wireshark

72
MANUAL SOFTWARE DE MONITOREO DE RED Elaborado por: Acero Pinilla Laura Constanza Camacho Ávila Edier Edilson Fuya Fuya Carlos Andrés Navarro Julio Eliana Rosas García Fredy Alejandro

Upload: eliana-navarro-j

Post on 09-Jun-2015

282 views

Category:

Technology


1 download

DESCRIPTION

TUtorial elaborado en el año 2011 por estudiantes de Ingeniería de Sistemas y Computación de la UPTC en Colombia

TRANSCRIPT

Page 1: Wireshark

MANUAL

SOFTWARE DE MONITOREO DE RED

Elaborado por:

Acero Pinilla Laura Constanza

Camacho Ávila Edier Edilson

Fuya Fuya Carlos Andrés

Navarro Julio Eliana

Rosas García Fredy Alejandro

Page 2: Wireshark

CONTENIDO

I. Introducción

II. Objetivo

III. A quien va dirigido

IV. Requisitos del sistema

V. Instalación de Wireshark

VI. Características de Wireshark

VII. Primeros pasos

VIII. Prácticas de laboratorio

IX. Fuentes de información

Page 3: Wireshark

CAPÍTULO I

INTRODUCCIÓN

Page 4: Wireshark

I. INTRODUCCIÓN

La gestión de redes es un conjunto de modelos, herramientas y métodos,

enfocados a realizar actividades que permitan garantizar una alta

disponibilidad de los recursos con que se cuenta. Para lograrlo hay que

buscar herramientas software que permitan si no, estar un paso delante de

los delincuentes informáticos, por lo menos a la par. Una de ellas es

Wireshark, que permite llevar a cabo acciones de gestión de prestaciones y

gestión de fallos, mediante la recolección, almacenamiento y evaluación o

análisis de datos característicos de los elementos de una red y su

operación.

Page 5: Wireshark

CAPÍTULO II

OBJETIVOS

Page 6: Wireshark

II. OBJETIVOS.

Este manual se desarrolla con el fin de enseñar a los usuarios a manejar la

herramienta Wireshark mostrándoles las funciones de cada botón y dándoles la

posibilidad de desarrollar unas guías de laboratorio que facilitarán el manejo de la

misma.

Page 7: Wireshark

CAPÍTULO III

DIRIGIDO A

Page 8: Wireshark

III. DIRIGIDO A

Este manual va dirigido a:

Estudiantes que quieran aprender internamente cómo funciona una red.

Administradores que deseen resolver problemas en la red.

Ingenieros que quieran examinar problemas de seguridad.

Page 9: Wireshark

CAPÍTULO IV REQUISITOS DEL

SISTEMA

Page 10: Wireshark

IV. REQUERIMIENTOS DEL SISTEMA

Para poder utilizar Winshark es necesario contar con las librerías de

wincap, aunque el programa durante la instalación las instala si detecta

que no se encuentran instaladas.

El programa es multiplataforma, hay distribución para Windows, GNU/Linux

y Mac.

Page 11: Wireshark

CAPÍTULO V

INSTALACIÓN DE WIRESHARK

Page 12: Wireshark

V. WIRESHARK INSTALACIÓN

Lo primero que necesita es descargar el programa, se recomienda que sea del

sitio web oficial. http://www.wireshark.org/download.html

Luego se procede a realizar la instalación de la aplicación.

Al ejecutar el archivo .exe nos aparece la siguiente ventana y debemos presionar

el botón siguiente.

La siguientes ventana del instalador, permite seleccionar los componentes a ser

instalados, dónde Wireshark es el analizador de protocolos con interfaz gráfica,

TShark se refiere a la consola del analizador de protocolos, Pluins / Extensions

permite seleccionar los plugins con que trabajará, si se seleccionan todos se

Page 13: Wireshark

aumenta la capacidad de operación de la aplicación. Tools ofrece Editcap, para

leer y capturar archivos, Text2Pcap, convierte un archivo ASCII en formato

libpcap, Mergecap, combina dos o más archivos de paquetes capturados en un

único archivo, Capinfos, es un programa que proporciona información de los

paquetes capturados y Rawsahrk es un programa para filtrar los paquetes brutos

(completos).

