Wireshark oscar

1,353 views

Published on

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,353
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
62
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Wireshark oscar

  1. 1. Wireshart desde como instalarlo y utilizarlo<br />Oscar Martin Rey<br />
  2. 2. Que es Wireshark<br />Wireshark es una herramienta multiplataforma de análisis de red, producto de la evolución de ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDrump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.<br />Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a repasar muy superficialmente su uso para centrarnos después en como interpretar esos los capturados.<br />
  3. 3. Wireshark<br />Antes de nada, tras arrancar wireshark, el menú Capture > interfaces…. nos muestra la siguiente pantalla:<br />Solo tendremos que pulsar en Start para capturar a través de la interface que nos interese. Inmediatamente Wireshark comienza a capturar.<br />
  4. 4. Wireshark<br />El problema es que nos lo captura todo, todos los protocolos, etc.<br />Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma librería libpcap. <br />
  5. 5. Wireshark<br />Podemos filtrar a través de Capture filter o usar el campo correspondiente:<br />Capturamos los paquetes de segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros más avanzados, introducimos directamente el filtro de esta forma:<br />
  6. 6. Wireshark<br />icmp[0:1] == 08 (en windump es suficiente con un solo signo =)<br />Con lo que capturaríamos los icmp de tipo echo request.<br />O cualquiera de estos:<br />ip[9] == 1 <br />tcp dst port 110<br />http contains "http://www.forosdelweb.com" <br />frame contains "@miempresa.es"<br />
  7. 7. Wireshark<br />Con este último filtro capturamos todos los correos con origen y destino al dominio miempresa.es, incluyendo usuarios, pass, etc.<br />En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno más propio de Wireshark. En otra ocasión nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la interpretación de los datos.<br />
  8. 8. Wireshark<br />Tras una captura nos encontramos con esta salida:<br />Se establecen 3 zonas de datos:<br />
  9. 9. Wireshark<br />La primera es la zona de listado de los paquetes capturados con información del Numero de Frame, tiempo en segundos de la captura, Origen, Destino, protocolo involucrado y por último un campo de información extra que previamente Wireshark a decodificado.<br />
  10. 10. Wireshark<br />La segunda zona muestra los datos del Frame capturado. En este caso Frame 23 o captura 23 (la numera secuencialmente). nos da información de todos los protocolos involucrados en la captura:<br />
  11. 11. Wireshark<br />La tercera en campo Frame nos muestra información completa de la trama capturada. Tamaño total, etc. A continuación Ethernet II que nos muestra la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:<br />
  12. 12. Wireshark<br />0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00<br />Nos muestra parte de la cabecera de la trama Ethener II, en este caso:<br />Destino 6 bytes 00 04 75 ed 89 c3 : MAC destinoOrigen 6 bytes 00 14 22 5f a9 25 : MAC origenTipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este caso IP. 0x0800.<br />A continuación vemos Internet Protocol con los datos de la cabecera del datagrama IP:<br />0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de E.........o..~K.0010 c0 a8 01 1e <br />
  13. 13. Wireshark<br />Después no encontramos con Transmission Control Protocol. (TCP):<br />0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!....(..P...0010 f5 79 00 00 .y.. <br />Se trata del Segmento TCP. Protocolo involucrado en esta captura. <br />Como ya hemos visto, tenemos información del Puerto de origen, destino, número de secuencia, etc.<br />Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo Data del segmento TCP.<br />
  14. 14. Wireshark<br />

×