wireshark
DESCRIPTION
Tutorial de Wireshark diseñado en el año 2011 por un grupo de estudiantes de Ingeniería de Sistemas y ComputaciónTRANSCRIPT
MANUAL
SOFTWARE DE MONITOREO DE RED
Elaborado por:
Acero Pinilla Laura Constanza
Camacho Ávila Edier Edilson
Fuya Fuya Carlos Andrés
Navarro Julio Eliana
Rosas García Fredy Alejandro
CONTENIDO
I. Introducción
II. Objetivo
III. A quien va dirigido
IV. Requisitos del sistema
V. Instalación de Wireshark
VI. Características de Wireshark
VII. Primeros pasos
VIII. Prácticas de laboratorio
IX. Fuentes de información
CAPÍTULO I
INTRODUCCIÓN
I. INTRODUCCIÓN
La gestión de redes es un conjunto de modelos, herramientas y métodos,
enfocados a realizar actividades que permitan garantizar una alta
disponibilidad de los recursos con que se cuenta. Para lograrlo hay que
buscar herramientas software que permitan si no, estar un paso delante de
los delincuentes informáticos, por lo menos a la par. Una de ellas es
Wireshark, que permite llevar a cabo acciones de gestión de prestaciones y
gestión de fallos, mediante la recolección, almacenamiento y evaluación o
análisis de datos característicos de los elementos de una red y su
operación.
CAPÍTULO II
OBJETIVOS
II. OBJETIVOS.
Este manual se desarrolla con el fin de enseñar a los usuarios a manejar la
herramienta Wireshark mostrándoles las funciones de cada botón y dándoles la
posibilidad de desarrollar unas guías de laboratorio que facilitarán el manejo de la
misma.
CAPÍTULO III
DIRIGIDO A
III. DIRIGIDO A
Este manual va dirigido a:
Estudiantes que quieran aprender internamente cómo funciona una red.
Administradores que deseen resolver problemas en la red.
Ingenieros que quieran examinar problemas de seguridad.
CAPÍTULO IV REQUISITOS DEL
SISTEMA
IV. REQUERIMIENTOS DEL SISTEMA
Para poder utilizar Winshark es necesario contar con las librerías de
wincap, aunque el programa durante la instalación las instala si detecta
que no se encuentran instaladas.
El programa es multiplataforma, hay distribución para Windows, GNU/Linux
y Mac.
CAPÍTULO V
INSTALACIÓN DE WIRESHARK
V. WIRESHARK INSTALACIÓN
Lo primero que necesita es descargar el programa, se recomienda que sea del
sitio web oficial. http://www.wireshark.org/download.html
Luego se procede a realizar la instalación de la aplicación.
Al ejecutar el archivo .exe nos aparece la siguiente ventana y debemos presionar
el botón siguiente.
La siguientes ventana del instalador, permite seleccionar los componentes a ser
instalados, dónde Wireshark es el analizador de protocolos con interfaz gráfica,
TShark se refiere a la consola del analizador de protocolos, Pluins / Extensions
permite seleccionar los plugins con que trabajará, si se seleccionan todos se
aumenta la capacidad de operación de la aplicación. Tools ofrece Editcap, para
leer y capturar archivos, Text2Pcap, convierte un archivo ASCII en formato
libpcap, Mergecap, combina dos o más archivos de paquetes capturados en un
único archivo, Capinfos, es un programa que proporciona información de los
paquetes capturados y Rawsahrk es un programa para filtrar los paquetes brutos
(completos).
Luego seleccionamos las tareas adicionales que queramos instalar: en dónde
deseamos crear un acceso directo de la aplicación y realizar la asociación de las
extensiones de los archivos. Procedemos a presionar el botón siguiente.
Seleccionamos la carpeta en la que queremos instalar la aplicación. En esta
ventana nos muestran cuánto espacio libre necesita Wireshark para poder ser
instalado y cuál es el espacio disponible en el equipo.