Luego seleccionamos las tareas adicionales que queramos instalar: en dónde

deseamos crear un acceso directo de la aplicación y realizar la asociación de las

extensiones de los archivos. Procedemos a presionar el botón siguiente.

Page 14: Wireshark

Seleccionamos la carpeta en la que queremos instalar la aplicación. En esta

ventana nos muestran cuánto espacio libre necesita Wireshark para poder ser

instalado y cuál es el espacio disponible en el equipo.

Page 15: Wireshark

Como se comentaba inicialmente la aplicación pide la instalación de WinCap (en

caso que no se encuentre instalado en el equipo). Este hace referencia a la

versión para Windows de la biblioteca libpcap. Más información en

http://wiki.wireshark.org/WinPcap

Wireshark utiliza esta biblioteca para capturar datos en tiempo real de la

red en Windows.

El

programa procede a instalarse, pero a la vez nos muestra la ventana de

instalación de WinCap.

Page 16: Wireshark

Finalizar la instalación de WinPCam, seleccionando “next”, hasta finalizar y de

igual manera con Wireshark. Listo ahora se puede empezar a utilizar la

herramienta.

Page 17: Wireshark

CAPÍTULO VI

CARACTERÍSTICAS DE WIRESHARK

Page 18: Wireshark

VI. CARACTERISTICAS

Esta aplicación es un analizador de protocoles de red, es de código abierto, tipo

sniffer, este es un tipo de software que permite detectar e interceptar tramas de

una red, de acuerdo con unos parámetros de búsqueda.

Permite capturar, desplegar y filtrar paquetes para este caso, de una red de

Windows, sin embargo está disponible también para GNU/Linux, Unix y MAC.

Su principal objetivo es el análisis de tráfico, permite obtener soluciones rápidas

para una red.

A pesar que no es un IDS (Intrusion Detection System), Sistema de Detección de

Intrusos o un IPS (Intrusion Prevention System), Sistema de Prevención de

Intrusos, aplicaciones que permiten identificar y evitar accesos no autorizados a

un computador o a una red, sí es un sniffer como ellos y ofrece ventajas respecto

de estos sistemas, como la agilidad para el monitoreo y auditoría extensa en una

red, es decir que es eficiente.

Page 19: Wireshark

CAPÍTULO VII

PRIMEROS PASOS

Page 20: Wireshark

VII. PRIMEROS PASOS

Al ejecutar el icono de la aplicación esta empieza a cargar la información

mostrando la siguiente ventana. En la cual se puede apreciar un porcentaje de

carga.

INTERFAZ PRINCIPAL

La aplicación WireShark comprende una serie de funciones, las cuales podemos

visualizar en la siguiente figura.

Page 21: Wireshark

Para realizar el estudio de cada una de las herramientas de WireShark se dividirá

en secciones, que permitirán un análisis más profundo de las posibles actividades

que se pueden desarrollar con dicho software.

COMPONENTES DE LA BARRA DE MENÚ

La siguiente imagen muestra los diferentes menú-ítems que conforman la barra

de menú.

File

Dentro del menú File encontramos las siguientes funciones:

Page 22: Wireshark

File:Open

Le permite al usuario abrir un archive de trabajo existente.

File:Open Recent

Permite al usuario abrir un archivo trabajado recientemente.

File:Merge Permite combinar un archivo de captura con el que se encuentra cargado en la

aplicación.

Si se presiona la opción “merge” antes de guardar un archivo de captura la

aplicación nos muestra el siguiente mensaje de error.

Page 23: Wireshark

File:Close

Permite cerrar un archivo de captura.

File:Save

La opción Save permite al usuario guardar la captura actual o los paquetes que se

muestran en un archivo.

File:Save As

Además de guardar una captura, el usuario puede seleccionar si desea guardar

todos los paquetes o simplemente aquellos que han sido filtrados y/o los que

están marcados. Además hay un menú que permite seleccionar de una lista de

formatos de archivo el formato que desea guardarlo.

Page 24: Wireshark

File: File set List Files.

Muestra un diálogo con toda la información del archivo que se encuentra cargado

actualmente. Datos como el nombre, fecha de creación y modificación, tamaño y

ubicación del archivo.

