Manual de Wireshark

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 18

Manual de Usuario WireShark

WireShark
(herramienta para analizar los protocolos de red)

ETHEREAL es una herramienta grfica utilizada por los profesionales


y/o administradores de la red para identificar y analizar el tipo trfico en un
momento determinado. En el argo IT se denominan analizadores de
protocolos de red, analizadores de paquetes, packet sniffer o sniffer.
Ethereal permite analizar los paquetes de datos en una red activa como
tambin desde un archivo de lectura previamente generado, un caso
particular es generar un archivo con TCPDUMP y luego analizarlo con
Ethereal.

A partir del ao 2006 Ethereal es conocido como WireShark1 y hoy


en da est categorizado como uno de los TOP 10 como sniffer junto a
Nessus y Snort ocupando el segundo lugar entre estos.

Algunas de las caractersticas de WireShark son las siguientes:

Disponible para UNIX, LINUX, Windows y Mac OS.


Captura los paquetes directamente desde una interfaz de red.
Permite obtener detalladamente la informacin del protocolo utilizado
en el paquete capturado.
Cuenta con la capacidad de importar/exportar los paquetes
capturados desde/hacia otros programas.
Filtra los paquetes que cumplan con un criterio definido previamente.
Realiza la bsqueda de los paquetes que cumplan con un criterio
definido previamente.
Permite obtener estadsticas.
Sus funciones grficas son muy poderosas ya que identifica mediante
el uso de colores los paquetes que cumplen con los filtros
establecidos.

Es importante tener presente que WireShark no es un IDS (Instrusion


Detection System) ya que no es capaz de generar una alerta cuando se
presentan casos anmalos en la red. Si embargo, permite a los
profesionales de IT analizar y solventar comportamientos anmalos en el
trfico de la red.

1
A partir de esta nota nos referiremos a Ethereal como WireShark.

1
Manual de Usuario WireShark

Instalacin de WireShark

El instalador y los archivos binarios de Ethereal pueden ser


descargados en http://www.ethereal.com/download.html y sus ltimas
versiones como se menciono anteriormente en
http://www.wireshark.org/download.html. Adicional a esto en
http://wiki.ethereal.com y http://wiki.wireshark.org podrs obtener una
amplia cantidad de informacin relacionada con la aplicacin, listas de
correo tanto para usuarios finales como desarrolladores.

WireShark soporta mltiples plataforma entre ellas UNIX, LINUX y


Windows, a continuacin se describe la instalacin para cada uno de estos
sistemas operativos.

Instalacin UNIX

Para iniciar la instalacin debemos contar con las siguientes utilidades


instaladas:

GTK+, GIMP Tool Kit y Glib (puede obtener en el siguiente site:


www.gtk.org)
libpcap (puede obtener en el siguiente site: www.tcpdump.org)

Si es el caso de obtener los archivos fuentes los siguientes pasos


describen el proceso para descomprimir los archivos y generar el
ejecutable:

1. Segn la distribucin de UNIX, se aplica el comando correspondiente


para descomprimir el archivo obtenido.

En versiones de UNIX con GNU tar


tar zxvf wireshark-1.0.0-tar.gz

En caso contrario se deber ejecutar los siguientes


comandos
gzip d wireshark-1.0.0-tar.gz
tar xvf wireshark-1.0.0-tar

2. Cambiar al directorio raz de WireShark.

cd <ruta_directorio_wireshark>

3. Configuracin de los archivos fuentes con el objetivo de asegurar su


buen funcionamiento en la versin de UNIX correspondiente.

./configure

2
Manual de Usuario WireShark

4. Para generar el archivo ejecutable se debe aplicar el siguiente


comando.

make

5. Finalmente para culminar la instalacin de la aplicacin se ejecuta el


comando:

make install

Otros mtodos son aplicados para la instalacin segn las


distribuciones de UNIX todos estos disponibles en el siguiente link
http://www.wireshark.org/docs/wsug_html_chunked/ChBuildInstallUnixInstallBi
ns.html, particularmente para el caso de DEBIAN se aplica el siguiente
comando para hacer uso de la interfaz grfica para APT:

aptitude install wireshark

Instalacin Windows

1. Una vez que se obtiene el instalador desde


http://www.wireshark.org/download.html se ejecuta el archivo
wireshark-setup-1.0.0.exe (en este caso la versin es 1.0.0) para
iniciar la instalacin. Es importante mencionar que las libreras
necesarias como WinPcap estn incluidas en el instalador.

