Análisis de la red Wireshark

Nota técnica

Abstracto Wireshark, tcpdump y TShark son programas que capturan

paquetes de datos de protocolo a medida que se transmiten en una
red. Para verificar y solucionar problemas de comunicación en la
red, se deben capturar los paquetes transmitidos, lo que es
compatible con todas las plataformas Orion. Los paquetes
capturados pueden ser analizados en un PC, OrionLX u OrionLX+.

Áreas de conocimiento Instalación y configuración de Orion, protocolos de datos, redes

Documentación adicional Manuales de usuario de Orion, manuales de protocolo, Tiburón de alambre

documentación

10 de marzo de 2022
Revisión de documentos
D© 2022 por NovaTech,
LLC
 Análisis de la red Wireshark

NovaTech, LLC
13555 Calle 107 Oeste
Lenexa, KS 66215(913) 451-1880www.nov
atechautomation.comorion.support@novat
echautomation.comorion.sales@novatech
automation.com

Clasificación de los datos: Uso público

© Derechos de autor 2022 por NovaTech, LLC

Todos los derechos reservados. Todas las marcas comerciales y marcas registradas son propiedad de sus
respectivos dueños. Microsoft y Windows son marcas comerciales registradas o marcas comerciales de
Microsoft Corporation en los Estados Unidos y/o en otros países.

RENUNCIA

Este manual contiene información que es correcta según el leal saber y entender de NovaTech. Está destinado
a ser una guía y debe usarse como tal. No debe considerarse una única fuente de instrucción técnica,
sustituyendo al buen juicio técnico, ya que no se pueden prever todas las situaciones posibles. Si tiene alguna
pregunta sobre la instalación, configuración o uso de este producto, comuníquese con NovaTech, LLC al
(913) 451-1880.

Para garantizar que el equipo descrito en este manual, así como todos los equipos conectados y utilizados con
él, funcionen de manera satisfactoria y segura, se deben seguir todos los códigos locales y nacionales
aplicables que se aplican a la instalación y operación del equipo. Dado que estos códigos pueden variar
geográficamente y pueden cambiar con el tiempo, es responsabilidad del usuario determinar qué códigos y
normas se aplican, y cumplirlos.

El incumplimiento de las instrucciones proporcionadas en este manual y/o el incumplimiento de

los códigos y normas de seguridad aplicables pueden provocar daños a este equipo, daños a los
dispositivos conectados y/o lesiones graves al personal.

Todos los enlaces a sitios web externos han sido verificados como correctos y apropiados en el momento de la publicación
del presente documento. Sin embargo, estos enlaces y sitios web, al estar fuera del control de NovaTech LLC, son
sujeto a cambios y puede que ya no sea correcto. En este caso, póngase en contacto con:

[email protected]

Ii
 Análisis de la red Wireshark

La documentación de la familia de productos Orion está estructurada de la siguiente manera.

Nombre del manual (véase la portada)Propósito

Guía de inicio rápido Describe la configuración lista para usar para una instalación rápida.
Manual de usuario de • Descripción del hardware Orion•
OrionLX/LX+Manual de Configuración de la configuración
usuario de mediante NCD• Orion:
OrionLXmManual de o Configuración de las características de Orion• Funciones de
usuario de OrionMXmanual la consola Orion MMI• Configuración y funcionamiento de la
opción de vídeo (-MMB o -MMC)
de usuario de E/S de Orion

Manuales de software Los manuales de software explican todos los aspectos de la

configuración y el funcionamiento de los protocolos, como el cliente
DNP3 y las opciones de software (Archive, Logic, DA Logic, etc.)

Notas técnicas Las notas técnicas proporcionan soluciones para la integración general, como
escalado o configuración de redes RS-485.
Instrucciones de campo Las instrucciones de campo proporcionan instrucciones paso a paso
para la instalación de nuevo hardware o software en el campo.

Nota: En el directorio con la documentación, los nombres de los manuales de software de protocolo
comienzan conProtocolo, como Protocol_DNP3_Client.pdf y los manuales de aplicación de software
comienzan conSoftware, como Software_IEC61131-3.pdf.

