wireshark manual
TRANSCRIPT
SERVICIO NACIONAL DE APRENDIZAJE –SENA
CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL
TECNOLOGÍA EN GESTIÓN DE REDES DE DATOS
MANUAL BÁSICO DE WIRESHARK
ELABORADO POR:
DIANA MARCELA SAMBONI NUÑEZ
N° DE FICHA:321961
INSTRUCTOR: GERMÁN LEAL FLOREZ
MEDELLÍN
FEBRERO 26 DE 2012
INTRODUCCIÓN
WIRESHARK, antes llamado ETHEREAL es una herramienta gráfica utilizada por los profesionales y/o administradores de la red para identificar y analizar el tipo tráfico en un momento determinado. Para la comprensión y el manejo apropiado y exitoso de esta aplicación sea hace necesario la creación de un manual básico diseñado por el Tecnólogo en Gestión de Redes de Datos quién se basará en dicho programa para aplicar en su labor cotidiana.
Este manual comprende las funciones básicas del software Wireshark, como lo son la captura y el análisis de paquetes y otras funcionalidades más específicas, con ilustraciones y ejemplos con el fin de comprender el manejo del mismo.
OBJETIVOS
GENERAL
Diseñar un manual básico de Wireshark, a partir de los conocimientos
adquiridos y basado en información de la web.
ESPECIFICOS
Documentar en internet información relacionada con el manejo básico de
Wireshark.
Observó la captura de paquetes, su análisis y otras funcionalidades a partir
de la documentación adquirida.
Evidenciar con ilustraciones de los procedimientos y las funcionalidades
básicas del programa
MANUAL BÁSICO DE WIRESHARK
Antes llamado Ethereal, es un analizador de protocolos utilizado para realizar
análisis y solucionar problemas en redes de comunicaciones para desarrollo de
software y protocolos. Cuenta con todas las características estándar de
un analizador de protocolos. Es un capturador/analizador de paquetes de red
(llamado a veces, sniffer o esnifer). Wireshark te permitirá ver, aun nivel bajo y
detallado, qué está pasando en tu red. Posee una interfaz gráfica y
muchas opciones de organización y filtrado de información. Así, permite ver todo
el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es
compatible con algunas otras).
Características de Wireshark
Disponible para Linux y Windows
Captura de paquetes en vivo desde una interfaz de red
Muestra los paquetes con información detallada de los mismos
Abre y guarda paquetes capturados
Importar y exportar paquetes en diferentes formatos
Filtrado de información de paquetes
Resaltado de paquetes dependiendo el filtro
Crear estadísticas
INTERFAZ DE WIRESHARE
Estas ilustraciones representan la interfaz o apariencia del software Wireshark.
Ambas ilustraciones representa el inicio de WIRESHARK, donde se puede dar clic
para ir inmediatamente a la aplicación para hacer efectivo la captura de los
paquetes o para abrir un archivo que antes se haya trabajo de WIRESHARK para
los que desean continúan trabajando en la misma captura del paquete.
El color en cada apariencia es diferente debido la versión ejecutada por el
usuario.
En esta imagen se muestra el despliegue de la información acerca de los
paquetes capturados con su respectiva información, el número con respecto a la
posición del paquete en la captura como la dirección ip de origen y destino, el
protocolo utilizado y el puerto.
OPCIONES BÁSICAS DE WIRESHARK
A iniciar la aplicación de WiresharK aparece lo siguiente:
Se muestran diferentes opciones como capturar paquetes, abrir paquetes ya
analizados, nos lleva directamente a la página oficial de WiresharK para
descargarlo y da la opción de obtener guía de esta aplicación. Para este caso le
damos en la opción CAPTURE OPTIONS .Al darle doble clic nos parecerá esta
imagen
.
Esta opción es para la captura de intefaz, es decir de la tarjeta de red que
utilizaremos para realizar la captura de los paquetes
Al darle doble clic en la opción, Se evidencian los siguientes campos:
INTERFACE: Especifica con que interfaz se desea capturar. Sólo se puede
capturar con una interfaz a la vez y que Wireshark haya encontrado. No se
puede utilizar la interfaz de loopback.
IP ADDRESS: Muestra la dirección IP de la interfaz seleccionada.
BUFFER SIZE: N MEGABYTE(S): Define el tamaño del buffer que será
usado durante la Captura.
Le damos la opción star y al hacerle doble clic nos parece lo siguiente:
Cada interfaz ilustrada, especifica de manera detallada del paquete seleccionado,
cada ítem despliegue más información concreta del paquete Así:
CAPTURA DE LOS PAQUETES
Siendo está una de las principales funciones de Wireshark con el fin de realizar el
análisis para obtener una red estable.