Como se comentaba inicialmente la aplicación pide la instalación de WinCap (en
caso que no se encuentre instalado en el equipo). Este hace referencia a la
versión para Windows de la biblioteca libpcap. Más información en
http://wiki.wireshark.org/WinPcap
Wireshark utiliza esta biblioteca para capturar datos en tiempo real de la
red en Windows.
El
programa procede a instalarse, pero a la vez nos muestra la ventana de
instalación de WinCap.
Finalizar la instalación de WinPCam, seleccionando “next”, hasta finalizar y de
igual manera con Wireshark. Listo ahora se puede empezar a utilizar la
herramienta.
CAPÍTULO VI
CARACTERÍSTICAS DE WIRESHARK
VI. CARACTERISTICAS
Esta aplicación es un analizador de protocoles de red, es de código abierto, tipo
sniffer, este es un tipo de software que permite detectar e interceptar tramas de
una red, de acuerdo con unos parámetros de búsqueda.
Permite capturar, desplegar y filtrar paquetes para este caso, de una red de
Windows, sin embargo está disponible también para GNU/Linux, Unix y MAC.
Su principal objetivo es el análisis de tráfico, permite obtener soluciones rápidas
para una red.
A pesar que no es un IDS (Intrusion Detection System), Sistema de Detección de
Intrusos o un IPS (Intrusion Prevention System), Sistema de Prevención de
Intrusos, aplicaciones que permiten identificar y evitar accesos no autorizados a
un computador o a una red, sí es un sniffer como ellos y ofrece ventajas respecto
de estos sistemas, como la agilidad para el monitoreo y auditoría extensa en una
red, es decir que es eficiente.
CAPÍTULO VII
PRIMEROS PASOS
VII. PRIMEROS PASOS
Al ejecutar el icono de la aplicación esta empieza a cargar la información
mostrando la siguiente ventana. En la cual se puede apreciar un porcentaje de
carga.
INTERFAZ PRINCIPAL
La aplicación WireShark comprende una serie de funciones, las cuales podemos
visualizar en la siguiente figura.
Para realizar el estudio de cada una de las herramientas de WireShark se dividirá
en secciones, que permitirán un análisis más profundo de las posibles actividades
que se pueden desarrollar con dicho software.
COMPONENTES DE LA BARRA DE MENÚ
La siguiente imagen muestra los diferentes menú-ítems que conforman la barra
de menú.
File
Dentro del menú File encontramos las siguientes funciones:
File:Open
Le permite al usuario abrir un archive de trabajo existente.
File:Open Recent
Permite al usuario abrir un archivo trabajado recientemente.
File:Merge Permite combinar un archivo de captura con el que se encuentra cargado en la
aplicación.
Si se presiona la opción “merge” antes de guardar un archivo de captura la
aplicación nos muestra el siguiente mensaje de error.
File:Close
Permite cerrar un archivo de captura.
File:Save
La opción Save permite al usuario guardar la captura actual o los paquetes que se
muestran en un archivo.
File:Save As
Además de guardar una captura, el usuario puede seleccionar si desea guardar
todos los paquetes o simplemente aquellos que han sido filtrados y/o los que
están marcados. Además hay un menú que permite seleccionar de una lista de
formatos de archivo el formato que desea guardarlo.
File: File set List Files.
Muestra un diálogo con toda la información del archivo que se encuentra cargado
actualmente. Datos como el nombre, fecha de creación y modificación, tamaño y
ubicación del archivo.
File: File set Next File.
File: File set Previous File.
Si el archivo cargado actualmente forma parte de un conjunto de archivos, el usuario puede abrir el archivo siguiente o anterior al tiempo con el actual.
File:Export
Permite exportar los datos capturados en un formato externo. Nota: los datos no
se pueden importar de nuevo en Wireshark, así que asegúrese de mantener el
archivo de captura.