Iii
 Análisis de la red Wireshark

Estilos y símbolos

En este documento, las fuentes, los estilos de texto y los símbolos se utilizan para distinguir el texto estándar
de la entrada del teclado, el texto del programa, los mensajes de la GUI y los hipervínculos de la siguiente
manera. Las advertencias y avisos de seguridad se indican con símbolos ANSI.

Texto o símbolo mostrado Descripción

Este es un texto normal. Texto estándar.
Consulte la configuración de OrionLX Hipervínculo al texto del mismo documento.
www.novatechautomation.com Hipervínculo al sitio web.
[email protected] Al hacer clic en este enlace, se inicia el cliente de correo electrónico en la
Consulte el manual de usuario de OrionLX Nombre del documento.
Valor mínimo Elemento de menú o texto mostrado por el software.
Nombre del punto de datos Texto que se introducirá en el campo o ventana de entrada.
Salvar Se debe hacer clic en el botón GUI.
Si la frecuencia < 60.0, entonces Código de programa.
<Enter>, <Ctrl>+<G>, <G> Tecla a pulsar.
Este triángulo amarillo indica una advertencia
que debe ser observada por los usuarios para
evitar posibles daños en el equipo o lesiones
personales.

Este triángulo amarillo indica un peligro eléctrico.

El dispositivo sensible a la electrostática

requiere procedimientos adecuados de
manipulación y conexión a tierra para evitar
daños en el equipo.
PELIGRO indica una situación de peligro
inminente que, si no se evita, provocará la
muerte o lesiones graves.

ADVERTENCIA indica una situación

potencialmente peligrosa que, si no se evita,
podría provocar la muerte o lesiones graves.

PRECAUCIÓN indica una situación peligrosa

que, si no se evita, puede provocar lesiones
leves o moderadas.

Tenga en cuenta que, dependiendo de la configuración de pantalla de Windows® en la computadora que

ejecuta NCD, algunos de los detalles de la captura de pantalla pueden aparecer de manera diferente a la que
se muestra en este manual. Las capturas de pantalla de este manual se han realizado con Windows 10®.

Iv
 Análisis de la red Wireshark

Tabla de contenidos

Yo. Introducción 7
II. Plataformas Wireshark y requisitos de red 7
1. Wireshark y tcpdump en Orion 7
2. Wireshark y TShark en PC 7
3. Requisitos de red 8
III. Ejecución de Wireshark, TShark y tcpdump 11
1. Ejecutar Wireshark en PC 11
2. Ejecutar Wireshark en Orion 18
3. Ejecutar TShark en PC 21
4. Ejecución de tcpdump en Orion 25
Transfiera el archivo de captura a la PC a través de SFTP / FTP 27
Abra el archivo de captura en Wireshark integrado 28
Transfiera el archivo de captura a la PC a través de una memoria USB 29
Apéndice A – Captura remota de tráfico 30
Apéndice B – Documentación adicional 32

Lista de figuras

Figura 1: PC con Wireshark capturando tráfico de red 8

Figura 2: OrionLX+ con opción MMC y Wireshark capturando tráfico de red 9
Figura 3: Configuración de la duplicación de puertos 10
Figura 4: Pantalla de inicio de Wireshark 11
Figura 5: Captura de comunicaciones en directo 12
Figura 6: Ver detalles de Modbus 13
Figura 7: Ver detalles de DNP3 14
Figura 8: Filtrado de paquetes capturados 15
Figura 9: Seleccionar formato de hora 16
Figura 10: Guardar el registro capturado en un archivo 17
Figura 11: Apertura de Wireshark en Orión 18
Figura 12: Ejecución de Wireshark en Orion 19
Figura 13: Instalación de TShark 21
Figura 14: Abrir la línea de comandos con derechos de administrador 21
Figura 15: Mostrar la lista de interfaces disponibles en la línea de comandos 22
Figura 16: Comando de registro de TShark 23
Figura 17: Condiciones de captura y salida de TShark 23
Figura 18: Ver el archivo de captura de TShark en Wireshark 24
Figura 19: Transferencia del archivo de captura a la PC a través de SFTP 27
Figura 20: Análisis del archivo de captura en Wireshark en PC 28
Figura 21: Instalación del cliente OpenSSH 30
Figura 22: Abrir símbolo del sistema 30