Se muestra la siguiente pantalla del asistente:

3
Manual de Usuario WireShark

2. Presionando el botn se despliega la especificacin de la


licencia y al presionar el botn se despliega la siguiente
ventana para seleccionar los componentes que se desean instalar.

Para esta instalacin se seleccionarn los siguientes:

Wireshark, GUI del analizador de protocolos.


TShark, lnea de comando del analizador de protocolos.
Plugins/Extensions, especificar plugins y extensiones para
TShark y Wireshark en este punto deber seleccionar todos
los tems listados.
Tool, ofrece herramientas adicionales aplicar a los archivos
que contienen los paquetes para su anlisis seleccionar
todas las ofrecidas durante la instalacin.
Editcap, para manipular los archivos.
Text2Pcap, convierte un archivo ASCII en formato
libpcap.
Mergecap, permite obtener un archivo desde la
combinacin de 2 o ms archivos de paquetes capturados.
Capinfos, es un programa que proporciona informacin
de los paquetes capturados.

3. La siguiente pantalla permite seleccionar si se desea crear un acceso


directo a la aplicacin en el escritorio, crear un men de inicio y
visualizar el icono en la barra de tareas. Adicionalmente se tiene la
posibilidad de permitir, que los archivos generados por otros
analizadores de trfico puedan ser visualizados con Wireshark (opcin
que debemos seleccionar).

4
Manual de Usuario WireShark

4. A continuacin se deber seleccionar el directorio donde se instalar


la aplicacin, en este punto se acepta el indicado por defecto en el
instalador.

El instalador de WireShark contiene una versin de WinPcap se


verifica si se debe actualizar versin en el PC donde se est realizado
la instalacin y ofrece la opcin de agregar un servicio para que
usuarios que no tiene privilegios de administrador pueda capturar
paquetes. En este punto se seleccionan ambos tems.

Se presiona el botn para iniciar el proceso de instalacin.

5
Manual de Usuario WireShark

5. Como se mencion anteriormente el instalador de WireShark para


Windows permite hacer la instalacin de las libreras, plugins,
servicios, etc. Particularmente para el caso de WinPcap se interrumpe
la instalacin en el punto que muestra la pantalla arriba e inicia el
asistente para la instalacin de WinPcap. Se debe seleccionar
hasta finalizar la instalacin.

6
Manual de Usuario WireShark

La siguiente pantalla indica que la instalacin ha finalizado


exitosamente.

Para la actualizacin de WireShark se debe realizar el proceso


descrito anteriormente. Se descarga la nueva versin y se ejecuta el
instalador, una buena manera de estar actualizados en el mundo de
Wireshark es a travs de las lista de correo ofrecidas.

7
Manual de Usuario WireShark

Interfaz de Usuario

A continuacin se muestra y detalla la interfaz de usuario y como se


aplican las principales funciones de WireShark (Capturar, Desplegar y Filtrar
paquetes).

Existen dos maneras de iniciar la aplicacin una es desde la lnea de


comando (shell) y otra desde el entorno grfico. Cuando se inicia desde la
lnea de comando se tiene la posibilidad de especificar opciones adicionales
que depende de las funciones que se quieran aprovechar.

La interfaz principal de WireShark cuenta con varias secciones:

El Men principal es utilizado para iniciar las acciones y/o funciones


de la aplicacin.

File, similar a otras aplicaciones GUI este contiene los tems para
manipular archivos y para cerrar la aplicacin Wireshark.
Edit, este men contiene tems aplicar funciones a los paquetes, por
ejemplo, buscar un paquetes especifico, aplicar una marca al paquete
y configurar la interfaz de usuario.
View, permite configurar el despliegue de la data capturada.
Go, contiene tems que permiten el desplazamiento entre los
paquetes.
Capture, para iniciar y detener la captura de paquetes.
Analyze, contiene tems que permite manipular los filtros, habilitar o
deshabilitar protocolos, flujos de paquetes, etc.
Statistics, contiene tems que permiten definir u obtener las
estadsticas de la data capturada.
Help, men de ayuda.

Barra de herramientas principal, permite el acceso rpido a las


funciones ms utilizadas.

Barra de herramientas para filtros, aqu se especifica el filtro que se


desea aplicar a los paquetes que estn siendo capturados.

Panel de paquetes capturados, en este panel se despliega la lista de


paquetes capturados. Al hacer clic sobre algunos de estos se
despliega cierta informacin en los otros paneles.

8
Manual de Usuario WireShark

Panel para detalles del paquete, aqu se despliega informacin


detallada del paquete seleccionado en el panel de paquetes.