File:Print
Permite imprimir un archivo de captura.
File:Quit
Permite al usuario cerrar la aplicación.
Edit
En el menu Edit el usuario encontrará los menú ítems que se muestran en la
siguiente gráfica:
Edit: Copy
En el menu item Copy encontramos:
Edit Copy Description
Field name
Field Value
Permite al usuario copiar bien sea la descripción, el nombre o valor que se
encuentra en la celda seleccionada al portapapeles. Según la elección del
usuario.
Edit: Find Packet
Este ítem permite al usuario buscar un paquete específico mediante unos
parámetros que el mismo asigna.
Se tienen también los ítems Find Next y Find Previous que muestran el siguiente
diálogo. El primero permite buscar un paquete desde uno seleccionado hacia
adelante y el segundo viceversa.
Edit: Mark Packet (toggle)
Al presionar el menú ítem Mark Packet se selecciona o deselecciona en caso de
que se encuentre marcado el paquete seleccionado.
Los paquetes que se encuentran sombreados con negro son los que han sido
seleccionados.
Edit: Find Next Mark
Edit: Find Previous Mark
Tanto la función Find Next Mark como Find Previous Mark permiten al usuario
desplazarse por los paquetes seleccionados bien sea hacia adelante o atrás
según lo desee el usuario.
Edit Mark All Packets
Unmark All Packets
Estas funciones le permiten al usuario seleccionar/deseleccionar todos los
paquetes.
Edit: Time Reference Set Time Reference (toggle)
Permite tomar el paquete seleccionado como un paquete de referencia de
tiempo. Cuando un paquete se establece como un paquete de referencia de
tiempo, las marcas de hora en la lista de paquetes será reemplazado con la
cadena "* * REF".
Al seleccionar este menú ítem la herramienta nos muestra el siguiente diálogo, en
el cual se puede visualizar el estado, tiempo y progreso del proceso.
Edit: Configuration Profiles
Permite al usuario administrar perfiles de configuración para poder utilizar más
de un conjunto de preferencias y configuraciones.
Al seleccionar esta opción el sistema muestra al usuario la siguiente ventana.
Edit: Preferences
Permite al usuario configurar la parte gráfica de la herramienta, la forma de
captura, impresión y opciones de protocolo.
VIEW
El menú View se encuentra compuesto por los menú ítems que se observan en la
Figura. Los cuales explicaremos a continuación.
Los ítems que se encuentran resaltados al ser seleccionados por el usuario,
permiten mostrar u ocultar las respectivas barras. Por lo tanto les mostraremos
que barra corresponde a cada ítems para fácil manejo del usuario.
View Main Toolbar
Filter Toolbar
Wireless Toolbar
Statusbar
Packet List
Permite a los usuarios observar la lista de paquetes.
Packet Details
Permite al usuario visualizar los detalles de un paquete seleccionado.
Packet Bytes
Time Display Format
Permite al usuario seleccionar un formato de tiempo dentro de diferentes
opciones. Ajusta el formato de la fecha y hora de paquetes que aparecen en la
ventana de lista de paquetes.
View Name Resolution Resolve Name
Permite al usuario tratar de resolver un nombre para el elemento seleccionado.
Colorize Packet List
Activar o desactivar las reglas para colorear. Al deshabilitar esta opción mejorará
el rendimiento.
Fig. Muestra activado el Colorize Packet List
Fig. Muestra desactivado el Colorize Packet List
Auto Scroll in Live Capture
Al seleccionar esta opción la lista de paquetes se desplaza automáticamente
mostrando al usuario los últimos en la lista.
Zoom (In, Out, normal)
Le permite al usuario jugar con el tamaño de letra de la lista de paquetes,
permitiéndole además restablecer los valores al tamaño normal.
Resize All Columns
Restablece el tamaño de las columnas para adaptarse mejor al paquete actual,
mientras realiza el proceso muestra el siguiente diálogo.
