MANUAL WIRESHARK

¿Qué es Wireshark?

A continuación se darán las pautas necesarias básicas para entrar en el mundo

de una herramienta grafica la cual posee muchas características en el contexto
de las redes, para dar inicio se expondrá su significado técnico.

Wireshark, antes era conocido como Ethereal la cual es una herramienta

gráfica o software de análisis de protocolos utilizada por los administradores de
la red para identificar y analizar el tipo tráfico en un momento determinado, este
basa en las librerías Pcap y que, como he dicho anteriormente, se utiliza
comúnmente como herramienta para realizar un análisis de redes y
aplicaciones en red. Wireshark soporta una gran cantidad de protocolos, como
ICMP, HTTP, TCP, DNS.

Funciona en varias plataformas, como Windows, OS X, Linux y UNIX. Es usado

regularmente por desarrollador, profesional de la seguridad y en muchos casos
para la educación. Es totalmente gratis y de código libre. Además, está
publicado bajo licencia GNU GPL versión 2.

Características de Wireshark

Las características más relevantes del software son que es un capturador y

analizador de paquetes de red (llamado a veces, sniffer). Wireshark nos
permitirá ver, aun nivel bajo y detallado, qué está pasando en la red. Posee una
interfaz gráfica y muchas opciones de organización y filtrado de información.
Así, permite ver todo el tráfico que pasa a través de una.

Más Características de Wireshark

• Disponible para Linux y Windows

• Captura de paquetes en vivo desde una interfaz de red

• Muestra los paquetes con información detallada de los mismos

• Abre y guarda paquetes capturados

• Importar y exportar paquetes en diferentes formatos

• Filtrado de información de paquetes

• Resaltado de paquetes dependiendo el filtro

• Crear estadísticas

Ventajas y desventajas de Wireshark

Una de las ventajas que tiene Wireshark es que en un momento dado,

podemos dejar capturando datos en una red el tiempo que queramos y,
posteriormente almacenarlos, con el fin de poder realizar el análisis más
adelante. Esto es algo totalmente necesario, porque son miles los paquetes
que se capturan en una red y, si tratamos de hacer el análisis en el mismo
instante, nos veríamos desbordados.Se puede detectar toda clase de
información siempre y cuando viaje por la internet, esto puede incluir, usuarios,
contraseñas, mensajes de texto, y otro tipo de información.

Y una de las desventajas es que en algún momento puede ser muy difícil de
descifrar la información que transita en la red, sin embargo para usuarios con
más experiencia puede ser más fácil identificar qué es lo que está transitando
exactamente, quien envía la información y quien la recibe.

Este manual comprenderemos las funciones básicas del software Wireshark,

como lo son la captura y el análisis de paquetes y otras funcionalidades más
específicas, es decir como configurarlo.

Después de hacer una adecuada instalación de nuestro software esto es lo que

gráficamente nos aparecerá, estas capturas de pantalla representan la interfaz
o apariencia del software Wireshark.
La captura de pantalla representa el inicio de WIRESHARK, donde se puede
dar clic para ir inmediatamente a la aplicación para hacer efectivo la captura de
los paquetes o para abrir un archivo que antes se haya trabajo de
WIRESHARK para los que desean continúan trabajando en la misma captura
del paquete.

Se muestran diferentes opciones como capturar paquetes, abrir paquetes ya

analizados, nos lleva directamente a la página oficial de WiresharK para
descargarlo y da la opción de obtener guía de esta aplicación. Para este caso
le damos en la opción CAPTURE OPTIONS .Al darle doble clic nos parecerá
esta imagen

Esta opción es para la captura de intefaz, al darle doble clic en la opción,

podemos identificar los siguientes aspectos:
INTERFACE: Especifica con que interfaz se desea capturar. Sólo se puede
capturar con una interfaz a la vez y que Wireshark haya encontrado. No se
puede utilizar la interfaz de loopback.
IP ADDRESS: Muestra la dirección IP de la interfaz seleccionada.
BUFFER SIZE: N MEGABYTE(S): Define el tamaño del buffer que será usado
durante la Captura.

