Wireshack

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 9

Uso

de Wireshark™ para ver las unidades de datos del protocolo (PDU)

Objetivos de aprendizaje
• Poder explicar el propósito de un analizador de protocolos (Wireshark).
• Poder realizar capturas básicas de la unidad de datos del protocolo (PDU) mediante el uso de Wireshark.
• Poder realizar un análisis básico de la PDU en un tráfico de datos de red simple.
• Experimentar con las características y opciones de Wireshark, como captura de PDU y visualización de
filtrado.

Información básica
Wireshark es un analizador de protocolos de software o una aplicación “husmeador de paquetes” que se
utiliza para el diagnóstico de fallas de red, verificación, desarrollo de protocolo y software y educación.
Antes de junio de 2006, Wireshark se conocía como Ethereal.

Un sniffer de paquetes (también conocido como un analizador de red o analizador de protocolos) es un


software informático que puede interceptar y registrar tráfico de datos pasando sobre una red de datos. Mientras el
flujo de datos va y viene en la red, el husmeador “captura” cada unidad de datos del protocolo (PDU) y puede
decodificar y analizar su contenido de acuerdo a la RFC correcta u otras especificaciones.

Wireshark está programado para reconocer la estructura de los diferentes protocolos de red. Esto le permite
mostrar la encapsulación y los campos individuales de una PDU e interpretar su significado.

Es una herramienta útil para cualquiera que trabaje con redes y se puede utilizar para el análisis de datos y el
diagnóstico de fallas.

Para obtener más información y para descargar el programa visite: http://www.Wireshark.org

Escenario
Para capturar las PDU, la computadora donde está instalado Wireshark debe tener una conexión activa a la
A
red y Wireshark debe estar activo antes de que se pueda capturar cualquier dato.

Cuando se inicia Wireshark, se muestra la siguiente pantalla:

Para empezar con la captura de datos es necesario ir al menú Captura y seleccionar Interfaces.

Wireshark Página 1
Podemos ir a Opciones. El cuadro de diálogo Opciones provee una serie de configuraciones y filtros que
determinan el tipo y la cantidad de tráfico de datos que se captura (en la siguiente imagen se puede ver un filtro que
captura tráfico ARP, DNS, ping y FTP).

Primero, es necesario asegurarse de que Wireshark está configurado para monitorear la interfaz correcta.
Luego hay que pulsar el botón start del adaptador de red que quieres. Generalmente, para una computadora, será el
adaptador Ethernet conectado.

Luego se pueden configurar otras opciones. Entre las que están disponibles en Opciones de captura,
merecen examinarse las siguientes opciones resaltadas.

Configurar Wireshark para capturar paquetes en un modo promiscuo. (promiscuous


mode)
Si esta característica NO está verificada, sólo se capturarán las PDU destinadas a esta computadora.

Si esta característica está verificada, se capturarán todas las PDU destinadas a esta computadora y todas
aquellas detectadas por la NIC de la computadora en el mismo segmento de red (es decir, aquellas que “pasan por”
la NIC pero que no están destinadas para la computadora).

Wireshark Página 2
Nota: La captura de las otras PDU depende del dispositivo intermediario que conecta las computadoras del
dispositivo final en esta red. Si utiliza diferentes dispositivos intermediarios (hubs, switches, routers).

Configurar Wireshark para la resolución del nombre de red (network name resolution)
Esta opción le permite controlar si Wireshark traduce a nombres las direcciones de red encontradas en las
PDU. A pesar de que esta es una característica útil, el proceso de resolución del nombre puede agregar más PDU a
sus datos capturados, que podrían distorsionar el análisis.

También hay otras configuraciones de proceso y filtrado de captura disponibles.

Haga clic en el botón Iniciar para comenzar el proceso de captura de datos y empiezan a salir los datos en la
aplicación.

Lista de paquetes

Detalles del paquete

Bits del paquete

La ventana de visualización principal de Wireshark tiene tres paneles.


• El panel de Lista de PDU (o Paquete) ubicado en la parte superior del diagrama muestra un resumen de cada
paquete capturado. Si hace clic en los paquetes de este panel, controla lo que se muestra en los otros dos
paneles.
• El panel de detalles de PDU (o Paquete) ubicado en el medio del diagrama, muestra más detalladamente el
paquete seleccionado en el panel de Lista del paquete.
• El panel de bytes de PDU (o paquete) ubicado en la parte inferior del diagrama, muestra los datos reales (en
números hexadecimales que representan el binario real) del paquete seleccionado en el panel de Lista del
paquete y resalta el campo seleccionado en el panel de Detalles del paquete.