Expand Subtrees
Permite al usuario observar la información que contiene un árbol, mediante el
despliegue del mismo.
Árbol ampliado Información que contiene
Expand/Collapse All Expandir o contraer todas las ramas de los detalles del paquete.
Colorize Conversation
Permite al usuario seleccionar el color para una conversación.
Reset Coloring 1-10
Resetea los colores de las conversaciones.
Coloring Ruling
Show packet in new window
Le muestra al usuario los paquetes en otra ventana diferente a la principal de la
aplicación.
Nueva ventana Ventana principal
Reload
Permite al usuario actualizar un archivo de captura.
Go
El menu Go le permite al usuario desplazarse por los paquetes: retrocediendo,
yendo al siguiente, a un paquete específico, al siguiente o anterior paquete
específico, al primero o el último según lo desee.
CAPTURE
En el menú Capture se encuentran los siguientes menú ítems:
WireShark cuenta con dos maneras para iniciar la captura de los paquetes:
1. Haciendo doble clic en que se encuentra en la ventana principal de la aplicación, se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes.
Tres botones se visualizan por cada interfaz
Start, para iniciar Options, para configurar Details, proporciona información adicional de la interfaz como su
descripción, estadísticas, etc.
Capture Interfaces…
2. Otra opción es seleccionar del menú Capture>Interfaces
Capture Options
Cuando el usuario presiona este menú ítems se despliega la siguiente ventana donde se muestra opciones de configuración para la interfaz para especificar el nombre de archivo, de lo contario un archivo temporal se creará para celebrar la captura. La ubicación del archivo puede ser elegido mediante el ajuste de la variable de entorno TMPDIR antes de comenzar Wireshark. De lo contrario, la ubicación predeterminada TMPDIR es dependiente del sistema, pero es probable que sea / var / tmp o / tmp.
Capture Start
Al presionar Start. Wireshark iniciará la captura de paquetes en directo con las
opciones previamente seleccionadas. Mientras esto sucede, accede a algunos
sitios web de su preferencia. Es necesario hacer esto para generar tráfico a través
de la interfaz de red y, por tanto, permitir que Wireshark pueda capturar las
frames Ethernet correspondientes.
Capture Stop
Al presionar Stop se detiene la captura en ejecución en vivo. La ventana principal
de Wireshark aparece ahora dividida en 3 secciones. La sección superior es un
listado de las frames, en el mismo orden cronológico en que fueron capturados.
También
Capture Restart
Permite al usuario reiniciar la captura, esto puede ser conveniente para eliminar
paquetes que no son valiosos en la captura.
Capture Display Filters
Para guardar o abrir un filtro existente (previamente creado y guardado) se debe
seleccionar Analyze>Display Filter en el menú o Capture>Capture Filter.
Para definir un filtro se debe presionar el botón se indica el nombre del filtro
y la expresión y presionar para salvar los cambios.
Para crear accesos directos para los macros complejos se debe seleccionar
ANALIZE
Analyze Display filters
Permite al usuario crear un filtro basado en los datos actualmente destaca en los
detalles del paquete y aplicar el filtro.
Analyze Apply As Filter
La opción Analyze>Apply as Filter crea un filtro que las pruebas para un partido
de los datos, la opción no seleccionada crea un filtro que las pruebas para un no-
partido de los datos. Y el seleccionado o seleccionada, y no seleccionado, y O no
seleccionado las opciones de añadir al final de la pantalla de filtro en la franja en
la parte superior (o inferior), el operador AND y OR seguido de la expresión
pantalla filtro nuevo.
Analyze Prepare a Filter crear un filtro basado en los datos actualmente
destacan en los detalles del paquete. La tira de filtro en la parte superior (o
inferior) se actualiza, pero no se aplica todavía.