Panel de paquetes capturados en bytes, despliega en bytes la


informacin contenida en el campo seleccionado desde el panel de
detalles del paquete seleccionado en el panel de paquetes.

La barra de estado, muestra informacin acerca del estado actual del


programa y de la data capturada.

La interfaz de usuario puede ser cambiada desde el men principal en


la opcin de Preferences en el men Edit, segn sea las necesidades.

Panel de paquetes capturados

Cada lnea corresponde a un paquete capturado al seleccionar una de


estas, ciertos detalles son desplegados en el resto de los paneles (Detalles y
bytes). Y las columnas muestran datos del paquete capturado, Wireshark
dispone de una gran cantidad de detalles que pueden agregarse en estas
columnas desde el men Edit->Preferences, por defecto se tienen:

No.: posicin del paquete en la captura.


Time: muestra el Timestamp del paquete. Su formato puede se
modificado desde el men View->Time Display Format.
Source: direccin origen del paquete.
Destination: direccin destino del paquete.
Protocol: nombre del protocolo del paquete.
Info: informacin adicional del contenido del paquete.

Panel para detalles de paquetes capturados

Contiene el protocolo y los campos correspondientes del paquete


previamente seleccionado en el panel de paquetes capturados.

9
Manual de Usuario WireShark

Seleccionando una de estas lneas con el botn secundario del Mouse se


tiene opciones para ser aplicadas segn las necesidades.

Panel de paquetes capturados en Bytes

En este panel se despliega el contenido del paquete en formato


hexadecimal.

De izquierda a derecha se muestra el offset del paquete


seguidamente se muestra la data del paquete y finalmente se muestra la
informacin en caracteres ASCII si aplica o . (Sin comillas) en caso
contrario.

10
Manual de Usuario WireShark

Captura de Paquetes

Una de las principales funciones de WireShark es capturar paquetes


con la finalidad de que los administradores y/o ingenieros de redes puedan
hacer uso de estos realizar el anlisis necesario para tener una red segura y
estable. Como requisito para el proceso de capturar datos es ser
administrador y/o contar con estos privilegios y es necesario identificar
exactamente la interfaz que se quiere analizar.

WireShark cuenta con cuatro maneras para iniciar la captura de los


paquetes:

1. Haciendo doble clic en se despliega una ventana donde se listan


las interfaces locales disponibles para iniciar la captura de paquetes.

Tres botones se visualizan por cada interfaz

Start, para iniciar


Options, para configurar
Details, proporciona informacin adicional de la interfaz como
su descripcin, estadsticas, etc.

2. Otra opcin es seleccionar con el Mouse el icono en la barra de


herramientas, se despliega la siguiente ventana donde se muestra
opciones de configuracin para la interfaz.

11
Manual de Usuario WireShark

3. Si es el caso donde se ha predefinido las opciones de la interfaz,


haciendo clic en se inicia la captura de paquetes inmediatamente.

4. Otra manera de iniciar la captura de paquetes es desde la lnea de


comandos ejecutando lo siguiente:

wireshark i eth0 -k

Donde eth0 corresponde a la interfaz por la cual se desea iniciar la


captura de paquetes.

Detener/Reiniciar la captura de paquetes

Para detener la captura de paquetes podemos aplicar una de las


siguientes opciones:

Haciendo uso del icono desde el men Capture o desde la barra


de herramientas.
Haciendo uso de ctrl+E.
La captura de paquetes puede ser detenida automticamente, si una
de las condiciones de parada definidas en las opciones de la interfaz
se cumple, por ejemplo: si se excede cierta cantidad de paquetes.

Para reiniciar el proceso de captura de paquetes se debe seleccionar


el icono en la barra de herramientas o en desde el men Capture.

Filtrado de paquetes

Wireshark hace uso de libpcap para la definicin de filtros. Su sintaxis


consta de una serie de expresiones conectadas por conjugaciones (and/or)
con la opcin de ser negada por el operador not.

[not] Expresin [ and|or [not] expresin]

La siguiente expresin define un filtro para la captura de paquetes


desde/hacia los host con direccin IP x.y.z.w y a.b.c.d

ip.addr==172.17.250.1 and ip.addr==172.17.1.81

En el site http://wiki.wireshark.org/CaptureFilters podr obtener una serie


de filtros que son usualmente aplicados por los administradores de red.

12
Manual de Usuario WireShark

Expresiones de filtrado

WireShark proporciona una poderosa herramienta para construir


filtros ms complejos. Permite comprar valores as como tambin combinar
expresiones dentro de otra expresin.