v
 Análisis de la red Wireshark

Lista de tablas

Tabla 1: Compatibilidad con Wireshark, tcpdump y TShark 7

Tabla 2: Nombres de interfaz OrionLX+ 20
Tabla 3: Nombres de interfaz OrionLX 20
Tabla 4: Nombres de interfaz OrionLXm 25
Tabla 5: Nombres de interfaz OrionMX 25
Tabla 6: Nombres de interfaz de E/S de Orion 26
Tabla 7: Opciones de análisis para cada plataforma Orion 26
Tabla 8: Documentación de NovaTech 32

tú
 Análisis de la red Wireshark

I. Introducción
Wireshark, tcpdump y TShark son programas que capturan paquetes de datos de protocolo, como DNP3,
Modbus o IEC 61850, a medida que se transmiten en una red. Con el fin de verificar la comunicación correcta y
solucionar problemas de comunicación incorrecta en la red, los paquetes transmitidos deben ser capturados y
analizados. Para ello, Wireshark se ejecuta en un PC conectado a la red con los dispositivos a monitorizar. El
OrionLX con la opción MMB y el OrionLX+ con la opción MMC también proporcionan Wireshark en los
monitores conectados. Los distintos programas son compatibles de la siguiente manera:

Plataforma Tiburón de alambre

tcpdump São São Paulo

OrionLX+ con MMC Y Y N

OrionLX+ sin MMC N Y N

OrionLX con MMB Y Y N

OrionLX sin MMB N Y N

OrionLXm N Y N

OriónMX N Y N

E/S de Orion N Y N

PC Y Y1 Y

Tabla 1: Compatibilidad con Wireshark, tcpdump y TShark

II. Plataformas Wireshark y requisitos de red

1. Wireshark y tcpdump en Orion

No se necesita ninguna configuración de red especial para ejecutar Wireshark o tcpdump en un Orion.
Simplemente ejecute Wiresharkor tcpdump como se describe en este documento para capturar la comunicación
de red entre Orion y dispositivos de terceros. Sin embargo, esta configuración no captura la comunicación entre
dispositivos de terceros. Si lo desea, consulte la sección Requisitos de red para obtener más información.

2. Wireshark y TShark en PC

Wireshark y TShark se ejecutan en PC con Windows o Apple. El PC debe estar conectado a la red como se
describe en la sección Requisitos de red. El paquete con Wireshark y TShark está disponible para descargar en
https://www.wireshark.org/download.html.

1 No se describe en este documento.

7
 Análisis de la red Wireshark

3. Requisitos de red

Para que la PC u Orion escuche la comunicación entre otros dos dispositivos en la red, los tres dispositivos
deben estar conectados a un concentrador o a un conmutador con duplicación de puertos. Un switch normal
dirige el tráfico sólo al puerto del destinatario previsto, pero no a ningún otro puerto en orden y, por lo tanto, no
se puede utilizar para los fines de este manual.

Un concentrador reenvía un mensaje recibido a todos los puertos y no solo al puerto con el destinatario
previsto. De esta manera, un concentrador permite que la PC u Orion escuchen todos los paquetes que pasan
por el concentrador. Una descripción completa de los hubs está disponible aquí. Los hubs no requieren una
configuración especial para su uso con Wireshark.
Los switches con duplicación de puertos también se pueden utilizar para este propósito. Consulte el manual
técnico del conmutador instalado en la red para ver si se admite la duplicación de puertos. La duplicación de
puertos se configura como se muestra en la Figura 3 o similar, según el switch específico. Para obtener detalles
de configuración, consulte el manual técnico del interruptor en particular.

En los ejemplos de la Figura 1 y la Figura 2, así como en aplicaciones de campo, se pueden utilizar
conmutadores con duplicación de puertos, así como concentradores, en función de la disponibilidad.