Analyze Enabled Protocols
Le permite al usuario estudiar qué protocolo específico está activado o
desactivado o poder activar o desactivar algún protocolo se hace clic en
Analyze>Enabled Protocols y seleccionar que la lista completa sea activada o
desactivada, o invertida utilizando los botones que se encuentran debajo de la
lista.
Cuando un protocolo está deshabilitado, la disección de un paquete en particular
se detiene cuando se alcanza ese protocolo, y Wireshark pasa al siguiente
paquete. Los protocolos de capas superiores que de otra manera se han
procesado no se mostrará. Por ejemplo, deshabilitar TCP evitar la disección y
exposición de TCP, HTTP, SMTP, Telnet, y cualquier otro protocolo depende
exclusivamente de TCP.
AnalyzeDecode As
Si usted tiene un paquete seleccionado del panel de lista de paquetes podrá
cambiar los sectores divididos que se utilizan para descifrar este paquete
seleccionando Analyze>Decode As donde se despliega un diálogo que tiene un
panel para la capa de enlace, capa de red y el protocolo de capa de transporte /
números de puerto, y permitirá a cada uno de estos para cambiar de forma
independiente. Por ejemplo, si el paquete seleccionado es un paquete TCP al
puerto 12345, mediante este diálogo puede indicar a Wireshark para decodificar
todos los paquetes hacia o desde ese puerto TCP como paquetes HTTP.
Analyze User Specified Decodes
Crear una nueva ventana que muestra si un identificador de protocolo fue
cambiado por el usuario para las asignaciones de disector se selecciona
Analyze>User Specified Decodes… Esta ventana también permite al usuario
restablecer todos los decodifica a sus valores predeterminados.
Analyze Follow TCP Stream
Si usted tiene un paquete TCP, UDP o SSL seleccionado y desea mostrar el
contenido de la secuencia de datos para la conexión TCP a la que pertenece ese
paquete como texto en una ventana separada, y dejar la lista de paquetes en un
estado de filtrado, con sólo los paquetes que se parte de esa conexión TCP que
se muestra puede seleccionar Analyze>Follow TCP Stream. Puede volver a su
antigua visión presionando ENTER en el cuadro de visualización de texto del filtro,
con lo que la invocación de la pantalla del filtro viejo (o reiniciarlo de nuevo a la
pantalla sin filtro).
La ventana en la que se muestra la secuencia de datos le permite seleccionar:
• si se muestra toda la conversación, o uno o el otro lado de la misma;
• si los datos que se muestra debe ser tratada como texto ASCII o EBCDIC o
como datos hexadecimales en bruto;
y le permite imprimir lo que se muestra actualmente, con las mismas opciones de
impresión que se utilizan para el Archivo: Imprimir del menú de paquetes, o
guardarlo como texto en un archivo
Para saber la Información de Expertos seleccionar Analyze>Expert Info
Expertos compuestos de información hacer clic en Analyze>Expert Info
Composite donde muestra un registro de las anomalías encontradas por
Wireshark en un archivo de captura.
Para ver la Conversación filtro seleccionar Analyze>Conversation Filter donde hay
dos opciones PN-IO AR y PN-IO AR (with data)
Statistics
Permite al usuario mostrar información resumida acerca de la captura, incluyendo
el tiempo transcurrido, la cantidad de paquetes, los recuentos de bytes y otros.
Statistics Summary
Si un filtro es en efecto la información de resumen se muestran sobre la captura y
sobre los paquetes que se muestra actualmente.
Statistics Protocolo Hierarchy
En este se organizan los protocolos en la misma jerarquía en el que se
encuentran en la traza.
Statistics Conversations
Permite al usuario ver las listas de las conversaciones seleccionable por el
protocolo.
Statistics Endpoints
Este menú ítem le muestra al usuario la lista de direcciones de Punto Final por el
protocolo de paquetes / bytes /.... con lasque cuenta.
Statistics Packet Lengths
Permite al usuario agrupar cargos de longitud de paquete (0 a 19 bytes, los bytes
de 20 a 39).