File: File set Next File.

File: File set Previous File.

Si el archivo cargado actualmente forma parte de un conjunto de archivos, el usuario puede abrir el archivo siguiente o anterior al tiempo con el actual.

File:Export

Page 25: Wireshark

Permite exportar los datos capturados en un formato externo. Nota: los datos no

se pueden importar de nuevo en Wireshark, así que asegúrese de mantener el

archivo de captura.

File:Print

Permite imprimir un archivo de captura.

File:Quit

Permite al usuario cerrar la aplicación.

Edit

En el menu Edit el usuario encontrará los menú ítems que se muestran en la

siguiente gráfica:

Page 26: Wireshark

Edit: Copy

En el menu item Copy encontramos:

Edit Copy Description

Field name

Field Value

Permite al usuario copiar bien sea la descripción, el nombre o valor que se

encuentra en la celda seleccionada al portapapeles. Según la elección del

usuario.

Edit: Find Packet

Page 27: Wireshark

Este ítem permite al usuario buscar un paquete específico mediante unos

parámetros que el mismo asigna.

Se tienen también los ítems Find Next y Find Previous que muestran el siguiente

diálogo. El primero permite buscar un paquete desde uno seleccionado hacia

adelante y el segundo viceversa.

Edit: Mark Packet (toggle)

Page 28: Wireshark

Al presionar el menú ítem Mark Packet se selecciona o deselecciona en caso de

que se encuentre marcado el paquete seleccionado.

Los paquetes que se encuentran sombreados con negro son los que han sido

seleccionados.

Edit: Find Next Mark

Edit: Find Previous Mark

Page 29: Wireshark

Tanto la función Find Next Mark como Find Previous Mark permiten al usuario

desplazarse por los paquetes seleccionados bien sea hacia adelante o atrás

según lo desee el usuario.

Edit Mark All Packets

Unmark All Packets

Estas funciones le permiten al usuario seleccionar/deseleccionar todos los

paquetes.

Edit: Time Reference Set Time Reference (toggle)

Permite tomar el paquete seleccionado como un paquete de referencia de

tiempo. Cuando un paquete se establece como un paquete de referencia de

tiempo, las marcas de hora en la lista de paquetes será reemplazado con la

cadena "* * REF".

Al seleccionar este menú ítem la herramienta nos muestra el siguiente diálogo, en

el cual se puede visualizar el estado, tiempo y progreso del proceso.

Page 30: Wireshark

Edit: Configuration Profiles

Permite al usuario administrar perfiles de configuración para poder utilizar más

de un conjunto de preferencias y configuraciones.

Al seleccionar esta opción el sistema muestra al usuario la siguiente ventana.

Page 31: Wireshark

Edit: Preferences

Permite al usuario configurar la parte gráfica de la herramienta, la forma de

captura, impresión y opciones de protocolo.

VIEW

El menú View se encuentra compuesto por los menú ítems que se observan en la

Figura. Los cuales explicaremos a continuación.

Page 32: Wireshark

Los ítems que se encuentran resaltados al ser seleccionados por el usuario,

permiten mostrar u ocultar las respectivas barras. Por lo tanto les mostraremos

que barra corresponde a cada ítems para fácil manejo del usuario.

View Main Toolbar

Filter Toolbar

Wireless Toolbar

Page 33: Wireshark

Statusbar

Packet List

Permite a los usuarios observar la lista de paquetes.

Packet Details

Permite al usuario visualizar los detalles de un paquete seleccionado.

Packet Bytes

Page 34: Wireshark

Time Display Format

Permite al usuario seleccionar un formato de tiempo dentro de diferentes

opciones. Ajusta el formato de la fecha y hora de paquetes que aparecen en la

ventana de lista de paquetes.

View Name Resolution Resolve Name

Page 35: Wireshark

Permite al usuario tratar de resolver un nombre para el elemento seleccionado.

Colorize Packet List

Activar o desactivar las reglas para colorear. Al deshabilitar esta opción mejorará

el rendimiento.

Fig. Muestra activado el Colorize Packet List

Fig. Muestra desactivado el Colorize Packet List

Auto Scroll in Live Capture

Al seleccionar esta opción la lista de paquetes se desplaza automáticamente

mostrando al usuario los últimos en la lista.