Figura 1: PC con Wireshark capturando tráfico de red

8
 Análisis de la red Wireshark

Figura 2: OrionLX+ con opción MMC y Wireshark capturando tráfico de red

En el siguiente ejemplo de configuración del switch (Figura 3), el puerto 1 se configura como puerto de espejo.
Esto significa que el PC u Orion con Wireshark debe estar conectado a este puerto. Los puertos 21, 22, 23 y 24
están configurados como puertos reflejados. Cualquier dispositivo de red monitoreado se puede conectar a
estos puertos. En este ejemplo, tanto los paquetes entrantes ("Ingreso") como los salientes ("Egreso") se
reflejan en el puerto 1. El tráfico de los puertos 2 a 20 no se refleja en el puerto 1.

Consulte el manual del usuario de su conmutador específico con respecto a las capacidades de duplicación y la configuración de

9
 Análisis de la red Wireshark

Figura 3: Configuración de la duplicación de puertos

10
 Análisis de la red Wireshark

III.Ejecución de Wireshark, TShark y tcpdump

1. Ejecutar Wireshark en PC

La siguiente pantalla se muestra después de iniciar Wireshark (Figura 1). Interfaces con el tráfico real, como
"Ethernet" en la siguiente figura, se muestran con una curva en movimiento. Seleccione la interfaz a la que está conectado
el conmutador o concentrador Ethernet, tal como se describe en Requisitos de red. A continuación, haz clic en el icono de aleta a
"Archivo" para iniciar la captura.

Figura 4: Pantalla de inicio de Wireshark

A continuación, el tráfico capturado en el puerto reflejado se desplaza en la pantalla de Wireshark (Figura 5). En
el siguiente ejemplo, el OrionLXm en 192.168.0.100 tiene un cliente IP DNP3 y un cliente Modbus TCP
ejecutándose que sondean los servidores correspondientes en la E/S de Orion en 192.168.0.102.

11
 Análisis de la red Wireshark

Figura 5: Captura de comunicaciones en directo

12
 Análisis de la red Wireshark

Al hacer clic en una entrada específica en la ventana superior (Figura 6, Figura 7), se pueden seleccionar varios
elementos como "EthernetII", "Protocolo de Internet versión 4", "Modbus/TCP" o "Modbus" en la ventana
central. Upon, y los detalles del mensaje se expanden en la ventana inferior.

En el siguiente ejemplo (Figura 6), el paquete Modbus es una respuesta que el servidor en 192.168.0.102envía
al cliente en 192.168.0.100. La estructura Modbus del mensaje muestra el código de comando real "2" y los
valores de los puntos discretos. En este caso, los puntos de servidor 1, 2 y 12 se establecen en 1 y los demás
puntos son 0.

Figura 6: Ver detalles de Modbus

13
 Análisis de la red Wireshark

Figura 7: Ver detalles de DNP3

14
 Análisis de la red Wireshark

También es posible filtrar por protocolo. En el siguiente ejemplo (Figura 8), se ha introducido el filtro "dnp3" en la
línea de filtro situada debajo de la barra de herramientas. Cuando el término introducido en la línea de filtro es
compatible con Wireshark, la línea de filtro se muestra con un fondo verde y se aplica. De lo contrario, el
término se muestra con un fondo ared y no se aplica.

Figura 8: Filtrado de paquetes capturados

15
 Análisis de la red Wireshark

De forma predeterminada, la marca de tiempo de la captura de un paquete es el tiempo transcurrido desde que se inició la captur
en la Figura 5. Otras marcas de tiempo, como la hora real del día, se pueden seleccionar en "Ver" > "Formato
de visualización de tiempo". Por ejemplo, la Figura 8 muestra la hora mostrada como fecha y hora absolutas de
la captura del paquete.

Figura 9: Seleccionar formato de hora

16
 Análisis de la red Wireshark

Para detener la captura, haga clic en el botón cuadrado rojo, que es el segundo botón de la izquierda debajo de
la barra de herramientas (Figura 8). Luego, el registro capturado se puede guardar en la PC como se muestra
en la Figura 9 para enviarlo por correo electrónico al soporte técnico de NovaTech o cargarlo en el sitio de
soporte de NovaTech.