Cada línea en la Lista del paquete corresponde a una PDU o paquete de los datos capturados. Si seleccionó
una línea en este panel, se mostrarán más detalles en los paneles “Detalles del paquete” y “Bytes del paquete”. El
ejemplo de arriba muestra las PDU capturadas cuando se utilizó la utilidad ping y cuando se accedió a
http://www.google.com

El panel Detalles del paquete muestra al paquete actual (seleccionado en el panel “Lista de paquetes”) de
manera más detallada. Este panel muestra los protocolos y los campos de protocolo de los paquetes seleccionados.

Los protocolos y los campos del paquete se muestran con un árbol que se puede expandir y colapsar.

El panel Bytes del paquete muestra los datos del paquete actual (seleccionado en el panel “Lista de
paquetes”) en lo que se conoce como estilo “hexdump”. En esta práctica de laboratorio no se examinará en detalle
este panel. Sin embargo, cuando se requiere un análisis más profundo, esta información que se muestra es útil para
examinar los valores binarios y el contenido de las PDU.
Wireshark Página 3
La información capturada para las PDU de datos se puede guardar en un archivo. Ese archivo se puede abrir
en Wireshark para un futuro análisis sin la necesidad de volver a capturar el mismo tráfico de datos.

La información que se muestra cuando se abre un archivo de captura es la misma de la captura original.

Cuando se sale del Wireshark o cuando se quiere hacer una nueva captura se le pide que guarde las PDU
capturadas.

Si hace clic en Continuar sin guardar (Quit without saving) se cierra el archivo o se sale de Wireshark sin
guardar los datos capturados que se muestran.

Wireshark Página 4
Tarea 1: Captura de PDU mediante ping

Paso 1: Inicia Wireshark en el equipo.


Configura las opciones de captura como se describe arriba en la descripción general e inicia el proceso de
captura.

Desde la línea de comando del equipo, haz ping a www.google.es.

Después de recibir las respuestas exitosas al ping en la ventana de línea de comandos, deten la
captura del paquete.

Paso 2: Examine el panel Lista de paquetes.


El panel Lista de paquetes en Wireshark debe verse ahora parecido a éste:

Observa los paquetes de la lista de arriba. Interesan los números de paquetes 7, 8, 9, 10, 12, 13, 14 y 15.
Localiza los paquetes equivalentes en la lista de paquetes de su equipo.

Realiza o responde las siguientes acciones:


A. Como has realizado el Paso 1 de arriba, pega aquí un pantallazo de ese paso y enumera los 8
números de los paquetes del ping:
B. ¿Qué protocolo se utiliza por ping?
C. ¿Cuál es el nombre completo del protocolo?
D. ¿Cuáles son los nombres de los dos mensajes ping?¿Qué significa cada uno?
E. ¿Cuáles son las direcciones IP de origen y destino que se encuentran en la lista? (Google responde a
varias direcciones IP luego puede que no coincida con la de la imagen)

Paso 3: Selecciona (resalta) con el ratón el primer paquete de solicitud de eco (ping) en
la lista.
El panel de Detalles del paquete mostrará ahora algo parecido a:

Haga clic en cada uno de los cuatro “+” para expandir la información.
Wireshark Página 5
El panel de Detalles del paquete será ahora algo parecido a:

Como puedes ver, los detalles de cada sección y protocolo se pueden expandir más. Lee con detalle esta
información. En esta etapa del curso, puede ser que no entiendas completamente la información que se muestra,
pero es el momento de empezar a reconocer detalles.

A. Pega aquí un pantallazo del panel de detalle SIN expandir:


B. Escribe la información de los dos tipos diferentes de “Origen” y “Destino” (source, destination).
C. ¿Por qué hay dos tipos de Origen y Destino?
D. ¿Cuáles es/son los protocolos que están en la trama de Ethernet?

Paso 4: Ir al menú Archivo y seleccione Cerrar.


Haz clic en Continuar sin guardar (Quit without Saving) cuando se muestre esta casilla de mensaje.

Wireshark Página 6
Tarea 2: Captura de FTP PDU

Paso 1: Inicia la captura de paquetes.


Considerando que Wireshark sigue en funcionamiento desde los pasos anteriores, inicia la captura de
paquetes haciendo clic en la opción Iniciar en el menú Captura! interfaces de Wireshark.