Zoom (In, Out, normal)

Le permite al usuario jugar con el tamaño de letra de la lista de paquetes,

permitiéndole además restablecer los valores al tamaño normal.

Page 36: Wireshark

Resize All Columns

Restablece el tamaño de las columnas para adaptarse mejor al paquete actual,

mientras realiza el proceso muestra el siguiente diálogo.

Page 37: Wireshark

Expand Subtrees

Permite al usuario observar la información que contiene un árbol, mediante el

despliegue del mismo.

Árbol ampliado Información que contiene

Expand/Collapse All Expandir o contraer todas las ramas de los detalles del paquete.

Colorize Conversation

Permite al usuario seleccionar el color para una conversación.

Reset Coloring 1-10

Resetea los colores de las conversaciones.

Coloring Ruling

Page 38: Wireshark

Show packet in new window

Le muestra al usuario los paquetes en otra ventana diferente a la principal de la

aplicación.

Nueva ventana Ventana principal

Reload

Permite al usuario actualizar un archivo de captura.

Go

Page 39: Wireshark

El menu Go le permite al usuario desplazarse por los paquetes: retrocediendo,

yendo al siguiente, a un paquete específico, al siguiente o anterior paquete

específico, al primero o el último según lo desee.

CAPTURE

En el menú Capture se encuentran los siguientes menú ítems:

WireShark cuenta con dos maneras para iniciar la captura de los paquetes:

1. Haciendo doble clic en que se encuentra en la ventana principal de la aplicación, se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes.

Tres botones se visualizan por cada interfaz

Start, para iniciar Options, para configurar Details, proporciona información adicional de la interfaz como su

descripción, estadísticas, etc.

Page 40: Wireshark

Capture Interfaces…

2. Otra opción es seleccionar del menú Capture>Interfaces

Capture Options

Cuando el usuario presiona este menú ítems se despliega la siguiente ventana donde se muestra opciones de configuración para la interfaz para especificar el nombre de archivo, de lo contario un archivo temporal se creará para celebrar la captura. La ubicación del archivo puede ser elegido mediante el ajuste de la variable de entorno TMPDIR antes de comenzar Wireshark. De lo contrario, la ubicación predeterminada TMPDIR es dependiente del sistema, pero es probable que sea / var / tmp o / tmp.

Page 41: Wireshark

Capture Start

Al presionar Start. Wireshark iniciará la captura de paquetes en directo con las

opciones previamente seleccionadas. Mientras esto sucede, accede a algunos

sitios web de su preferencia. Es necesario hacer esto para generar tráfico a través

de la interfaz de red y, por tanto, permitir que Wireshark pueda capturar las

frames Ethernet correspondientes.

Capture Stop

Al presionar Stop se detiene la captura en ejecución en vivo. La ventana principal

de Wireshark aparece ahora dividida en 3 secciones. La sección superior es un

listado de las frames, en el mismo orden cronológico en que fueron capturados.

También

Page 42: Wireshark

Capture Restart

Permite al usuario reiniciar la captura, esto puede ser conveniente para eliminar

paquetes que no son valiosos en la captura.

Capture Display Filters

Para guardar o abrir un filtro existente (previamente creado y guardado) se debe

seleccionar Analyze>Display Filter en el menú o Capture>Capture Filter.

Page 43: Wireshark

Para definir un filtro se debe presionar el botón se indica el nombre del filtro

y la expresión y presionar para salvar los cambios.

Para crear accesos directos para los macros complejos se debe seleccionar

ANALIZE

Analyze Display filters

Permite al usuario crear un filtro basado en los datos actualmente destaca en los

detalles del paquete y aplicar el filtro.

Analyze Apply As Filter

La opción Analyze>Apply as Filter crea un filtro que las pruebas para un partido

de los datos, la opción no seleccionada crea un filtro que las pruebas para un no-

partido de los datos. Y el seleccionado o seleccionada, y no seleccionado, y O no

seleccionado las opciones de añadir al final de la pantalla de filtro en la franja en

la parte superior (o inferior), el operador AND y OR seguido de la expresión

pantalla filtro nuevo.

