Descripción de la Herramienta:

Primera Ventana:
Muestra las interfaces que detecta el programa.

Captura
Muestra las interfaces encontradas y tiene habilitado el modo “Promiscuo”, este
modo es aquel en el que una computadora que se conecta a una red compartida
(tanto en cable como inalámbrica) captura todo el tráfico que circula por ella. En este
modo la computadora captura todos los paquetes destinados al mismo como
también todos los paquetes destinados a otros equipos que están en el mismo
medio compartido. Es esencial para poder capturar todo el tráfico que escucha y ve
la tarjeta de red del equipo.

Ventana - Captura
Cuenta con 3 paneles:
- Panel Superior: Lista todos los paquetes que capturamos.
- Columna 1: se enumeran los paquetes.
- Columna 2: El inicio de la captura (medido en segundos)
- Columna 3: Fuente.
- Columna 4: Destino.
- Columna 5: Protocolo.
- Columna 6: Información relativa al paquete.
- Columna 7: Información relativa al paquete.
- Panel Central: Se presenta el detalle de cada uno de los paquetes. De
acuerdo a las capas del modelo OSI.
- Capa 1 (Capa Física): información relativa a los bits y bytes del
paquete.
- Capa 2 (Capa de Enlace de Datos): Se observa el protocolo y muestra
la información relativa a las MAC fuente y destino del paquete.
- Capa 3 (Capa de Red): Muestra detalles del paquete, su dirección IP
fuente y la de destino.
- Capa 4 (Capa de Transporte): Se observa el tipo de protocolo, puerto
usado y demás.
- Capa 5 (Capa de Aplicación): Muestra el nombre del protocolo.
- Panel Inferior: Muestra un paquete en su forma sin procesar, es decir, como
va o como viaje a través del cable.
Desafío Nº 1

Actividades generales

1. La primera ventana muestra las distintas interfaces que detecta el programa.

Yendo a la pestaña de “Captura” y seleccionando “Opciones” se pueden
observar las distintas alternativas para afinar la captura:
● En la sección de “Entrada (Input)” se observan las distintas interfaces.
● Luego en la sección “Salida (Output) se le puede colocar un nombre a
la captura como también se pueden crear varios archivos de acuerdo a
la condición que se quiera.
● Como tercera sección está la de “Opciones (Options)” en donde
también se puede realizar resolución de nombres (direcciones MAC,
nombres de red y nombres de transporte). También se puede parar la
captura cuando se llega a una cierta cantidad de paquetes, archivos,
kilobytes o segundos.
2. Ventana - Captura
Cuenta con 3 paneles:
- Panel Superior: Lista todos los paquetes que capturamos.
- Columna 1: se enumeran los paquetes.
- Columna 2: El inicio de la captura (medido en segundos)
- Columna 3: Fuente.
- Columna 4: Destino.
- Columna 5: Protocolo.
- Columna 6: Información relativa al paquete.
- Columna 7: Información relativa al paquete.
- Panel Central: Se presenta el detalle de cada uno de los paquetes. De
acuerdo a las capas del modelo OSI:
- Capa 1 (Capa Física): información relativa a los bits y bytes del
paquete.
- Capa 2 (Capa de Enlace de Datos): Se observa el protocolo y
muestra la información relativa a las MAC fuente y destino del
paquete.
- Capa 3 (Capa de Red): Muestra detalles del paquete, su
dirección IP fuente y la de destino.
- Capa 4 (Capa de Transporte): Se observa el tipo de protocolo,
puerto usado y demás.
- Capa 5 (Capa de Aplicación): Muestra el nombre del protocolo.
- Panel Inferior: Muestra un paquete en su forma sin procesar, es decir,
como va o como viaje a través del cable.

La siguiente imagen muestra la captura de 50 paquetes:

3. Una vez iniciada la captura es posible filtrar los paquetes capturados de
acuerdo a la necesidad de quien esté analizando.
En la captura siguiente se puede observar cómo es posible reconocer a qué
servidores se conectó a través de las peticiones DNS. Escribiendo “DNS” en
el campo de los filtros y se lo aplica, serán visibles todas las resoluciones de
nombres en direcciones IP.
4. Las estadísticas tienen muchas aplicaciones prácticas para conocer por
ejemplo qué protocolos hay presentes en la red, o que hosts son los que
están consumiendo el mayor ancho de banda. Entre ellas se pueden utilizar:
- Jerarquía de Protocolo (Protocol Hierarchy): Despliega todos los
protocolos detectados en la captura, indicando el porcentaje
encontrado de cada uno, por ejemplo en la figura abajo, muestra que
para esta captura en particular, el 100% del tráfico es ethernet, lo cual
no es de sorprender ya que ethernet es el protocolo dominante,
aunque si se captura con una máquina que tenga la capacidad de
tener visibilidad en una red WLAN se encontraría un porcentaje
diferente.
 - Conversaciones (conversations): esta proporciona información sobre
las conversaciones presentes en la red, con quien se está
comunicando cada host, en el caso específico ilustrado se puede
observar que se detectaron 4 conversaciones Ethernet, 3
conversaciones IPv4, 1 conversación IPv6, 1 conversación TCP y 4
conversaciones UDP.
En la siguiente imagen se pueden ver las conversaciones de IPv4,
para cada conversación es posible ver la cantidad de paquetes y bytes
transmitidos en cada dirección, esto puede ayudar a identificar qué
hosts son los que están acaparando más el ancho de banda.