Vamos a realizar una conexión a un servidor de transferencia de ficheros de REDIRIS. Introduzca ftp ftp.rediris.es
en la línea de comandos del equipo donde se ejecuta Wireshark.

Cuando se establezca la conexión, meter anónimo como usuario, sin ninguna contraseña.
• ID del usuario: anónimo
• Password: <tu nombre>

Una vez que inició sesión con éxito, introduzca los comandos
• ls (para listar los archivos del servidor)
• get welcome.msg (para descargar el archive welcome.msg a tu equipo)
• quit (para salir del servidor)

y presione la tecla ingresar <INTRO>. Con esa operación comenzará la descarga del archivo desde el servidor ftp. El
resultado será similar a:

Una vez que los archivos se hayan descargado exitosamente, detenga la captura PDU en Wireshark.
Wireshark Página 7
Paso 2: Aumenta el tamaño del panel de Lista de paquetes de Wireshark y muevete por
las PDU que se encuentren en la lista.
Localiza y tome nota de las PDU asociadas con la descarga del archivo.

Éstas serán las PDU del protocolo TCP de Capa 4 y del protocolo FTP de Capa 7.

A. Identifica los tres grupos de PDU asociados con conexión, transferencia del archivo y cierre de la
conexión.
B. Si has realizado el paso de arriba, investiga para hacer coincidir los paquetes con los mensajes y las
indicaciones en la ventana de línea de comandos FTP.
C. El primer grupo está asociado con la fase “conexión” y el inicio de sesión en el servidor. Haz una lista
de ejemplos de mensajes intercambiados en esta fase.
D. Identifica los tres paquetes (PDU) que tienen CLARAMENTE algo que ver con la transferencia del
archivo. Di que números son y haz un pantallazo de la ventana “lista de paquetes” que contenga a
los tres. (Pueden ser mas).
E. El tercer grupo de PDU está relacionado con el cierre de sesión y la “desconexión”. Haz una lista de
ejemplos de mensajes intercambiados durante este proceso

Paso 3: Examine los Detalles del paquete.

A. Muestra un pantallazo de la ventana “bits del paquete” (packet bytes) donde se vea el siguiente
mensaje aparecido en pantalla

B. Resalta los paquetes que contengan el nombre de usuario y contraseña. Examina la parte resaltada
en el panel Byte del paquete. ¿Qué dice esto sobre la seguridad de este proceso de inicio de sesión
FTP? Haz un pantallazo mostrando el usuario y la contraseña.
C. Resalta un paquete asociado con la segunda fase. Desde cualquier panel, localice el paquete que
contenga el nombre del archivo. El nombre del archivo es: ________________________
D. Localiza en la ventana “bits del paquete” el CONTENIDO del archivo “welcome.msg” y haz un
pantallazo de esa ventana y pégalo aquí.

Cuando termines, cierra el archivo Wireshark y continúe sin guardar.

Wireshark Página 8
Tarea 3: Captura de HTTP PDU. (WEB)

Paso 1: Inicia la captura de paquetes.


Considerando que Wireshark sigue en funcionamiento desde los pasos anteriores, inicia la captura de
paquetes haciendo clic en la opción Iniciar en el menú Captura de Wireshark.

Inicia un navegador Web en el equipo donde ejecuta Wireshark. Escribe la dirección


http://www.iesmiguelherrero.com. Una vez que la página Web se haya descargado por completo, deten la captura del
paquete Wireshark.

Paso 2: Aumente el tamaño del panel de Lista de paquetes de Wireshark y desplácese


por las PDU que se encuentren en la lista.
Localiza e identifica los paquetes TCP y HTTP asociados con la descarga de la página Web. Observa el
parecido entre este intercambio de mensajes y el intercambio FTP.

Paso 3: En el panel Lista de paquetes, resalte un paquete HTTP que tenga la notación
“(text/html)” en la columna Información.


En el panel Detalles del paquete, haga clic en “+” al lado de “Datos de texto basado en línea: html” (Line-based text
data:text/html)
Examine la porción que resaltó en el panel Byte o en el mismo panel de detalle. Esto muestra los datos HTML de la
página que hemos visitado.

A. Haz un pantallazo de esa contenido HTML de la página web del IES Miguel Herrero y pégala aquí.

Cuando termines, cierra el archivo Wireshark y continúa sin guardar.

Wireshark Página 9

También podría gustarte