Page 44: Wireshark

Analyze Prepare a Filter crear un filtro basado en los datos actualmente

destacan en los detalles del paquete. La tira de filtro en la parte superior (o

inferior) se actualiza, pero no se aplica todavía.

Analyze Enabled Protocols

Le permite al usuario estudiar qué protocolo específico está activado o

desactivado o poder activar o desactivar algún protocolo se hace clic en

Analyze>Enabled Protocols y seleccionar que la lista completa sea activada o

desactivada, o invertida utilizando los botones que se encuentran debajo de la

lista.

Cuando un protocolo está deshabilitado, la disección de un paquete en particular

se detiene cuando se alcanza ese protocolo, y Wireshark pasa al siguiente

paquete. Los protocolos de capas superiores que de otra manera se han

procesado no se mostrará. Por ejemplo, deshabilitar TCP evitar la disección y

exposición de TCP, HTTP, SMTP, Telnet, y cualquier otro protocolo depende

exclusivamente de TCP.

AnalyzeDecode As

Page 45: Wireshark

Si usted tiene un paquete seleccionado del panel de lista de paquetes podrá

cambiar los sectores divididos que se utilizan para descifrar este paquete

seleccionando Analyze>Decode As donde se despliega un diálogo que tiene un

panel para la capa de enlace, capa de red y el protocolo de capa de transporte /

números de puerto, y permitirá a cada uno de estos para cambiar de forma

independiente. Por ejemplo, si el paquete seleccionado es un paquete TCP al

puerto 12345, mediante este diálogo puede indicar a Wireshark para decodificar

todos los paquetes hacia o desde ese puerto TCP como paquetes HTTP.

Analyze User Specified Decodes

Crear una nueva ventana que muestra si un identificador de protocolo fue

cambiado por el usuario para las asignaciones de disector se selecciona

Analyze>User Specified Decodes… Esta ventana también permite al usuario

restablecer todos los decodifica a sus valores predeterminados.

Page 46: Wireshark

Analyze Follow TCP Stream

Si usted tiene un paquete TCP, UDP o SSL seleccionado y desea mostrar el

contenido de la secuencia de datos para la conexión TCP a la que pertenece ese

paquete como texto en una ventana separada, y dejar la lista de paquetes en un

estado de filtrado, con sólo los paquetes que se parte de esa conexión TCP que

se muestra puede seleccionar Analyze>Follow TCP Stream. Puede volver a su

antigua visión presionando ENTER en el cuadro de visualización de texto del filtro,

con lo que la invocación de la pantalla del filtro viejo (o reiniciarlo de nuevo a la

pantalla sin filtro).

La ventana en la que se muestra la secuencia de datos le permite seleccionar:

• si se muestra toda la conversación, o uno o el otro lado de la misma;

• si los datos que se muestra debe ser tratada como texto ASCII o EBCDIC o

como datos hexadecimales en bruto;

y le permite imprimir lo que se muestra actualmente, con las mismas opciones de

impresión que se utilizan para el Archivo: Imprimir del menú de paquetes, o

guardarlo como texto en un archivo

Para saber la Información de Expertos seleccionar Analyze>Expert Info

Page 47: Wireshark

Expertos compuestos de información hacer clic en Analyze>Expert Info

Composite donde muestra un registro de las anomalías encontradas por

Wireshark en un archivo de captura.

Para ver la Conversación filtro seleccionar Analyze>Conversation Filter donde hay

dos opciones PN-IO AR y PN-IO AR (with data)

Page 48: Wireshark

Statistics

Permite al usuario mostrar información resumida acerca de la captura, incluyendo

el tiempo transcurrido, la cantidad de paquetes, los recuentos de bytes y otros.

Page 49: Wireshark

Statistics Summary

Si un filtro es en efecto la información de resumen se muestran sobre la captura y

sobre los paquetes que se muestra actualmente.

Page 50: Wireshark

Statistics Protocolo Hierarchy

En este se organizan los protocolos en la misma jerarquía en el que se

encuentran en la traza.

Statistics Conversations

Permite al usuario ver las listas de las conversaciones seleccionable por el

protocolo.