Figura 10: Guardar el registro capturado en un archivo

17
 Análisis de la red Wireshark

2. Ejecutar Wireshark en Orion

En el OrionLX+ con la opción MMC y en el OrionLX con la opción MMB, Wireshark está disponible en "Red" >
"Analizador de red" en el menú Orion.

Figura 11: Apertura de Wireshark en Orión

A continuación, se abre la siguiente ventana (Figura 12).

18
 Análisis de la red Wireshark

Figura 12: Ejecución de Wireshark en Orion

Seleccione el puerto Ethernet deseado del Orion de la lista en el lado izquierdo debajo de Inicio. Los nombres
de los puertos son los siguientes. En el ejemplo anterior (Figura 12), el puerto enp3s0 es el único puerto
disponible que se muestra, lo que significa que el switch o hub debe estar conectado al puerto Eth0 del Orion.

OrionLX+ Etiqueta del conector Nombre de la interfaz

OrionLX+ (Estándar) ETH0 ENP3S0
ETH1 ENP4S0
OrionLX+ con opción NC1 (3 ETH0 ENP3S0
puertos Ethernet adicionales)
ETH1 ENP4S0
ETH2 ENP8S0
ETH3 ENP9S0
ETH4 ENP10S0

19
 Análisis de la red Wireshark

OrionLX+ con opción NC2 ETH0 ENP3S0

(conmutador Ethernet de 12
ETH1 ENP4S0
puertos)
ETH2-0 trabajo0
ETH2-1 1
ETH2-2 2000
ETH2-3 trabajo3
ETH2-4 trabajo4
ETH2-5 trabajo
ETH2-6 trabajo
ETH2-7 lan7
ETH2-8 TRABAJO
ETH2-9 OBRA
ETH2-10 lan10
ETH2-11 LAN11
OrionLX+ con opción NC3 ETH0 ENP3S0
(adicional Ethernet/PRP/ ETH1 ENP4S0
Puertos HSR)
ETH2 ENP8S0
ETH3 ENP9S0
ETH4-0 trabajo0
ETH4-1 1

Tabla 2: Nombres de interfaz OrionLX+

OrionLX Etiqueta del conector Nombre de la interfaz

OrionLX-CPX ETH0 ENP3S0
ETH1 ENP3S1
ETH2 ENP4S0

Tabla 3: Nombres de interfaz OrionLX

A continuación, haga clic en "Iniciar". Las operaciones disponibles son similares a las descritas en la sección
Ejecución de Wireshark en PC.

Nota: Wireshark y tcpdump forman parte de la distribución Orion y no se pueden instalar ni actualizar por separado.

20
 Análisis de la red Wireshark

3. Ejecutar TShark en PC

TShark se ejecuta en Orions y PC. TShark está incluido en el paquete Wireshark. Al instalar Wireshark en la
PC, asegúrese de que la casilla de verificación de TShark esté marcada (Figura 13).

Figura 13: Instalación de TShark

El tshark.exe ejecutable de TShark se instala en el directorio "C:\Program Files\Wireshark". Para volver a

tshark.exe en la PC, agregue el directorio "C:\Program Files\Wireshark" a la ruta o, después de abrir la ventana
de la línea de comandos, vaya al directorio "C:\Program Files\Wireshark".

Nota: Abra la ventana de línea de comandos con derechos de administrador haciendo clic con el botón
derecho en cmd.exe y seleccione Ejecutar como administrador (Figura 14). De lo contrario, no se podrá
crear el archivo de registro.

Figura 14: Abrir la línea de comandos con derechos de administrador

21
 Análisis de la red Wireshark

Figura 15: Mostrar la lista de interfaces disponibles en la línea de comandos

El primer comando a ejecutar es tshark -D (Figura 15) para enumerar las interfaces que están disponibles en la
PC. En este ejemplo, la interfaz "Conexión de área local" está conectada al conmutador y se utiliza en el
siguiente ejemplo.

