#.I=E9/I"%" E.T9%4 "E =E.E>#E4% 9E T+9%"+ "I9E I?. "E TE .+4+@A% "E I.8+9$% I?. B +$#.I % I+.

E/

ETHEREAL es una herramienta grfica utilizada por los profesionales y/o administradores de la red para identificar y analizar el tipo trfico en un momento determinado. En el argo IT se denominan analizadores de protocolos de red, analizadores de paquetes, packet sniffer o sniffer. Ethereal permite analizar los paquetes de datos en una red activa como tambin desde un archivo de lectura previamente generado, un caso particular es generar un archivo con T !"#$! y luego analizarlo con Ethereal. % partir del a&o '(() Ethereal es conocido como WireShark1 y hoy en d*a est categorizado como uno de los T+! ,( como sniffer -unto a .essus y /nort ocupando el segundo lugar entre estos. %lgunas de las caracter*sticas de 0ire/har1 son las siguientes2 "isponible para #.I3, 4I.#3, 0indo5s y $ac +/. aptura los paquetes directamente desde una interfaz de red. !ermite obtener detalladamente la informaci6n del protocolo utilizado en el paquete capturado. uenta con la capacidad de importar/e7portar los paquetes capturados desde/hacia otros programas. 8iltra los paquetes que cumplan con un criterio definido previamente. 9ealiza la b:squeda de los paquetes que cumplan con un criterio definido previamente. !ermite obtener estad*sticas. /us funciones grficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos. Es importante tener presente que 0ire/har1 no es un I"/ ; Instrusion Detection System< ya que no es capaz de generar una alerta cuando se presentan casos an6malos en la red. /i embargo, permite a los profesionales de IT analizar y solventar comportamientos an6malos en el trfico de la red.

A partir de esta nota nos referiremos a Ethereal como WireShark.

Manual de Usuario WireShark

Instalacin de WireShark El instalador y los archivos binarios de Ethereal pueden ser descargados en http2//555.ethereal.com/do5nload.html y sus :ltimas versiones como se menciono anteriormente en http2//555.5ireshar1.org/do5nload.html. %dicional a esto en http2//5i1i.ethereal.com y http2//5i1i.5ireshar1.org podrs obtener una amplia cantidad de informaci6n relacionada con la aplicaci6n, listas de correo tanto para usuarios finales como desarrolladores. 0ire/har1 soporta m:ltiples plataforma entre ellas #.I3, 4I.#3 y 0indo5s, a continuaci6n se describe la instalaci6n para cada uno de estos sistemas operativos. Instalacin UNIX !ara iniciar la instalaci6n debemos contar con las siguientes utilidades instaladas2

@TCD, @I$! Tool Cit y @lib ;puede obtener en el siguiente site2

555.gt1.org< libpcap ;puede obtener en el siguiente site2 555.tcpdump.org< /i es el caso de obtener los archivos fuentes los siguientes pasos describen el proceso para descomprimir los archivos y generar el e-ecutable2 ,. /eg:n la distribuci6n de #.I3, se aplica el comando correspondiente para descomprimir el archivo obtenido. En versiones de #.I3 con @.# tar
tar z7vf 5ireshar1F,.(.(Ftar.gz

En caso contrario comandos

se

deber

e-ecutar

los

siguientes

gzip Gd 5ireshar1F,.(.(Ftar.gz tar 7vf 5ireshar1F,.(.(Ftar

'.

ambiar al directorio ra*z de 0ire/har1.

cd HrutaIdirectorioI5ireshar1J

E.

onfiguraci6n de los archivos fuentes con el ob-etivo de asegurar su buen funcionamiento en la versi6n de #.I3 correspondiente.

Manual de Usuario WireShark

./configure

K. !ara generar el archivo e-ecutable se debe aplicar el siguiente comando.

ma1e

L. 8inalmente para culminar la instalaci6n de la aplicaci6n se e-ecuta el comando2

ma1e install

+tros mtodos son aplicados para la instalaci6n seg:n las distribuciones de #.I3 todos estos disponibles en el siguiente lin1
http2//555.5ireshar1.org/docs/5sugIhtmlIchun1ed/ hMuildInstall#ni7InstallMi ns.html, particularmente para el caso de "EMI%. se aplica el siguiente

comando para hacer uso de la interfaz grfica para %!T2

aptitude install 5ireshar1

Instalacin Windows

1. #na

vez que se obtiene el instalador desde http2//555.5ireshar1.org/do5nload.html se e-ecuta el archivo 5ireshar1FsetupF,.(.(.e7e ;en este caso la versi6n es ,.(.(< para iniciar la instalaci6n. Es importante mencionar que las librer*as necesarias como 0in!cap estn incluidas en el instalador.