Page 51: Wireshark

Statistics Endpoints

Este menú ítem le muestra al usuario la lista de direcciones de Punto Final por el

protocolo de paquetes / bytes /.... con lasque cuenta.

Page 52: Wireshark

Statistics Packet Lengths

Permite al usuario agrupar cargos de longitud de paquete (0 a 19 bytes, los bytes

de 20 a 39).

Statistics IO Graphs

Page 53: Wireshark

Al seleccionar este menú ítem se abre una ventana donde hasta 5 gráficos en

colores diferentes se pueden mostrar para indicar el número de paquetes o el

número de bytes por segundo para todos los paquetes que coincidan con el filtro

especificado. Por defecto sólo un gráfico que se mostrará con indicación del

número de paquetes por segundo.

Debajo del área de dibujo y barra de desplazamiento se encuentran los

controles. En la parte inferior izquierda habrá cinco conjuntos similares de los

controles para controlar cada gráfico individual, como "Pantalla: <button>" qué

botón se activará ese gráfico individuales de encendido / apagado. Si <button>

está marcada, el gráfico se mostrará. "Color: <color>", que es sólo un botón para

mostrar el resultado en el color que se utiliza para dibujar ese gráfico (color sólo

está disponible en la versión Gtk2) y por último "filtro: <filter-text>" que se puede

utilizar para especificar un pantalla de filtro para que el gráfico en particular.

Si el filtro de texto está vacío, todos los paquetes se utilizará para calcular la

cantidad de ese gráfico. Si el filtro de texto se especifica sólo los paquetes que

coinciden con ese filtro de presentación será considerado en el cálculo de la

cantidad.

Statistics Conversation List

Al presionar este menú ítem se abrirá una nueva ventana que muestra una lista

de todas las conversaciones entre los dos extremos. La lista tiene una fila para

cada conversación única y muestra el número total de paquetes / bytes vistos, así

como el número de paquetes / bytes en cada dirección.

Page 54: Wireshark

Statistics Service Response Time

Al Seleccionar Statistics>Service Response Time donde se despliegan un

conjunto de opciones como:

AFP

CAMEL

DCE-RPC

GTP

H.225

RAS

LDAP

MEGACO

MGCP

NCP

ONC-RPC

RADIUS

SCSI

SMB

SMB2

Si se seleccionan alguna de las anteriores opciones se despliega el

siguiente diálogo:

Page 55: Wireshark

Statistics BOOTP- DHCP

Statistics Compare

Para hacer la comparación de dos archivos de captura hacer clic en

Statistics>Compare

Page 56: Wireshark

Statistics Flow Graph

Para obtener el gráfico de flujo: General / TCP seleccionar Statistics>Flow Graph

Statistics HTTP

Permite observar la distribución de carga HTTP, contador de paquetes y

solicitudes.

Page 57: Wireshark

Statistics IP Addresses

Permite obtener un Conteo / Precio / Porcentaje por dirección IP.

Statistics IP Destinations

Seleccionar Statistics> IP Destinations para obtener Conteo / Precio / Porcentaje

por dirección IP / protocolo / puerto.

Page 58: Wireshark

Statistics IP Protocol Types

Permite obtener conteo / Precio / Porcentaje por tipo de protocolo IP.

Statistics ONC-RPC Programs

Page 59: Wireshark

Este cuadro de diálogo se abrirá una ventana que muestra las estadísticas

agregadas RTT para todos los programas ONC-RPC / versiones que existen en el

archivo de captura.

ESCENARIO:

Para capturar las PDU (Unit Data Protocol), el computador donde está instalado el

Wireshark debe poseer una conexión activa a la red, del mismo modo Wireshark

debe estar en modo activo para que de esta manera se pueda realizar la captura

de cualquier dato.

Al momento de inicializar el Programa se muestra la siguiente pantalla:

Para empezar con la captura pertinente de los datos se procede por realizar los

siguientes pasos:

Primero ingresar a la Opción Capture, luego seleccionar Opciones.