El comando que se muestra en la figura 16

tshark -i 8 -a duración:10 -w capturelog.pcap

hace lo siguiente:

-i 8 Captura de paquetes en la interfaz 8 "Conexión de área local" (consulte la Figura 15)

-una duración:10 Captura de paquetes durante 10 segundos
-w capturaregistro.pcap Guarde los paquetes de captura en el archivo "capturelog.pcap"

Un contador en ejecución muestra el número de paquetes capturados. En este ejemplo, el número total es 68.

22
 Análisis de la red Wireshark

Figura 16: Comando de registro de TShark

Las condiciones de parada se muestran en la Figura 17. Generalmente, las opciones Detener de n paquetes, Detener después d
NUM segundos y Detener este archivo después de NUM KB son los más útiles.

Nota: Se recomienda limitar la duración de la captura especificando la hora, el número de paquetes o el

número de archivos después de los cuales se detendrá la captura.

Figura 17: Condiciones de captura y salida de TShark

La lista completa de parámetros de comando TShark está disponible ingresando el siguiente comando en la
línea de comandos:

tshark -h

Una vez completada la captura, el archivo de captura se puede abrir y ver con Wireshark en un PC para facilitar
el análisis (Figura 18). A continuación, estarán disponibles las mismas opciones de visualización y filtrado
descritas anteriormente en este documento.

23
 Análisis de la red Wireshark

Figura 18: Ver el archivo de captura de TShark en Wireshark

24
 Análisis de la red Wireshark

4. Ejecución de tcpdump en Orion

El programa tcpdump está disponible en OrionLX+, OrionLX, OrionLXm y Orion I/O.

Inicie sesión en Orion como usuario root a través de una conexión serie, USB o ssh.

En el símbolo del sistema raíz, ingrese el siguiente comando que crea el archivo en el que tcpdump almacena
los paquetes capturados. En este ejemplo, capture.log se utiliza como nombre de archivo. Se pueden usar otros
nombres de archivo como se desee. Una vez que el archivo capturado se mueve a una PC como se describe a
continuación, Wireshark en la PC puede abrir cualquier extensión.

Toque /tmp/capture.log

A continuación, introduzca el siguiente comando para capturar paquetes de red. Este comando de ejemplo
captura packet en el puerto Eth0 de un OrionLXm o una E/S Orion.

tcpdump -c 1000 -i eth0 -s 10000 -w /tmp/capture.log

Las siguientes opciones se especifican en el comando anterior:

-c 1000 Deténgase después de capturar 1000 paquetes. Alternativamente, esta opción

se puede omitir y la captura se detiene con <Ctrl>+<c>
Soy Eth0. Captura de paquetes en la interfaz Eth0. El nombre de la interfaz debe estar en
minúsculas. Consulte la Tabla 2, la Tabla 3, la Tabla 4, la Tabla 5 y la Tabla 6
para obtener una lista completa de los nombres de interfaz para cada plataforma
Orion. Este parámetro es obligatorio.
-s 10000 Capture 10.000 bytes de cada paquete en lugar del valor predeterminado de 262.144 bytes.
-w /tmp/capture.log Guarde los paquetes de captura en el archivo "capture.log". Este parámetro es obligatorio.

Para conocer los nombres de las interfaces OrionLX+, consulte la Tabla 2. Para conocer los nombres de las interfaces OrionLX, c

OrionLXm Etiqueta del conector Nombre de la interfaz

OrionLXm ETH0 eth0
ETH1 eth1

Tabla 4: Nombres de interfaz OrionLXm

OriónMX Etiqueta del conector Nombre de la interfaz

OriónMX ETH0-0 trabajo0
ETH0-1 1
ETH1 eth1

Tabla 5: Nombres de interfaz OrionMX

25
 Análisis de la red Wireshark

E/S de Orion Etiqueta del conector Nombre de la interfaz

E/S Orion (estándar) ETH0 eth0
ETH1 eth1
E/S Orion con opción ES ETH0-0 trabajo0
(conmutador Ethernet de
ETH0-1 1
3 puertos)
ETH0-2 2000
ETH1-0 eth1
E/S Orion con opción RP ETH0-0 trabajo0
(PUERTO PRP/HSR)
ETH0-1 1
ETH1 eth1

Tabla 6: Nombres de interfaz de E/S de Orion

Las interfaces disponibles también se pueden obtener introduciendo

Tshark :-D

Una descripción completa de las opciones de tcpdump está disponible en tcpdump.org.