/e muestra la siguiente pantalla del asistente2

Manual de Usuario WireShark

'. !resionando el bot6n

se despliega la especificaci6n de la

licencia y al presionar el bot6n se despliega la siguiente ventana para seleccionar los componentes que se desean instalar.

!ara esta instalaci6n se seleccionarn los siguientes2 0ireshar1, @#I del analizador de protocolos. T/har1, l*nea de comando del analizador de protocolos. !lugins/E7tensions, especificar plugins y e7tensiones para T/har1 y 0ireshar1 en este punto deber seleccionar todos los *tems listados.

Manual de Usuario WireShark

Tool, ofrece herramientas adicionales aplicar a los archivos que contienen los paquetes para su anlisis seleccionar todas las ofrecidas durante la instalaci6n. Editcap, para manipular los archivos. Text2Pcap, convierte un archivo %/ II en formato libpcap. Mergecap, permite obtener un archivo desde la combinaci6n de ' o ms archivos de paquetes capturados. apinfos, es un programa que proporciona informaci6n de los paquetes capturados. E. 4a siguiente pantalla permite seleccionar si se desea crear un acceso directo a la aplicaci6n en el escritorio, crear un men: de inicio y visualizar el icono en la barra de tareas. %dicionalmente se tiene la posibilidad de permitir, que los archivos generados por otros analizadores de trfico puedan ser visualizados con 0ireshar1 ;opci6n que debemos seleccionar<.

K. % continuaci6n se deber seleccionar el directorio donde se instalar la aplicaci6n, en este punto se acepta el indicado por defecto en el instalador. El instalador de 0ire/har1 contiene una versi6n de 0in!cap se verifica si se debe actualizar versi6n en el ! donde se est realizado la instalaci6n y ofrece la opci6n de agregar un servicio para que usuarios que no tiene privilegios de administrador pueda capturar paquetes. En este punto se seleccionan ambos *tems.

Manual de Usuario WireShark

/e presiona el bot6n

para iniciar el proceso de instalaci6n.

L.

omo se mencion6 anteriormente el instalador de 0ire/har1 para 0indo5s permite hacer la instalaci6n de las librer*as, plugins, servicios, etc. !articularmente para el caso de 0in!cap se interrumpe la instalaci6n en el punto que muestra la pantalla arriba e inicia el asistente para la instalaci6n de 0in!cap. /e debe seleccionar hasta finalizar la instalaci6n.

Manual de Usuario WireShark

4a siguiente pantalla e7itosamente.

indica

que

la

instalaci6n

ha

finalizado

Manual de Usuario WireShark

!ara la actualizaci6n de 0ire/har1 se debe realizar el proceso descrito anteriormente. /e descarga la nueva versi6n y se e-ecuta el instalador, una buena manera de estar actualizados en el mundo de 0ireshar1 es a travs de las lista de correo ofrecidas.

Manual de Usuario WireShark

Interfaz de Usuario % continuaci6n se muestra y detalla la interfaz de usuario y como se aplican las principales funciones de 0ire/har1 ; apturar, "esplegar y 8iltrar paquetes<. E7isten dos maneras de iniciar la aplicaci6n una es desde la l*nea de comando ;shell< y otra desde el entorno grfico. uando se inicia desde la l*nea de comando se tiene la posibilidad de especificar opciones adicionales que depende de las funciones que se quieran aprovechar. 4a interfaz principal de 0ire/har1 cuenta con varias secciones2 El $en: principal es utilizado para iniciar las acciones y/o funciones de la aplicaci6n.

8ile, similar a otras aplicaciones @#I este contiene los *tems para manipular archivos y para cerrar la aplicaci6n 0ireshar1. Edit, este men: contiene *tems aplicar funciones a los paquetes, por e-emplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario. =ie5, permite configurar el despliegue de la data capturada. @o, contiene *tems que permiten el desplazamiento entre los paquetes. apture, para iniciar y detener la captura de paquetes. %nalyze, contiene *tems que permite manipular los filtros, habilitar o deshabilitar protocolos, flu-os de paquetes, etc. /tatistics, contiene *tems que permiten definir u obtener las estad*sticas de la data capturada. Nelp, men: de ayuda. Marra de herramientas principal, permite el acceso rpido a las funciones ms utilizadas.

Marra de herramientas para filtros, aqu* se especifica el filtro que se desea aplicar a los paquetes que estn siendo capturados.

!anel de paquetes capturados, en este panel se despliega la lista de paquetes capturados. %l hacer clic sobre algunos de estos se despliega cierta informaci6n en los otros paneles.