Statistics IO Graphs
Al seleccionar este menú ítem se abre una ventana donde hasta 5 gráficos en
colores diferentes se pueden mostrar para indicar el número de paquetes o el
número de bytes por segundo para todos los paquetes que coincidan con el filtro
especificado. Por defecto sólo un gráfico que se mostrará con indicación del
número de paquetes por segundo.
Debajo del área de dibujo y barra de desplazamiento se encuentran los
controles. En la parte inferior izquierda habrá cinco conjuntos similares de los
controles para controlar cada gráfico individual, como "Pantalla: <button>" qué
botón se activará ese gráfico individuales de encendido / apagado. Si <button>
está marcada, el gráfico se mostrará. "Color: <color>", que es sólo un botón para
mostrar el resultado en el color que se utiliza para dibujar ese gráfico (color sólo
está disponible en la versión Gtk2) y por último "filtro: <filter-text>" que se puede
utilizar para especificar un pantalla de filtro para que el gráfico en particular.
Si el filtro de texto está vacío, todos los paquetes se utilizará para calcular la
cantidad de ese gráfico. Si el filtro de texto se especifica sólo los paquetes que
coinciden con ese filtro de presentación será considerado en el cálculo de la
cantidad.
Statistics Conversation List
Al presionar este menú ítem se abrirá una nueva ventana que muestra una lista
de todas las conversaciones entre los dos extremos. La lista tiene una fila para
cada conversación única y muestra el número total de paquetes / bytes vistos, así
como el número de paquetes / bytes en cada dirección.
Statistics Service Response Time
Al Seleccionar Statistics>Service Response Time donde se despliegan un
conjunto de opciones como:
AFP
CAMEL
DCE-RPC
GTP
H.225
RAS
LDAP
MEGACO
MGCP
NCP
ONC-RPC
RADIUS
SCSI
SMB
SMB2
Si se seleccionan alguna de las anteriores opciones se despliega el
siguiente diálogo:
Statistics BOOTP- DHCP
Statistics Compare
Para hacer la comparación de dos archivos de captura hacer clic en
Statistics>Compare
Statistics Flow Graph
Para obtener el gráfico de flujo: General / TCP seleccionar Statistics>Flow Graph
Statistics HTTP
Permite observar la distribución de carga HTTP, contador de paquetes y
solicitudes.
Statistics IP Addresses
Permite obtener un Conteo / Precio / Porcentaje por dirección IP.
Statistics IP Destinations
Seleccionar Statistics> IP Destinations para obtener Conteo / Precio / Porcentaje
por dirección IP / protocolo / puerto.
Statistics IP Protocol Types
Permite obtener conteo / Precio / Porcentaje por tipo de protocolo IP.
Statistics ONC-RPC Programs
Este cuadro de diálogo se abrirá una ventana que muestra las estadísticas
agregadas RTT para todos los programas ONC-RPC / versiones que existen en el
archivo de captura.
ESCENARIO:
Para capturar las PDU (Unit Data Protocol), el computador donde está instalado el
Wireshark debe poseer una conexión activa a la red, del mismo modo Wireshark
debe estar en modo activo para que de esta manera se pueda realizar la captura
de cualquier dato.
Al momento de inicializar el Programa se muestra la siguiente pantalla:
Para empezar con la captura pertinente de los datos se procede por realizar los
siguientes pasos:
Primero ingresar a la Opción Capture, luego seleccionar Opciones.
Luego de darle clic en Opciones aparecerá el siguiente diálogo:
Este dialogo provee una serie de opciones las cuales determinan la manera como
se va a llevar a cabo la captura de los datos, por tal motivo se debe seleccionar el
adaptador de red con el que se cuenta. Generalmente, para un computador, es
por defecto el adaptador de Ethernet conectado:
Luego se pueden configurar otras opciones adicionales las cuales determinan si la
captura de paquetes se realizará de modo promiscuo. Esto indica que si no está
activada esta característica se capturarán todas las PDU destinadas a este
computador. Si por el contrario esta característica esta activada se capturarán
todas las UDP destinadas a este computador y todas aquellas detectadas por la
NIC de el computador en el mismo segmento de RED, es decir, todas aquellas
direcciones que pasan por la NIC pero que necesariamente no tienen como
destino final este computador.