Una vez completada la captura, el archivo de captura se puede analizar de la siguiente manera.
%ª Transfiera el archivo de captura a la PC a través de SFTP / FTP y
ábralo en Wireshark%ª Transfiera el archivo de captura a la PC a través
de una memoria USB y ábralo en Wireshark%ª Abra el archivo de
captura en Wireshark integrado

Plataforma Transferencia a PC a través

Transfiera
de a la PC a Abrir en
SFTP/FTP través de una OnboardWireshark
memoria USB
OrionLX+ con MMC Y Y Y
OrionLX+ sin MMC Y Y N
OrionLX con MMB Y Y Y
OrionLX sin MMB Y Y N
OrionLXm Y N N
OriónMX Y N N
E/S de Orion Y N N

Tabla 7: Opciones de análisis para cada plataforma Orion

26
 Análisis de la red Wireshark

Transfiera el archivo de captura a la PC a través de SFTP / FTP

El archivo de captura en el directorio /tmp descrito anteriormente se puede transferir a la PC con cualquier
software SFTP/FTP (Figura 19). En el PC, el archivo se puede abrir y analizar en Wireshark (Figura 20).

Notas:
%ª El acceso SFTP o FTP requiere que el usuario respectivo esté configurado con acceso "ftp" en la página
web de Orion > "Configuración" > "Usuarios".
%ª Si se utiliza FTP en lugar del SFTP seguro, entonces FTP debe estar habilitado en la página web de Orion
>"Configuración" > "Servicios".
%ª SFTP usa el puerto 22 y FTP usa el puerto 21 para conectarse al Orion.

Figura 19: Transferencia del archivo de captura a la PC a través de SFTP

27
 Análisis de la red Wireshark

Figura 20: Análisis del archivo de captura en Wireshark en PC

Abra el archivo de captura en Wireshark integrado

En el OrionLX+ con la opción MMC y en el OrionLX con la opción MMB, el archivo capturado en /tmp también
se puede abrir y analizar en el Wireshark integrado, como se muestra en la Figura 20.

28
 Análisis de la red Wireshark

Transfiera el archivo de captura a la PC a través de una memoria USB

Inserte la memoria USB en cualquier puerto USB del OrionLX o OrionLX+ y ejecute el siguiente comando.

ll /dev/sd*

Esto devolverá el dispositivo al que está conectada la unidad, que suele ser sdb1:

# ll /dev/sd*
brw-rw---- 1 disco raíz 8, 0 22 abr 13:59 /dev/sdabrw-rw---- 1 disco raíz 8,
1 abr 22 13:59 /dev/sda1brw-rw---- 1 disco raíz 8, 16 abr 29 20:01
/dev/sdbbrw-rw---- 1 disco raíz 8, 17 abr 29 20:01 /dev/sdb1

A continuación, monte la memoria USB con el comando:

mount /dev/sdb1 /mnt

La memoria USB ahora está montada como /mnt. Utilice el siguiente comando para ver la nueva unidad. En
este ejemplo, es el último elemento llamado /dev/sdb1 el que se monta como /mnt.

# df -h
Tamaño del sistema de archivos utilizado Uso disponible%
Montado en/dev/root 3.7G 490.7M 3.0G 14% /devtmpfs 487.0M 0
487.0M 0% /devtmpfs 487.2M 0 487.2M 0% /dev/shmtmpfs
487.2M 360.0K 486.9M 0% /runtmpfs 487.2M 0 487.2M 0%
/sys/fs/cgroupnone 730.8M 44.0K 730.8M 0% /tmp/dev/sdb1
487.7M 134.2M 353.5M 28% /mnt

Vaya al directorio /mnt ingresando

cd /min

En el directorio /mnt, cree un nuevo archivo, por ejemplo capture.log, introduciendo el comando

Toque capture.log

A continuación, copie el archivo de captura en la memoria flash interna del Orion en el archivo recién creado en la memoria USB:

cp /tmp/capture.log /mnt/capture.log

Si lo desea, puede mover el archivo en lugar de copiarlo.

mv /tmp/capture.log /mnt/ capture.log

Retire la memoria USB del Orion, conéctela al PC y abra el archivo de captura en Wireshark (Figura 20).