Le damos la opción star y al hacerle doble clic nos parece lo siguiente:

Cada interfaz ilustrada, especifica de manera detallada el paquete
seleccionado, cada ítem despliega más información concreta del paquete.
Siendo está una de las principales funciones de Wireshark con el fin de realizar
el análisis para obtener una red estable. Luego hacemos doble clic en Edit
capture filter se despliega una ventana donde se listan las interfaces locales
disponibles para iniciar la captura de paquetes. De inmediato aparecerá lo
siguiente:

Desde el menú Edit.->Preferences, por defecto se tienen:

N°.: posición del paquete en la captura.
TIME: muestra el Timestamp del paquete. Su formato puede ser modificado
desde el menú View->Time Display Format.
SOURCE: dirección origen del paquete.
DESTINATION: dirección destino del paquete.
PROTOCOL: nombre del protocolo del paquete.
INFO: información adicional del contenido del paquete.

Podemos aplicar el filtro se hace con el propósito de que el número de

paquetes visualizados o capturados se reduzca a únicamente los que son de
interés para el usuario. Limitando así el análisis únicamente a los protocolos,
direcciones IP, tiempos y rangos que se estén examinando

Le damos clic en la OPCIÓN CAPTURE, luego CAPTURE FILTERS y le

damos enter y nos aparece lo siguiente:
Una vez que se tienen capturados los paquetes estos son listados en el panel
de paquetes capturados, al seleccionar uno de estos se despliega el contenido
del paquete en el resto de los paneles que son panel de detalles de paquetes y
panel en bytes.

Se efectúa le análisis, de acuerdo a la información arrojada con la información

detallada de cada paquete, tales como:
Protocolo
Interfaz
Bytes
Puerto
Tiempo de la captura
Para acceder de manera instantánea a determinado paquete se aplica dos
maneras
1. la función de FIND PACKET. (Encontrar paquete)
Se puede acceder de dos maneras:
Presionando la tecla Control + f
En la barra de menú principal, opción FIND PACKET
2. Packet number.(Número del paquete):
De la barra menú principal , la opció GO le damas clic , ahí se deplsiega una
serie de opciones le damos clic en la opción go to packet y nos parece los
siguinete:
Pero esta opción se utiliza para buscar el paquete por el número de posición
del paquete en la captura. Entonces se rellena el campo solicitado de acuerdo
al paquete que se dese encontrar y le damos la OPCIÓN FIND.
Por lo general el análisis de tráfico es bastante complejo ya que son muchos
los paquetes que se obtienen la captura, WireShark permite marcar los
paquetes para que sean identificados con más facilidad esta marca es
aplicar colores a los paquetes en el panel correspondiente.

Existen tres funciones para aplicar el marcado de paquetes:

MARK PACKETS (TOGGLE): para marcar el paquete.

MARK ALL PACKETS: aplica la marca a todos los paquetes.
UNMARK ALL PACKETS: elimina la marca para todos los paquetes.
La Barra de herramientas principal, permite el acceso rápido a las funciones
más utilizadas.

Exactamente nos ubicamos en la opción EDIT COLORING RULES.

Al darle doble clic nos parece el siguiente cuadro, indicado un color específico
para cada protocolo, con el fin de una ubicación más práctica de los paquetes a
partir de colores.
WireShark proporciona un rango amplio de estadísticas de red que son
accedidas desde el menú Statistics que abarcan desde la información general
de los paquetes capturados hasta las estadísticas específicas de un protocolo.
Podemos distinguir entre cada una de las anteriores:

Summary: la cantidad de paquetes capturados.

CONVERSATIONS: Un caso particular es el tráfico entre una IP origen y una IP

destino.

ENDPOINTS: Muestra las estadísticas de los paquetes hacia y desde una

dirección IP.
IO GRAPHS: Muestra las estadísticas en grafos.
Para la obtención de los gráficos aplicamos los siguientes pasos:

1. Damos clic en la opción IO GRAPHS, y nos arroja la siguiente imagen:

2. Le damos clic en la OPCIÓN FILTER y seleccionamos el protocolo así: En

este caso utilizamos el protocolo HTTP. Le damos en LA OPCIÓN OK por
último nos muestra la gráfica del protocolo seleccionado.

Conclusión

Se diseñó un manual básico sobre la funcionalidad e utilización del programa

analizador del tráfico de red WIRESHARK.

Se documentó en internet información acerca del manejo del software

WIRESHARK.