RESOLUCIÓN DEL NOMBRE DE RED EN WIRESHARK:
Esta opción permite determinar si la herramienta controla o no las direcciones de
red encontradas al momento de realizar el chequeo de las PDU existentes en la
red. Esta una opción importante de considerar puesto que si se escoge podría
agregar más datos a las PDU lo que conlleva a que se podría distorsionar el
análisis a realizar.
Al momento de dar clic en el botón Start se muestra un dialogo, el cual permite
ver el proceso de captura de paquetes en un tiempo determinado:
Al darle Stop carga las opciones que encontró al momento de realizar la consulta,
y muestra en la pantalla principal permite visualizar lo que encontró en ese
instante de tiempo.
Esta ventana principal posee tres paneles el primero (De arriba hacia abajo)
presenta una lista de paquetes, el segundo panel muestra el detalle de los
paquetes, y el tercer paquete muestra.
En el primer panel (Lista de paquetes) muestra un resumen de cada paquete
encontrado. Si se realiza clic en este panel en los siguientes dos panel se va a
mostrar la información pertinente a este paquete.
En el segundo panel (Detalles del paquete) como su nombre lo indica, muestra en
detalle el paquete seleccionado en el primer panel. Este panel muestra el
protocolo y los campos del paquete se pueden expandir con un árbol que se
puede expandir.
En el tercer panel (Bytes del paquete) muestra los datos reales en formato
hexagésimal. Sirve para examinar los valores binarios y el contenido de cada uno
de los PDU.
Panel de lista de paquetes
Panel de detalles de paquete
Panel de Bytes de paquetes
CAPÍTULO VIII
PRÁCTICAS
TAREA 1: CAPTURA DE PDU MEDIANTE PING.
PASO 1: Hay que tener en cuenta que para poder llevar a cabo esta práctica se
debe estar completamente seguro que Wireshark debe estar en modo activo y
que se cuente con una conectividad activa a la red.
Después de estar seguro que la configuración mencionada anteriormente es la
correcta se debe proceder a llevar a cabo las configuraciones de captura que se
describen en las primeras hojas.
Desde la línea de comando ping en la dirección IP de otra red conectada
encienda el dispositivo final a utilizar en este laboratorio. En este , haga ping a la
última máquina de la red.
Después de recibir las respuestas exitosas al ping en la ventana de línea de
comandos, detenga la captura del paquete.
PASO 2:
El panel de lista de paquetes en Wireshark debe verse ahora parecido a este:
Observe los paquetes de la lista de arriba, selecciones tres de ellos y localice los
paquetes individuales en las lista de paquetes de su equipo, y realice su
respectivo análisis.
PASO 3: SELECCIONE (RESALTE) CON EL MOUSE EL PRIMER PAQUETE
DE SOLICITUD ECO DE LA LISTA.
En el detalle de paquetes de la lista se mostrará ahora algo parecido a este:
Haga clic en cada uno de los cuatro en su respectivo “+” para expandir la
información.
El panel de detalles del paquete será algo parecido a:
Como se puede observar, los detalles de cada sección y protocolo se pueden
expandir más.
¿Cuáles son los protocolos que están en la trama de Ethernet?
Si selecciona una línea en el panel de detalles del paquete, toda o parte de la
información en el panel de Bytes del paquete también quedará resaltada.
Por ejemplo, si la segunda línea (+ Ethernet ||) está resaltada en el panel de
detalles, el panel de bytes resalta ahora los valores correspondientes:
En este caso muestra los respectivos valores binarios que representan la
información de la PDU.
