Wireshark, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación.
Su función es similar a la de *tcpdump, pero añade una interfaz gráfica y opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red estableciendo la configuración en modo promiscuo.
En la siguiente explicación veremos como funciona más detalladamente.
-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·--·-·-·-·-
Manual Wireshark
1.-Cuando abrimos por primera vez el programa se muestra y detalla la interfaz de usuario y como se aplican las principales funciones de WireShark (Capturar, Desplegar y Filtrar paquetes).
File -> contiene las funciones para manipular archivos y para cerrar la aplicación Wireshark.
Edit -> este se puede aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario.
View -> permite configurar el despliegue del paquete capturado.
Go -> Desde aquí permiten ...
Capture -> para iniciar y detener la captura de paquetes.
Analyze -> desde analyze podemos manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc.
Statistics -> podemos definir u obtener las estadísticas del trafico capturado.
Help -> menú de ayuda.
A continuación empezaremos con la aplicación más sencilla que podemos utilizar en el programa.
Capturar paquetes IP
WireShark cuenta con tres maneras para iniciar la captura de los paquetes:
·Haciendo doble clic en
se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes.
Tres botones se visualizan por cada interfaz
Start -> para iniciar
Options -> para configurar
Details -> proporciona información adicional de la tarjeta como su descripción, estadísticas, etc.
Otra opcion es Otra seleccionar el icono
en la barra de herramientas, y abrimos la siguiente ventana donde se muestra opciones de configuración para la tarjeta de red.
O por ultimo en el caso que se haya predefinido las opciones de la tarjeta, haciendo clic en
se inicia la captura de paquetes inmediata.
Capture/start Cuando pulsamos a start nos muestra esta pantalla.
La información se organiza de la siguiente forma.
primera columna[N.o]-> muestra el número de paquetes que enviamos o recibimos.
Segunda columna[Time] ->s el tiempo que tarda en transmitirse el paquete de datos.
Tercera columna[Source]-> la ip origen.
Cuarta columna[Destination]-> la ip destino.
Quinta columna[Protocol]-> El protocolo que utiliza en esa transmisión (especificaciones pag..)
Sexta columna[info.]-> Nos muestra una pequeña información sobre el paquete de datos.
En la parte que he señalado en azul-> Contiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados[Gris]. Seleccionando una de estas líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas según las necesidades.
En la parte que he señalado en amarillo-> En este panel se despliega el contenido del paquete en formato hexadecimal.
Wireshark tiene otra funcion importante y es la campura de paquetes pero con filtrado.
Filtrar paquetes IP.Para guardar o abrir un filtro existente se debe seleccionar Display Filter en el menú Analyze o Capture Filter que se encuentra en el menú Capture.
Capture/filter Para definir un filtro pulsamos un nombre de la lista que tenemos y solo nos filtrara aquello que allamos seleccionado
Analizando un paquete.El paquete que voy a analizar va a ser un envio de trafico Ping.
cmd-> ping 192.168.2.21 [cualquier ip]
En la captura vemos que al hacer ping tenemos dos clases de protocolos diferentes: ARP y ICMP.
ARP -> para poder llegar al nodo correspondiente se necesita que la tabla ARP se rellene y mas tarde el ping se ara correctamente.
ICMP -> en lo que vemos que corresponde al protocolo ICMP es los ping que se han hecho a un nodo.
Mediante ping comprobamos la correcta conectividad entre equipos. Observamos que en la columna de info pone request y replay. La línea de request la enviamos desde nuestro nodo y replay es la contestación a nuestra trama.
Saludos!