Manual de Usuario WireShark

!anel para detalles del paquete, aqu* se despliega informaci6n detallada del paquete seleccionado en el panel de paquetes.

!anel de paquetes capturados en bytes, despliega en bytes la informaci6n contenida en el campo seleccionado desde el panel de detalles del paquete seleccionado en el panel de paquetes.

4a barra de estado, muestra informaci6n acerca del estado actual del programa y de la data capturada.

4a interfaz de usuario puede ser cambiada desde el men: principal en la opci6n de Preferences en el men: Edit, seg:n sea las necesidades. Panel de paquetes capturados ada l*nea corresponde a un paquete capturado al seleccionar una de estas, ciertos detalles son desplegados en el resto de los paneles ;"etalles y bytes<. B las columnas muestran datos del paquete capturado, 0ireshar1 dispone de una gran cantidad de detalles que pueden agregarse en estas columnas desde el men: Edit!"Preferences, por defecto se tienen2 .o.2 posici6n del paquete en la captura. Time2 muestra el Timestamp del paquete. /u formato puede se modificado desde el men: #ie$!"Time Display %ormat. Source2 direcci6n origen del paquete. Destination2 direcci6n destino del paquete. Protocol2 nombre del protocolo del paquete. Info2 informaci6n adicional del contenido del paquete. Panel para detalles de paquetes capturados ontiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados.
1

Manual de Usuario WireShark

/eleccionando una de estas l*neas con el bot6n secundario del $ouse se tiene opciones para ser aplicadas seg:n las necesidades. Panel de paquetes capturados en Bytes En este panel se despliega el contenido del paquete en formato he7adecimal.

"e izquierda a derecha se muestra el offset del paquete seguidamente se muestra la data del paquete y finalmente se muestra la informaci6n en caracteres %/ II si aplica o O.P ;/in comillas< en caso contrario.

11

Manual de Usuario WireShark

Captura de

a!uetes

#na de las principales funciones de 0ire/har1 es capturar paquetes con la finalidad de que los administradores y/o ingenieros de redes puedan hacer uso de estos realizar el anlisis necesario para tener una red segura y estable. omo requisito para el proceso de capturar datos es ser administrador y/o contar con estos privilegios y es necesario identificar e7actamente la interfaz que se quiere analizar. 0ire/har1 cuenta con cuatro maneras para iniciar la captura de los paquetes2 ,. Naciendo doble clic en se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes.

Tres botones se visualizan por cada interfaz /tart, para iniciar +ptions, para configurar "etails, proporciona informaci6n adicional de la interfaz como su descripci6n, estad*sticas, etc. '. +tra opci6n es seleccionar con el $ouse el icono en la barra de herramientas, se despliega la siguiente ventana donde se muestra opciones de configuraci6n para la interfaz.

12

Manual de Usuario WireShark

E. /i es el caso donde se ha predefinido las opciones de la interfaz, haciendo clic en se inicia la captura de paquetes inmediatamente.

K. +tra manera de iniciar la captura de paquetes es desde la l*nea de comandos e-ecutando lo siguiente2
5ireshar1 Gi eth( F1

"onde eth( corresponde a la interfaz por la cual se desea iniciar la captura de paquetes. "etener#Reiniciar la captura de pa!uetes !ara detener la captura de paquetes podemos aplicar una de las siguientes opciones2 Naciendo uso del icono desde el men: apture o desde la barra de herramientas. Naciendo uso de ctrlDE. 4a captura de paquetes puede ser detenida automticamente, si una de las condiciones de parada definidas en las opciones de la interfaz se cumple, por e-emplo2 si se e7cede cierta cantidad de paquetes. !ara reiniciar el proceso de captura de paquetes se debe seleccionar el icono en la barra de herramientas o en desde el men: apture.

$iltrado de pa!uetes

13

Manual de Usuario WireShark

0ireshar1 hace uso de libpcap para la definici6n de filtros. /u sinta7is consta de una serie de e7presiones conectadas por con-ugaciones ; and&or< con la opci6n de ser negada por el operador not.
QnotR E7presi6n Q andSor QnotR e7presi6nTR

4a siguiente e7presi6n define un filtro para la captura de paquetes desde/hacia los host con direcci6n I! 7.y.z.5 y a.b.c.d
ip.addrUU,V'.,V.'L(., and ip.addrUU,V'.,V.,.W,

En el site http2//5i1i.5ireshar1.org/ apture8ilters podr obtener una serie de filtros que son usualmente aplicados por los administradores de red.