TAREA 2: CAPTURA DE FTP PDU
PASO 1: INICIE LA CAPTURA DE PAQUETES.
Considerando que Wireshark sigue su funcionamiento, desde los pasos
anteriores, inicie la captura de paquetes haciendo clic en la opción Iniciar en el
menú Captura de Wireshark.
Ingrese ftp (por lo general es la última maquina perteneciente a la red p.e
192.168.254.254) en la línea de comandos del equipo donde se ejecuta
wireshark.
Cuando se lleve a cabo la conexión, ingrese anónimo como usuario, sin ninguna
contraseña.
ID del usuario: anónimo.
Password: <Intro>
También se puede iniciar sesión con id de usuario cisco y contraseña cisco.
Una vez que inicio sesión con éxito, ingrese get/pub/eagle1/charpter1/gaim-
1.5.0.exe y presione la enter. Con esta operación comenzará la descarga del
archivo desde el servidor ftp. El resultado será parecido a este:
C:\Documents and Settings\ccna1>ftp eagle-server.example.com Connected to eagle-server.example.com. 220 Welcome to the eagle-server FTP service. User (eagle-server.example.com:(none)): anonymous 331 Please specify the password. Password:<ENTER> 230 Login successful. ftp> get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe 200 PORT command successful. Consider using PASV. 150 Opening BINARY mode data connection for pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe (6967072 bytes). 226 File send OK. ftp: 6967072 bytes received in 0.59Seconds 11729.08Kbytes/sec.
Una vez que la descarga del archive se haya completado, ingrese quit:
ftp> quit 221 Goodbye. C:\Documents and Settings\ccna1>
Una vez que los archives se hayan descargado exitosamente, detenga la captura
PDU en wireshark.
PASO 2: Aumente el tamaño del panel de la lista de paquetes de Wireshark y
deplácese por la PDU que se encuentran en la lista.
Localice y tome nota de las PDU asociadas con la descarga del archivo. Estas
serán las PDU del protocolo de capa 4 y del protocolo FTP capa 7.
Identifique los tres grupos de PDU asociados con la transferencia del archivo.
Si realizó el paso de arriba, haga coincidir los paquetes de los mensajes y las
indicaciones en la ventana de la línea de comandos FTP.
El primer grupo está asociado con la frase “conexión” y el inicio de sesión con el
servidor.
Localice y haga una lista de ejmplos de mensajes intercambiados en la segunda
fase, que es el pedido de descarga real y la tranferencia de datos.
_________________________________________________________________
_______________________________________________________
_________________________
CAPÍTULO IX
FUENTES DE INFORMACIÓN
http://seguridadyredes.nireblog.com/post/2008/01/17/analisis-capturas-trafico-red-
interpretacian-datagrama-ip-parte-i
http://seguridadyredes.nireblog.com/post/2010/04/05/wireshark-captura-
conversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio Wireshark.
Captura Conversaciones VoIP. Protocolo SIP, SDP Y RTP. Extracción De Audio.
http://seguridadyredes.nireblog.com/post/2010/03/24/wireshark-tshark-
capturando-impresiones-en-red
Wireshark / Tshark. Capturando Impresiones En Red.
http://seguridadyredes.nireblog.com/post/2008/12/01/graficas-con-wireshark-ii-
parte-tcptrace
Gráficas Con Wireshark (II Parte). Tcptrace.
http://seguridadyredes.nireblog.com/post/2008/03/24/analisis-de-red-con-
wireshark-filtros-de-captura-y-visualizacian
Análisis De Red Con Wireshark. Filtros De Captura Y Visualización.
http://seguridadyredes.nireblog.com/post/2009/02/19/tshark-detectando-
problemas-en-la-red Tshark Detectando Problemas En La Red.
http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-
wireshark-interpretando-los-datos
Análisis De Red Con Wireshark. Interpretando Los Datos.