ER-0264/2005

Enseñanzas de Formación Profesional

Redes locales SMR1

Tema 1. Uso de Wireshark básico

SMR. Redes locales Tema 1. Uso de Wireshark basico

TÍTULO

Wireshark

ÍNDICE

Tabla de contenido
TÍTULO ................................................................................................................................... 2
ÍNDICE ................................................................................................................................... 2
OBJETIVOS ........................................................................................................................... 3
CONTENIDOS ........................................................................................................................ 3
1. Información básica ....................................................................................................... 3
2. Escenario ..................................................................................................................... 3
3. Ejemplo ........................................................................................................................ 5

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 2

SMR. Redes locales Tema 1. Uso de Wireshark basico

OBJETIVOS

- Poder explicar el propósito de un analizador de protocolos (Wireshark).

- Poder realizar capturas básicas de la unidad de datos del protocolo (PDU) mediante el uso
de Wireshark.
- Poder realizar un análisis básico de la PDU en un tráfico de datos de red simple.
- Experimentar con las características y opciones de Wireshark, como captura de PDU y
visualización de filtrado.

CONTENIDOS

1. Información básica

IMPORTANTE: Es muy recomendable que veáis el vídeo que os propongo a continuación, que
explica de manera muy clara el funcionamiento básico del programa:

https://www.youtube.com/watch?v=shp42M7gbDE

Wireshark es un analizador de protocolos de software o una aplicación “husmeador de paquetes”

que se utiliza para el diagnóstico de fallas de red, verificación, desarrollo de protocolo y software
y educación.
Antes de junio de 2006, Wireshark se conocía como Ethereal.
Un sniffer de paquetes (también conocido como un analizador de red o analizador de protocolos)
es un software informático que puede interceptar y registrar tráfico de datos pasando sobre una
red de datos. Mientras el flujo de datos va y viene en la red, el husmeador “captura” cada unidad
de datos del protocolo (PDU) y puede decodificar y analizar su contenido de acuerdo a la RFC
correcta u otras especificaciones.
Wireshark está programado para reconocer la estructura de los diferentes protocolos de red.
Esto le permite mostrar la encapsulación y los campos individuales de una PDU e interpretar su
significado.
Es una herramienta útil para cualquiera que trabaje con redes y se puede utilizar para el análisis
de datos y el diagnóstico de fallas.
Para obtener más información y para descargar el programa visite: http://www.Wireshark.org

2. Escenario

Para capturar las PDU, la computadora donde está instalado Wireshark debe tener una conexión
activa a la red y Wireshark debe estar activo antes de que se pueda capturar cualquier dato.

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 3

SMR. Redes locales Tema 1. Uso de Wireshark basico

Cuando se inicia Wireshark, se muestra la pantalla donde se puede seleccionar la interfaz de red
que se pretende analizar (Por ejemplo la conexión de área local)
Seleccionando la interfaz comienza el proceso de captura de datos y empiezan a salir los datos
en la aplicación.
También se puede añadir filtros para analizar solamente los paquetes que interesen. Si estás in-
tentando inspeccionar algo específico, ayuda cerrar todas las demás aplicaciones que utilizan la
red para reducir el tráfico. Sin embargo, es probable que tenga una gran cantidad de paquetes
para filtrar. Ahí es donde entran los filtros de Wireshark. La forma más básica de aplicar un filtro
es escribiéndola en el cuadro de filtro en la parte superior de la ventana y haciendo clic en Aplicar
(o presionando Enter). Por ejemplo, escriba “dns” y verá sólo paquetes DNS. Cuando comience a
escribir, Wireshark te ayudará a completar tu filtro automáticamente, luego también puedes
darle clic en la flecha azul de la imagen de abajo para enfocarte en lo que buscas.

La ventana de visualización principal de Wireshark tiene tres paneles.

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 4

SMR. Redes locales Tema 1. Uso de Wireshark basico

- El panel de Lista de PDU (o Paquete) ubicado en la parte superior del diagrama muestra
un resumen de cada paquete capturado. Si hace clic en los paquetes de este panel, con-
trola lo que se muestra en los otros dos paneles.
- El panel de detalles de PDU (o Paquete) ubicado en el medio del diagrama, muestra más
detalladamente el paquete seleccionado en el panel de Lista del paquete.
- El panel de bytes de PDU (o paquete) ubicado en la parte inferior del diagrama, muestra
los datos reales (en números hexadecimales que representan el binario real) del paquete
seleccionado en el panel de Lista del paquete y resalta el campo seleccionado en el panel
de Detalles del paquete.