E%presiones de filtrado 0ire/har1 proporciona una poderosa herramienta para construir filtros ms comple-os. !ermite comprar valores as* como tambin combinar e7presiones dentro de otra e7presi6n. En el site http2//5i1i.5ireshar1.org/"isplay8ilters podr obtener una serie de e7presiones que son usualmente aplicados por los administradores de red. uando es bien conocido el campo por el cual se requiere hacer el filtrado es recomendable hacer uso de %ilter Expresion desde la barra de herramientas para filtros presionando Expresion' facilitando la construcci6n de la e7presi6n o f6rmula seleccionando el campo ; field name<, el operador ;9elation< y el valor contra el cual se quiere comparar.

14

Manual de Usuario WireShark

Es muy com:n que ciertos filtros y/o e7presiones requieran ser utilizado en un futuro, para esto 0ireshar1 permite definir los filtros y/o e7presiones y guardarlas. !ara guardar o abrir un filtro e7istente ;previamente creado y guardado< se debe seleccionar Display %ilter en el men: (nali)e o apture %ilter que se encuentra en el men: apture*

!ara definir un filtro se debe presionar el bot6n nombre del filtro y la e7presi6n y presionar cambios.
15

se indica el para salvar los

Manual de Usuario WireShark

&anipulando las pa!uetes capturados 'an(lisis) #na vez que se tienen capturados los paquetes estos son listados en el panel de paquetes capturados, al seleccionar uno de estos se despliega el contenido del paquete en el resto de los paneles que son panel de detalles de paquetes y panel en bytes. E7pandiendo cualquiera parte del rbol presentado en el panel de detalle del paquete, se puede seleccionar un campo en particular cuyo contenido se muestra resaltado en negritas en el panel de bytes. En la siguiente imagen se identifica en campo TT4 del la cabecera del I!.

E7iste una manera de visualizar los paquetes mientras esta activo el proceso de captura esto se logra, seleccionando la opci6n Update list packets in real time desde men: Edit!"Preferentes!" apture. %dicionalmente, 0ireshar1 permite visualizar el contenido de un paquete seleccionado en el panel de paquetes capturados en una ventana individualmente seleccionando la opci6n /ho5 !ac1et in ne5 0indo5s en men: principal #ie$. Esto permite comparar con ms facilidad dos o ms paquetes. $uncin de *+s!ueda de pa!uetes uando iniciamos la captura de paquetes por lo general se obtiene una gran cantidad de paquetes que cumple con los filtros y/o e7presiones definidas, 0ireshar1 permite realizar b:squeda;s< de paquete;s< que tienen cierta caracter*stica. !ara esto se debe seleccionar la opci6n %ind Packet en el men: Edit se despliega la siguiente ventana.
16

Manual de Usuario WireShark

/e rellena el campo %ilter con el criterio de b:squeda que se desea y el resto de los campos seguidamente se presiona el bot6n de b:squeda. +tra opci6n es realizar la b:squeda del paquete anterior y pr67imo al que esta seleccionado en el panel de paquetes esto se aplica desde el men: de Edit las opciones %ind +ext y %ind Pre,ious. &arcado de pa!uetes !or lo general el anlisis de trfico es bastante comple-o ya que son muchos los paquetes que se obtienen el la captura, 0ire/har1 permite marcar los paquetes para que sean identificados con ms facilidad esta marca es aplicar colores a los paquetes en el panel correspondiente. E7isten tres funciones para aplicar el marcado de paquetes2 ,. $ar1 pac1ets ;toggle< para marcar el paquete. '. $ar1 all pac1ets, aplica la marca a todos los paquetes. E. #nmar1 all pac1ets, elimina la marca para todos los paquetes. ,isualizando estad-sticas 0ire/har1 proporciona un rango amplio de estad*sticas de red que son accedidas desde el men: Statistics que abarcan desde la informaci6n general de los paquetes capturados hasta las estad*sticas espec*ficas de un protocolo. !odemos distinguir entre cada una de las anteriores2 Estad*sticas @enerales /ummary, la cantidad de paquetes capturados. !rotocol Nierarchy, presenta las estad*sticas para cada protocolo de forma -errquica. onversations, un caso particular es el trfico entre una I! origen y una I! destino. Endpoints, muestra las estad*sticas de los paquetes hacia y desde una direcci6n I!. I+ @raphs, muestra las estad*sticas en grafos. Estad*sticas espec*ficas de los protocolos
17

Manual de Usuario WireShark

/ervice 9esponse Time entre la solicitud ; re-uest< y la entrega .response< de alg:n protocolo e7istente. Entre otras. Es importante tener presente que los n:meros arro-ados por estas estad*sticas solo tendrn sentido si se tiene un conocimiento previo el protocolo de lo contrario sern un poco comple-a de comprender.

18

Manual de Usuario WireShark

.losario 555.5ireshar1.com

19