada Tshark.
  Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos
Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac
OS X, así como en Microsoft Windows, para nuestro trabajo hemos decidido
instalarlo y operarlo sobre una plataforma Windows, específicamente Windows
Vista
 Muestra los paquetes con información detallada de los mismos.
 Abre y guarda paquetes capturados.
 Importar y exportar paquetes en diferentes formatos, esto permite una
compatibilidad con otros software de características similares, para que así un
conjunto de paquetes adquiridos mediante Wireshark pueda ser abierto y
analizado por otros software de monitoreo de red.
 Filtrado de información de paquetes.
 Resaltado de paquetes dependiendo el filtro.
 Crear estadísticas.
 Trabaja tanto en modo promiscuo como en modo no promiscuo, esto se refiere a
que Wireshark funciona en maquinas conectadas a una red tanto
inalámbricamente como de forma cableada.
 Puede capturar datos de la red o leer datos almacenados en un archivo (de una
captura previa).
 Gran capacidad de filtrado.
 Admite el formato estándar de archivos tcpdump.
 Reconstrucción de sesiones TCP
 Es compatible con más de 480 protocolos.
 Puede leer archivos de captura de más de 20 productos.

Instalación de Wireshark:

La instalación en la plataforma de Windows Vista es sumamente sencilla, debido a que es

un programa de licencia libre, este brinda todas las facilidades para su instalación y
posterior uso y operación.
Para la instalación basta con ejecutar el instalador y listo, tal y como se muestra en la
siguiente figura, luego como es de rutina solo se debe dar aceptar hasta finalizar y listo.
Una vez finalizada la instalación la interfaz de inicio que se muestra es la siguiente:
A continuación detallaremos los principales símbolos que en la página de inicio se
muestran y sus funciones:

• La barra de herramientas, donde se tiene todas las opciones a realizar sobre la pre
y pos captura.
• La barra de herramientas principal, donde se tiene las opciones más usadas en
Wireshark.
• La barra de filtros, donde se puede aplicar filtros a la captura actual de manera
rápida.
• El listado de paquetes, que muestra un resumen de cada paquete que es
capturado por Wireshark.
• El panel de detalles de paquetes que, una vez seleccionado un paquete en el
listado de paquetes, muestra información detallada del mismo.
• El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y
resalta los bytes correspondientes al campo seleccionado en el panel de detalles
de paquetes.
• La barra de estado, que muestra algo de información acerca del estado actual de
Wireshark y la captura.

Ejemplo práctico sobre tráfico de paquetes.

Captura de paquetes DHCP para asignar a un dispositivo Corinex AV200 Powerline

Ethernet Adapter.

Cuando se conecta el dispositivo Corinex AV200 Powerline Ethernet Adapter, el software

captura el tráfico UDP para establecer la comunicación entre el nuevo dispositivo que se
ha conectado a la tarjeta de red NVIDIA nForce MCP Networking Adapter Driver.

El servidor DHCP envía un paquete con el protocolo DHCPv6 en donde solicita información
del dispositivo

Luego envía un mensaje ARP en Broadcast para consultar qué dispositivo añadidos al
computador posee la dirección ip 192.168.1.1. Esta ip se coloca en la tarjeta de red para
que sea dirección del servidor y luego proceda a emitir una dirección a cualquier otro
dispositivo que requiera el servicio de DHCP.

Luego de haber encontrado el dispositivo con esa dirección, el dispositivo solicita una
dirección ip con su respectiva máscara de subred. La tarjeta de red emite un paquete
DHCP al dispositivo que lo solicita a través de su dirección MAC.
El tráfico de paquetes se mantiene constante entre la tarjeta de red NVIDIA nForce MCP
Networking Adapter Driver y el dispositivo Corinex AV200 Powerline Ethernet Adapter a
través de paquetes DHCP hasta que se complete la conversación entre ellos.

Luego para comprobar el enlace entre la tarjeta de red y el dispositivo que ha solicitado
una dirección a través de un servidor DHCP, se realiza ping con la nueva dirección ip.

Se puede observar el tráfico entre los dispositivos mediante paquetes ICMP y ARP.

Además estos equipos Corinex AV200 Powerline Ethernet Adapter poseen los recursos
necesarios para buscar a cualquier dispositivo que se encuentre conectado a través de la
red eléctrica.

El software Wireshark también capta este tráfico entre los dispositivos. Se envían
paquetes bajo el protocolo Spanning Tree Protocol (STP) y como respuesta a esta solicitud
los dispositivos muestran su dirección de identificación o MAC.