Page 60: Wireshark

Luego de darle clic en Opciones aparecerá el siguiente diálogo:

Page 61: Wireshark

Este dialogo provee una serie de opciones las cuales determinan la manera como

se va a llevar a cabo la captura de los datos, por tal motivo se debe seleccionar el

adaptador de red con el que se cuenta. Generalmente, para un computador, es

por defecto el adaptador de Ethernet conectado:

Page 62: Wireshark

Luego se pueden configurar otras opciones adicionales las cuales determinan si la

captura de paquetes se realizará de modo promiscuo. Esto indica que si no está

activada esta característica se capturarán todas las PDU destinadas a este

computador. Si por el contrario esta característica esta activada se capturarán

todas las UDP destinadas a este computador y todas aquellas detectadas por la

NIC de el computador en el mismo segmento de RED, es decir, todas aquellas

direcciones que pasan por la NIC pero que necesariamente no tienen como

destino final este computador.

Page 63: Wireshark

RESOLUCIÓN DEL NOMBRE DE RED EN WIRESHARK:

Esta opción permite determinar si la herramienta controla o no las direcciones de

red encontradas al momento de realizar el chequeo de las PDU existentes en la

red. Esta una opción importante de considerar puesto que si se escoge podría

agregar más datos a las PDU lo que conlleva a que se podría distorsionar el

análisis a realizar.

Al momento de dar clic en el botón Start se muestra un dialogo, el cual permite

ver el proceso de captura de paquetes en un tiempo determinado:

Page 64: Wireshark

Al darle Stop carga las opciones que encontró al momento de realizar la consulta,

y muestra en la pantalla principal permite visualizar lo que encontró en ese

instante de tiempo.

Esta ventana principal posee tres paneles el primero (De arriba hacia abajo)

presenta una lista de paquetes, el segundo panel muestra el detalle de los

paquetes, y el tercer paquete muestra.

Page 65: Wireshark

En el primer panel (Lista de paquetes) muestra un resumen de cada paquete

encontrado. Si se realiza clic en este panel en los siguientes dos panel se va a

mostrar la información pertinente a este paquete.

En el segundo panel (Detalles del paquete) como su nombre lo indica, muestra en

detalle el paquete seleccionado en el primer panel. Este panel muestra el

protocolo y los campos del paquete se pueden expandir con un árbol que se

puede expandir.

En el tercer panel (Bytes del paquete) muestra los datos reales en formato

hexagésimal. Sirve para examinar los valores binarios y el contenido de cada uno

de los PDU.

Panel de lista de paquetes

Panel de detalles de paquete

Panel de Bytes de paquetes

Page 66: Wireshark

CAPÍTULO VIII

PRÁCTICAS

Page 67: Wireshark

TAREA 1: CAPTURA DE PDU MEDIANTE PING.

PASO 1: Hay que tener en cuenta que para poder llevar a cabo esta práctica se

debe estar completamente seguro que Wireshark debe estar en modo activo y

que se cuente con una conectividad activa a la red.

Después de estar seguro que la configuración mencionada anteriormente es la

correcta se debe proceder a llevar a cabo las configuraciones de captura que se

describen en las primeras hojas.

Desde la línea de comando ping en la dirección IP de otra red conectada

encienda el dispositivo final a utilizar en este laboratorio. En este , haga ping a la

última máquina de la red.

Después de recibir las respuestas exitosas al ping en la ventana de línea de

comandos, detenga la captura del paquete.

PASO 2:

El panel de lista de paquetes en Wireshark debe verse ahora parecido a este:

Observe los paquetes de la lista de arriba, selecciones tres de ellos y localice los

paquetes individuales en las lista de paquetes de su equipo, y realice su

respectivo análisis.

PASO 3: SELECCIONE (RESALTE) CON EL MOUSE EL PRIMER PAQUETE

DE SOLICITUD ECO DE LA LISTA.

En el detalle de paquetes de la lista se mostrará ahora algo parecido a este:

Page 68: Wireshark

Haga clic en cada uno de los cuatro en su respectivo “+” para expandir la

información.

El panel de detalles del paquete será algo parecido a:

Como se puede observar, los detalles de cada sección y protocolo se pueden

expandir más.

¿Cuáles son los protocolos que están en la trama de Ethernet?

Si selecciona una línea en el panel de detalles del paquete, toda o parte de la

información en el panel de Bytes del paquete también quedará resaltada.