Existen otras estadísticas que se pueden utilizar:

- Propiedades de archivo de captura.
- Direcciones resueltas.
- Puntos finales.
- Longitudes de paquete.
- Entre otras.
5. Puede ser muy útil ver un protocolo de la forma en que lo ve la capa de
aplicación. Si lo que se está buscando son contraseñas en un flujo de Telnet,
o se está tratando de darle sentido a un flujo de datos, la capacidad de
Wireshark para seguir los flujos de protocolo es muy útil.

Follow TCP Stream

Con el mismo se puede extraer el flujo de datos establecido en una sesión
TCP, sólo necesitamos seleccionar un paquete que forme parte de dicho
flujo, darle al botón derecho y seleccionar la opción Follow TCP Stream. Acto
seguido, nos mostrará en una nueva ventana el extracto concerniente a dicha
sesión y el tamaño de la misma, distinguiendo por colores cada uno de los
sentidos de la comunicación. También tenemos la posibilidad de mostrar un
único sentido de la conexión así como el formato de representación
(EBCDIC, Hex Dump, C Array o Raw).

En la siguiente imágen se muestra el uso del “Follow UPD Stream”, el cual

tiene la misma funcionalidad que el TCP, sólo que para flujos UPD.
6. Existen diferentes tipos de gráficos en Wireshark, como el flow graph que
permite visualizar gráficamente el flujo de una conexión tcp/ip, o el TCP
Stream Graph que cuenta con algunos tipos de gráficos orientados más al
análisis, pero que también pueden ser utilizados para reportes.

IO Graphs
Las gráficas de entrada y salida (IO Graphs) nos permiten visualizar el tráfico
total que está pasando por nuestro punto de medición en un momento dado.
En la siguiente figura, puede verse el resultado, como se observa esta el área
de la gráfica, en el eje “x” se muestra el tiempo y en el eje “y” se muestran los
paquetes por segundo.
7. Guardar Paquetes Capturados
Puede guardar los paquetes capturados utilizando los elementos del menú
Archivo → Guardar, puede elegir qué paquetes guardar y qué formato de
archivo se utilizará. No toda la información se guardará en un archivo de
captura. Por ejemplo, la mayoría de los formatos de archivo no registran la
cantidad de paquetes descartados.
Wireshark puede guardar los siguientes formatos de archivo (con las
extensiones de archivo conocidas):
- pcapng (* .pcapng). Un sucesor flexible y extensible del formato
libpcap. Wireshark 1.8 y versiones posteriores guardan archivos como
pcapng de forma predeterminada. Las versiones anteriores a 1.8
usaban libpcap.
- libpcap, tcpdump y varias otras herramientas que utilizan el formato de
captura de tcpdump (* .pcap, *. cap, *. dmp).
- Accellent 5Views (* .5vw).
- Nettl de HP-UX (* .TRC0, *. TRC1).
- Monitor de red de Microsoft: NetMon (* .cap).
- Sniffer de Network Associates - DOS (* .cap, *. Enc, *. Trc, * fdc, *.
Syc).
- Sniffer de Network Associates - Windows (* .cap).
- Network Instruments Observer versión 9 (* .bfr).
- Novell LANalyzer (* .tr1).
- Oracle (anteriormente Sun) snoop (* .snoop, *. Cap).
- Tráfico Visual UpTime de Visual Networks (*. *)
Actividades específicas

1. Actividad 1: Con la captura llamada Captura 1, filtrar las tramas de forma que
solo aparezcan aquellas que pertenezcan al protocolo Spanning Tree y que
tengan el flag TC activado.

Captura 1 - Filtrado de tramas STP

Se pueden observar un total de 58 tramas que pertenecen al protocolo STP.
Mediante el filtro “stp.flags.tc==1” podemos obtener las tramas que
pertenezcan al protocolo STP y que tengan el flag TC activado. Se
encontraron un total de 23 tramas.
En la siguiente imagen se muestra la trama Nº 30 y el valor de sus campos
“Mensage Age”, “Max Age”, “Hello Time” y “Forward Delay”
2. Actividad 2: Con la captura llamada Captura 2, trate de identificar de qué se
trata su contenido (que protocolos aparecen, si hay una secuencia que se
pueda seguir etc.), ¿qué herramienta de las utilizadas le parece útil para
lograr este objetivo?

Captura 2

De acuerdo con la captura 2, se pueden identificar los siguientes 3

protocolos:
- TCP.
- MSNMS.
- TELNET.
Con respecto al protocolo MSNMS, wireshark lo utiliza para filtrar la
comunicación a través de Messenger. Por otro lado, TELNET es un protocolo
cliente-servidor basado en el intercambio de datos orientado a caracteres
mediante conexiones TCP, con el mismo se puede lograr acceder a otra
máquina para manejarla remotamente (lleva el mismo nombre que el
programa). Se crea una conexión cliente-servidor a través del protocolo TCP
y del puerto 23, donde el dispositivo controlado ejerce de servidor y espera a
los comandos pertinentes.
Básicamente lo que se está tratando de hacer, conectándose remotamente a
otra máquina, es la de leer los mensajes que se están mandando a través de
Messenger.