29
 Análisis de la red Wireshark

Apéndice A – Captura remota de tráfico

Con los siguientes pasos, el tráfico Ethernet en el Orion se puede capturar a través de una PC con Windows 10
o superior.

Paso 1: Instala Wireshark en el PC.

Paso 2: En la PC, ve a Aplicaciones y características > Características opcionales > Buscar SSH, e instala
OpenSSHclient si aún no está instalado.

Figura 21: Instalación del cliente OpenSSH

Paso 3: Abrir un símbolo del sistema con privilegios de administrador

Figura 22: Abrir símbolo del sistema

Paso 4: Ingresa el siguiente comando en la línea de comandos:

ssh [email protected] tcpdump -i enp3s0 -U -s0 -w - 'no puerto 22' |" C:\Archivos de
programa\Wireshark\wireshark.exe" -k -i –

El comando consta de lo siguiente, que debe adaptarse a su entorno.

30
 Análisis de la red Wireshark

ssh username@(dirección IP o nombre de host) tcpdump -i (interfaz que desea monitorear - no es

necesario si desea monitorear todas las interfaces) -U -s0 -w- 'no es el puerto 22' | "(ubicación del
ejecutable de Wireshark)\wireshark.exe" -k-i –

Wireshark se iniciará. Regrese al símbolo del sistema e ingrese la contraseña, a menos que esté
usando una clave privada. A continuación, vuelva a Wireshark y analice los paquetes remotos
capturados. Recuerde guardar Wireshark antes de salir del símbolo del sistema.

Paso 5: Para dejar una captura de paquetes en ejecución a pesar de salir de la sesión, inicie sesión en Orion
como root y ejecute el siguiente comando:

tcpdump -i enp3s0 -U -s0 -w $HOME/netdump.pcap &

Donde enp3s0 es la interfaz en la que desea capturar paquetes (consulte la Tabla 2, la Tabla 3, la Tabla
4, la Tabla 5 o la Tabla 6).

Paso 6: Para eliminar la captura de paquetes, inicie sesión en Orion como root y ejecute el siguiente comando:

pkill tcpdump

Paso 6: Recupera el archivo /root/netdump.pcap usando tu herramienta de extracción de archivos preferida para Orion.

31
 Análisis de la red Wireshark

Apéndice B – Documentación adicional

La documentación adicional que se enumera a continuación representa los principales documentos que pueden
ser necesarios para configurar el expansor de puertos Orion.

De forma predeterminada, la instalación de NCD almacena los archivos de documentación de NovaTech en

C:\Program Files(x86)\NovaTech LLC\NCD3\Docs.

Título del documento Nombre de archivo

OrionLX/OrionLX+ Manual del usuario OrionLX_User_Manual.pdf
Manual de usuario de OrionLXm OrionLXm_User_Manual.pdf
Manual de usuario de OrionMX OrionMX_User_Manual.pdf
Manual del usuario de Orion I/O Orion_IO_User_Manual.pdf

Tabla 8: Documentación de NovaTech

Para la configuración de IED de otros fabricantes, consulte la documentación respectiva del fabricante
específico. La documentación de terceros no está incluida en el CD de instalación de NovaTech y no puede ser
verificada como precisa por NovaTech.

32
 Análisis de la red Wireshark

Revisión Fecha Cambios

Un 12/31/2019 Versión inicial. BM
B 03/03/2020 Se agregó información de SFTP. BM
C 05/26/2021 Se actualizó el nombre de dominio y se agregó OrionMX. Se agregaron nombres de interfaz. BM
D 03/10/2022 Se ha añadido la captura remota de paquetes. BM

33