En el site http://wiki.wireshark.org/DisplayFilters podr obtener una


serie de expresiones que son usualmente aplicados por los administradores
de red.

Cuando es bien conocido el campo por el cual se requiere hacer el


filtrado es recomendable hacer uso de Filter Expresion desde la barra de
herramientas para filtros presionando Expresion facilitando la construccin
de la expresin o frmula seleccionando el campo (field name), el operador
(Relation) y el valor contra el cual se quiere comparar.

Es muy comn que ciertos filtros y/o expresiones requieran ser


utilizado en un futuro, para esto Wireshark permite definir los filtros y/o
expresiones y guardarlas.

Para guardar o abrir un filtro existente (previamente creado y


guardado) se debe seleccionar Display Filter en el men Analize o Capture
Filter que se encuentra en el men Capture.

13
Manual de Usuario WireShark

Para definir un filtro se debe presionar el botn se indica el


nombre del filtro y la expresin y presionar para salvar los
cambios.

14
Manual de Usuario WireShark

Manipulando los paquetes capturados (anlisis)

Una vez que se tienen capturados los paquetes estos son listados en
el panel de paquetes capturados, al seleccionar uno de estos se despliega el
contenido del paquete en el resto de los paneles que son panel de detalles
de paquetes y panel en bytes.

Expandiendo cualquiera parte del rbol presentado en el panel de


detalle del paquete, se puede seleccionar un campo en particular cuyo
contenido se muestra resaltado en negritas en el panel de bytes. En la
siguiente imagen se identifica en campo TTL del la cabecera del IP.

Existe una manera de visualizar los paquetes mientras esta activo el


proceso de captura esto se logra, seleccionando la opcin Update list
packets in real time desde men Edit->Preferentes->Capture.
Adicionalmente, Wireshark permite visualizar el contenido de un paquete
seleccionado en el panel de paquetes capturados en una ventana
individualmente seleccionando la opcin Show Packet in new Windows en
men principal View. Esto permite comparar con ms facilidad dos o ms
paquetes.

15
Manual de Usuario WireShark

Funcin de bsqueda de paquetes

Cuando iniciamos la captura de paquetes por lo general se obtiene


una gran cantidad de paquetes que cumple con los filtros y/o expresiones
definidas, Wireshark permite realizar bsqueda(s) de paquete(s) que tienen
cierta caracterstica. Para esto se debe seleccionar la opcin Find Packet en
el men Edit se despliega la siguiente ventana.

Se rellena el campo Filter con el criterio de bsqueda que se desea y


el resto de los campos seguidamente se presiona el botn de bsqueda.

Otra opcin es realizar la bsqueda del paquete anterior y prximo al


que esta seleccionado en el panel de paquetes esto se aplica desde el men
de Edit las opciones Find Next y Find Previous.

Marcado de paquetes

Por lo general el anlisis de trfico es bastante complejo ya que son


muchos los paquetes que se obtienen el la captura, WireShark permite
marcar los paquetes para que sean identificados con ms facilidad esta
marca es aplicar colores a los paquetes en el panel correspondiente.

Existen tres funciones para aplicar el marcado de paquetes:

1. Mark packets (toggle) para marcar el paquete.


2. Mark all packets, aplica la marca a todos los paquetes.
3. Unmark all packets, elimina la marca para todos los paquetes.

16
Manual de Usuario WireShark

Visualizando estadsticas

WireShark proporciona un rango amplio de estadsticas de red que


son accedidas desde el men Statistics que abarcan desde la informacin
general de los paquetes capturados hasta las estadsticas especficas de un
protocolo. Podemos distinguir entre cada una de las anteriores:

Estadsticas Generales
Summary, la cantidad de paquetes capturados.
Protocol Hierarchy, presenta las estadsticas para cada
protocolo de forma jerrquica.
Conversations, un caso particular es el trfico entre una IP
origen y una IP destino.
Endpoints, muestra las estadsticas de los paquetes hacia y
desde una direccin IP.
IO Graphs, muestra las estadsticas en grafos.

Estadsticas especficas de los protocolos


Service Response Time entre la solicitud (request) y la entrega
(response) de algn protocolo existente.
Entre otras.

Es importante tener presente que los nmeros arrojados por estas


estadsticas solo tendrn sentido si se tiene un conocimiento previo el
protocolo de lo contrario sern un poco compleja de comprender.

17
Manual de Usuario WireShark

Glosario

www.wireshark.com

18

También podría gustarte