UNIVERSIDAD TCNICA PARTICULAR DE LOJA

La Universidad Catlica de Loja

ESCUELA DE ELECTRNICA Y TELECOMUNICACIONES

WIRESHARK Alumnos: Eduardo Surez Nixon Villavicencio Ciclo: 8to C Fecha: 2009-07-22 Docente: Ing. Francisco Sandoval Periodo acadmico: marzo 2009 agosto 2009

SOFTWARE DE MONITOREO DE RED- WIRESHARK

Introduccin: Las redes de cmputo, se vuelven cada vez ms complejas y la exigencia en cuanto a la operacin de las mismas es cada vez ms grande. Las redes, cada vez soportan ms aplicaciones y servicios estratgicos. Por lo cual el anlisis y monitoreo de redes se ha convertido en una labor cada vez mas importante y de carcter pro-activo para evitar problemas y mejorar la calidad del servicio que se brinda a los usuarios de las distintas redes. En nuestro caso hemos elegido el software de monitoreo de red WIRESHARK 1.2.1 la eleccin del mismo se la ha hecho en base a las grandes capacidades que posee y a que es de licencia libre, entre otras cualidades que se describirn seguidamente. Wireshark.- antes llamado Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos. Cuenta con todas las caractersticas estndar de un analizador de protocolos. Usos de Wireshark

Administradores lo usan para resolver problemas en la red. Ingenieros lo usan para examinar problemas de seguridad. Desarrolladores lo usan para depurar la implementacin de los protocolos de red. Estudiantes los usan para aprender internamente cmo funciona una red.

Caractersticas principales de Wireshark: Wireshark es un capturador/analizador de paquetes de red. Wireshark permite ver, a un nivel bajo y detallado, qu est pasando en una red. Permite la captura de paquetes en vivo desde una interfaz de red. Este software cuenta con una interfaz grfica lo que facilita su utilizacin especialmente para usuarios no muy avanzados y que no estn acostumbrados a la operacin mediante lneas de comandos, pero tambin cuenta con una versin basada en texto llamada Tshark.

 Wireshark es software libre, y se ejecuta sobre la mayora de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, as como en Microsoft Windows, para nuestro trabajo hemos decidido instalarlo y operarlo sobre una plataforma Windows, especficamente Windows Vista Muestra los paquetes con informacin detallada de los mismos. Abre y guarda paquetes capturados. Importar y exportar paquetes en diferentes formatos, esto permite una compatibilidad con otros software de caractersticas similares, para que as un conjunto de paquetes adquiridos mediante Wireshark pueda ser abierto y analizado por otros software de monitoreo de red. Filtrado de informacin de paquetes. Resaltado de paquetes dependiendo el filtro. Crear estadsticas. Trabaja tanto en modo promiscuo como en modo no promiscuo, esto se refiere a que Wireshark funciona en maquinas conectadas a una red tanto inalmbricamente como de forma cableada. Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa). Gran capacidad de filtrado. Admite el formato estndar de archivos tcpdump. Reconstruccin de sesiones TCP Es compatible con ms de 480 protocolos. Puede leer archivos de captura de ms de 20 productos. Instalacin de Wireshark: La instalacin en la plataforma de Windows Vista es sumamente sencilla, debido a que es un programa de licencia libre, este brinda todas las facilidades para su instalacin y posterior uso y operacin. Para la instalacin basta con ejecutar el instalador y listo, tal y como se muestra en la siguiente figura, luego como es de rutina solo se debe dar aceptar hasta finalizar y listo.

Una vez finalizada la instalacin la interfaz de inicio que se muestra es la siguiente:

A continuacin detallaremos los principales smbolos que en la pgina de inicio se muestran y sus funciones:

La barra de herramientas, donde se tiene todas las opciones a realizar sobre la pre y pos captura. La barra de herramientas principal, donde se tiene las opciones ms usadas en Wireshark. La barra de filtros, donde se puede aplicar filtros a la captura actual de manera rpida. El listado de paquetes, que muestra un resumen de cada paquete que es capturado por Wireshark. El panel de detalles de paquetes que, una vez seleccionado un paquete en el listado de paquetes, muestra informacin detallada del mismo. El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes. La barra de estado, que muestra algo de informacin acerca del estado actual de Wireshark y la captura.

Ejemplo prctico sobre trfico de paquetes.

Captura de paquetes DHCP para asignar a un dispositivo Corinex AV200 Powerline Ethernet Adapter. Cuando se conecta el dispositivo Corinex AV200 Powerline Ethernet Adapter, el software captura el trfico UDP para establecer la comunicacin entre el nuevo dispositivo que se ha conectado a la tarjeta de red NVIDIA nForce MCP Networking Adapter Driver. El servidor DHCP enva un paquete con el protocolo DHCPv6 en donde solicita informacin del dispositivo

Luego enva un mensaje ARP en Broadcast para consultar qu dispositivo aadidos al computador posee la direccin ip 192.168.1.1. Esta ip se coloca en la tarjeta de red para que sea direccin del servidor y luego proceda a emitir una direccin a cualquier otro dispositivo que requiera el servicio de DHCP.

Luego de haber encontrado el dispositivo con esa direccin, el dispositivo solicita una direccin ip con su respectiva mscara de subred. La tarjeta de red emite un paquete DHCP al dispositivo que lo solicita a travs de su direccin MAC.

El trfico de paquetes se mantiene constante entre la tarjeta de red NVIDIA nForce MCP Networking Adapter Driver y el dispositivo Corinex AV200 Powerline Ethernet Adapter a travs de paquetes DHCP hasta que se complete la conversacin entre ellos.

Luego para comprobar el enlace entre la tarjeta de red y el dispositivo que ha solicitado una direccin a travs de un servidor DHCP, se realiza ping con la nueva direccin ip. Se puede observar el trfico entre los dispositivos mediante paquetes ICMP y ARP.

Adems estos equipos Corinex AV200 Powerline Ethernet Adapter poseen los recursos necesarios para buscar a cualquier dispositivo que se encuentre conectado a travs de la red elctrica. El software Wireshark tambin capta este trfico entre los dispositivos. Se envan paquetes bajo el protocolo Spanning Tree Protocol (STP) y como respuesta a esta solicitud los dispositivos muestran su direccin de identificacin o MAC.