Cada línea en la Lista del paquete corresponde a una PDU o paquete de los datos capturados. Si
seleccionó una línea en este panel, se mostrarán más detalles en los paneles “Detalles del pa-
quete” y “Bytes del paquete”. El ejemplo de arriba muestra las PDU capturadas cuando se utilizó
la utilidad ping y cuando se accedió a http://www.google.com.

El panel Detalles del paquete muestra al paquete actual (seleccionado en el panel “Lista de pa-
quetes”) de manera más detallada. Este panel muestra los protocolos y los campos de protocolo
de los paquetes seleccionados.
Los protocolos y los campos del paquete se muestran con un árbol que se puede expandir y co-
lapsar.

El panel Bytes del paquete muestra los datos del paquete actual (seleccionado en el panel “Lista
de paquetes”) en lo que se conoce como estilo “hexdump”. Cuando se requiere un análisis más
profundo, esta información que se muestra es útil para examinar los valores binarios y el conte-
nido de las PDU.

La información capturada para las PDU de datos se puede guardar en un archivo. Ese archivo se
puede abrir en Wireshark para un futuro análisis sin la necesidad de volver a capturar el mismo
tráfico de datos.

3. Ejemplo
Vamos a instalar el programa Wireshark que nos va a ser muy útil durante todo el curso para
analizar capturas de red.
Durante la instalación es importante marcar la opción INSTALAR WINPCAP.
Para empezar a utilizar el programa lo primero que habrá que hacer es selecciona la INTERFAZ
para capturar las tramas (frames) que nos lleguen al equipo. Selecciona la que conexión que
usamos de clase.
Para empezar a capturar utilizarnos el botón Start y paramos con el botón Stop.
Hagamos una primera captura cualquiera para observar lo que significa lo que estamos viendo:

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 5

SMR. Redes locales Tema 1. Uso de Wireshark basico

Vamos a describir lo que el programa nos ofrece:

Cada fila es una trama que ha llegado a nuestra interfaz de red. De cada trama podemos analizar
la información que contiene. Si vemos los campos (o columnas) que aparecen podemos
averiguar:
 Nº: el orden en que nos llega la trama
 Time: el tiempo transcurrido desde que llegó la primera trama hasta la trama actual
 Source (fuente): La dirección IP origen (la IP del emisor)
 Destination (Destino): La dirección IP destino
 Protocol: protocolo de más alto nivel usado (enlace, red, transporte o aplicación)
 Length (longitud): cantidad de bytes de la trama
 Info: nos da información sobre los datos que contiene la trama

Las tramas se pueden ordenar por cualquiera de los campos anteriores.

Si seleccionamos una trama podemos averiguar más información según está encapsulado por
niveles TCP/IP en redes LAN (como máximo estos 5 niveles pero no siempre, depende del
protocolo utilizado):

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 6

SMR. Redes locales Tema 1. Uso de Wireshark basico

1) Frame nº: es el número de bytes que se trans-

miten --> nivel físico
2) Ethernet II: En este nivel podemos averiguar
las direcciones físicas de los equipos fuente y
destino. Estas direcciones son un código de 12
dígitos hexadecimales que identifican a la in-
terfaz de red del equipo (viene de fábrica). Se
expresan en 6 grupos de dos dígitos separados
por dos puntos. En el ejemplo anterior, la di-
rección física de la fuente es
e0:cb:4e:26:ed:80. --> información del nivel
de enlace sobre el protocolo de acceso al me-
dio (MAC).
3) Internet Protocol Version 4: información so-
bre las direcciones IP en juego --> Nivel de red
4) TCP ó UDP, que son los protocolos del Nivel de
transporte. Se indican los puertos de cone-
xión.
5) Protocolo del nivel de aplicación. Serán los
protocolos: HTTP, FTP, DNS, POP3, SSH, DNS,
etc.

De la siguiente captura de tramas seleccionamos la número 5. A partir de la información de la

imagen, rellena la tabla.

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 7

SMR. Redes locales Tema 1. Uso de Wireshark basico

C.P.I.F.P.LOS ENLACES 2019-2020 Pagina 8