Por ejemplo, si la segunda línea (+ Ethernet ||) está resaltada en el panel de

detalles, el panel de bytes resalta ahora los valores correspondientes:

En este caso muestra los respectivos valores binarios que representan la

información de la PDU.

Page 69: Wireshark

TAREA 2: CAPTURA DE FTP PDU

PASO 1: INICIE LA CAPTURA DE PAQUETES.

Considerando que Wireshark sigue su funcionamiento, desde los pasos

anteriores, inicie la captura de paquetes haciendo clic en la opción Iniciar en el

menú Captura de Wireshark.

Ingrese ftp (por lo general es la última maquina perteneciente a la red p.e

192.168.254.254) en la línea de comandos del equipo donde se ejecuta

wireshark.

Cuando se lleve a cabo la conexión, ingrese anónimo como usuario, sin ninguna

contraseña.

ID del usuario: anónimo.

Password: <Intro>

También se puede iniciar sesión con id de usuario cisco y contraseña cisco.

Una vez que inicio sesión con éxito, ingrese get/pub/eagle1/charpter1/gaim-

1.5.0.exe y presione la enter. Con esta operación comenzará la descarga del

archivo desde el servidor ftp. El resultado será parecido a este:

C:\Documents and Settings\ccna1>ftp eagle-server.example.com Connected to eagle-server.example.com. 220 Welcome to the eagle-server FTP service. User (eagle-server.example.com:(none)): anonymous 331 Please specify the password. Password:<ENTER> 230 Login successful. ftp> get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe 200 PORT command successful. Consider using PASV. 150 Opening BINARY mode data connection for pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe (6967072 bytes). 226 File send OK. ftp: 6967072 bytes received in 0.59Seconds 11729.08Kbytes/sec.

Una vez que la descarga del archive se haya completado, ingrese quit:

ftp> quit 221 Goodbye. C:\Documents and Settings\ccna1>

Una vez que los archives se hayan descargado exitosamente, detenga la captura

PDU en wireshark.

Page 70: Wireshark

PASO 2: Aumente el tamaño del panel de la lista de paquetes de Wireshark y

deplácese por la PDU que se encuentran en la lista.

Localice y tome nota de las PDU asociadas con la descarga del archivo. Estas

serán las PDU del protocolo de capa 4 y del protocolo FTP capa 7.

Identifique los tres grupos de PDU asociados con la transferencia del archivo.

Si realizó el paso de arriba, haga coincidir los paquetes de los mensajes y las

indicaciones en la ventana de la línea de comandos FTP.

El primer grupo está asociado con la frase “conexión” y el inicio de sesión con el

servidor.

Localice y haga una lista de ejmplos de mensajes intercambiados en la segunda

fase, que es el pedido de descarga real y la tranferencia de datos.

_________________________________________________________________

_______________________________________________________

_________________________

Page 71: Wireshark

CAPÍTULO IX

FUENTES DE INFORMACIÓN

Page 72: Wireshark

http://seguridadyredes.nireblog.com/post/2008/01/17/analisis-capturas-trafico-red-

interpretacian-datagrama-ip-parte-i

http://seguridadyredes.nireblog.com/post/2010/04/05/wireshark-captura-

conversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio Wireshark.

Captura Conversaciones VoIP. Protocolo SIP, SDP Y RTP. Extracción De Audio.

http://seguridadyredes.nireblog.com/post/2010/03/24/wireshark-tshark-

capturando-impresiones-en-red

Wireshark / Tshark. Capturando Impresiones En Red.

http://seguridadyredes.nireblog.com/post/2008/12/01/graficas-con-wireshark-ii-

parte-tcptrace

Gráficas Con Wireshark (II Parte). Tcptrace.

http://seguridadyredes.nireblog.com/post/2008/03/24/analisis-de-red-con-

wireshark-filtros-de-captura-y-visualizacian

Análisis De Red Con Wireshark. Filtros De Captura Y Visualización.

http://seguridadyredes.nireblog.com/post/2009/02/19/tshark-detectando-

problemas-en-la-red Tshark Detectando Problemas En La Red.

http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-

wireshark-interpretando-los-datos

Análisis De Red Con Wireshark. Interpretando Los Datos.