Para la ejecución de esta función se aplica lo siguiente:
Haciendo doble clic en se despliega una ventana donde se listan las
interfaces locales disponibles para iniciar la captura de paquetes. Este icono se
encuentra en la parte inferior de la opción file en el costado izquierdo. De
inmediato aparecerá lo siguiente:
Al cargar completamente la opción ejecutada, aparecerá:
Cerramos el cuadro o aviso que nos parece, ya es otra manera de iniciar la
captura de paquetes. Al realizar lo dicho aparece la lista de paquetes de la
siguiente manera:
Cada línea corresponde a un paquete capturado al seleccionar una de estas,
ciertos detalles son desplegados en el resto de los paneles (Detalles y bytes). Y
las columnas muestran datos del paquete capturado, Wireshark dispone de una
gran cantidad de detalles que pueden agregarse en estas columnas desde el
menú Edit->Preferences, por defecto se tienen:
N°.: posición del paquete en la captura.
TIME: muestra el Timestamp del paquete. Su formato puede se
modificado desde el menú View->Time Display Format.
SOURCE: dirección origen del paquete.
DESTINATION: dirección destino del paquete.
PROTOCOL: nombre del protocolo del paquete.
INFO: información adicional del contenido del paquete.
EJECUCIÓN DE FILTRO
Aplicar el filtro se hace con el propósito de que el número de paquetes
visualizados o capturados se reduzca a únicamente los que son de interés para el
usuario. Limitando así el análisis únicamente a los protocolos, direcciones IP,
tiempos y rangos que se estén examinando.
Le damos clic en la OPCIÓN CAPTURE, luego CAPTURE FILTERS y le damos
enter.
ANÁLISIS DE PAQUETES
Una vez que se tienen capturados los paquetes estos son listados en el panel de
paquetes capturados, al seleccionar uno de estos se despliega el contenido del
paquete en el resto de los paneles que son panel de detalles de paquetes y panel
en bytes.
Se efectúa le análisis, de acuerdo a la información arrojada con la información
detallada de cada paquete, tales como:
Protocolo
Interfaz
Bytes
Puerto
Tiempo de la captura
BÚSQUEDA DE PAQUETES
Para acceder de manera instantánea a determinado paquete se aplica dos
maneras
1. la función de FIND PACKET. (Encontrar paquete)
Se puede acceder de dos maneras:
Presionando la tecla Control + f
En la barra de menú principal , opción FIND PACKET
2. Packet number.(Número del paquete):
De la barra menú principal , la opció GO le dmaos clic , ahí se deplsiega una serie
de opciones le damos clic en la opción go to packet y nos parece los siguinete:
Pero esta opción se utiliza para buscar el paquete por el número de posición del
paquete en la captura.
Entonces se rellena el campo solicitado de acuerdo al paquete que se dese
encontrar y le damos la OPCIÓN FIND.
MARCADO DE PAQUETES
Por lo general el análisis de tráfico es bastante complejo ya que son muchos los
paquetes que se obtienen la captura, WireShark permite marcar los paquetes
para que sean identificados con más facilidad esta marca es aplicar colores a
los paquetes en el panel correspondiente.
Existen tres funciones para aplicar el marcado de paquetes:
MARK PACKETS (TOGGLE): para marcar el paquete.
MARK ALL PACKETS: aplica la marca a todos los paquetes.
UNMARK ALL PACKETS: elimina la marca para todos los paquetes.
La Barra de herramientas principal, permite el acceso rápido a las funciones
más utilizadas.
Exactamente nos ubicamos en la opción EDIT COLORING RULES.
Al darle doble clic nos parece el siguiente cuadro, indicado un color específico
para cada protocolo, con el fin de una ubicación más práctica de los paquetes a
partir de colores.
VISUALIZACIÓN DE ESTÁDISTICAS
WireShark proporciona un rango amplio de estadísticas de red que son accedidas
desde el menú Statistics que abarcan desde la información general de los
paquetes capturados hasta las estadísticas específicas de un protocolo. Podemos
distinguir entre cada una de las anteriores:
Summary: la cantidad de paquetes capturados.
PROTOCOL HIERARCHY: Presenta las estadísticas para cada protocolo
de forma jerárquica.
CONVERSATIONS: Un caso particular es el tráfico entre una IP origen y
una IP destino.
ENDPOINTS: Muestra las estadísticas de los paquetes hacia y desde una
dirección IP.
IO GRAPHS: Muestra las estadísticas en grafos.
Para la obtención de los gráficos aplicamos los siguientes pasos:
1. Damos clic en la opción IO GRAPHS, y nos arroja la siguiente imagen:
2. Le damos clic en la OPCIÓN FILTER y seleccionamos el protocolo así: En este
caso utilizamos el protocolo HTTP. Le damos en LA OPCIÓN OK.
3. por último nos muestra la gráfica del protocolo seleccionado.
Es importante tener presente que los números arrojados por estas estadísticas
solo tendrán sentido si se tiene un conocimiento previo el protocolo de lo contrario
serán un poco compleja de comprender.
CONCLUSIONES
Se diseñó un manual básico sobre la funcionalidad e utilización del programa
analizador del tráfico de red: WIRESHARK.
Se documentó en internet información acerca del manejo del software
WIRESHARK.
Se observó la captura de paquetes, su respectivo análisis y otras funcionalidades,
a partir de la documentación y manejo de la herramienta.
El manual se evidenció con ilustraciones las cuales demostraban las
funcionalidades básicas como capturar y analizar paquetes.
CIBERGRAFÍA
ftp.ucv.ve/Documentos/ Wireshark / Manual .doc