Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Wireshark
1. Introducción
1.1.- Características
Además de los tres paneles principales, tenemos los cinco elementos adicionales
siguientes en la barra de herramientas de filtrado, que se encuentra debajo de la barra
de herramientas principal de Wireshark:
B) Texto del filtro: Aquí aparece el texto del filtro. Es posible introducir el texto del
filtro directamente en este campo o seleccionar alguno de los filtros que se hayan
utilizado anteriormente.
C) Botón para eliminar el filtro: Pulsando este botón se elimina el filtro que estuviera
activo, presentándose en el panel principal (1) todos los paquetes capturados.
D) Botón para aplicar el filtro: Pulsando este botón se aplica el filtro definido y en el
panel principal (1) se muestran únicamente los paquetes que cumplan las condiciones
indicadas en el filtro.
Debemos especificar la interfaz de red sobre la que vamos a capturar los paquetes,
utilizando para ello el cuadro combinado denominado Interface, situado en la parte
superior de este cuadro de diálogo. Si el ordenador dispone de módem o tiene varias
tarjetas de red, tendremos que seleccionar la que queramos analizar. El resto de
opciones podemos dejarlas, de momento, con los valores predeterminados.
Si no está marcada la opción Update list of packets in real time en el panel Display
Options, y tampoco está marcada la opción Hide capture info dialog, aparecerá el
cuadro de diálogo que se muestra en la figura siguiente.
Aquí podremos ver el número de paquetes capturados de los principales protocolos
que maneja Wireshark. También podremos detener la captura pulsando sobre el botón
Stop. Una vez terminada una sesión de captura, en la ventana principal aparecerá la
información de los paquetes capturados, como se muestra en la figura de la primera
página.
4. Filtrado de información
Dada la enorme cantidad de información que circula por una tarjeta de red mientras
está funcionando, resulta especialmente útil poder limitar de alguna manera dicha
información, para poder concentrarse en el análisis del tráfico de red concreto que
interese estudiar.
4.1 Protocolos
Como primer nivel de filtrado, podemos escoger los protocolos con los que deseamos
trabajar. La lista completa de protocolos que maneja Wireshark puede verse en un
cuadro de diálogo al que podremos acceder mediante la opción de menú Analyze-
>Enabled Protocols.... En dicho cuadro de diálogo, que se presenta a continuación,
podemos activar o desactivar la utilización de los protocolos que deseemos.
Para realizar las tareas de esta práctica dejaremos activados inicialmente todos los
protocolos que maneja el programa. No obstante, el estudiante puede experimentar
con la activación y desactivación de alguno de estos protocolos para comprobar el
efecto que tiene.
4.2 Captura
forzará la captura únicamente de los paquetes del protocolo TCP con origen o destino
en el puerto 23 y cuyo origen o destino sea un ordenador con dirección IP 192.168.1.5.
4.3 Presentación
Con este cuadro de diálogo podemos definir diversos filtros, asignándoles distintos
nombres para su posterior aplicación. También podemos acceder a este cuadro de
diálogo mediante la opción de menú Analyze->Display Filters....
Si no conocemos la sintaxis de los filtros o los parámetros que podemos emplear en
los mismos, podemos utilizar el botón Expression... para crear una expresión de
forma visual. Al pulsarlo accedemos al siguiente cuadro de diálogo.
En la figura vemos cómo definir un filtro para mostrar los paquetes de datos cuya
dirección IP de origen o de destino sea la 192.168.1.1. La expresión que se genera
para este filtro es:
ip.addr == 192.168.1.1
Es el tipo de filtro más sencillo, e indica que se presenten sólo los paquetes de datos
del protocolo TCP.
Con este filtro seleccionamos los paquetes cuyo protocolo IP sea el 1 (el
correspondiente a ICMP, el del comando PING) y cuya dirección IP de origen sea la
192.168.123.100.
Este filtro es algo más complejo, e indica que se presenten los paquetes cuya
dirección IP de origen sea la 192.168.123.100 y su dirección IP de destino sea la
192.168.123.101 (o viceversa) y cuyo puerto TCP de origen sea el 1028 y su puerto
TCP de destino sea el 80 (o viceversa).
Vamos a analizarlo con el comando PING, que emplea este protocolo para comprobar
el estado de las redes. Su funcionamiento básico consiste en enviar un paquete de
datos destinado a una determinada dirección IP y ver el tiempo que tarda en recibirse
la respuesta a dicho paquete. Se emplea para ver si existe conectividad de red entre el
ordenador desde el que se emite el comando y el ordenador con el nombre o la
dirección IP indicado en el comando.
Para analizar la estructura de este protocolo con Wireshark, vamos a seguir los pasos
que se indican a continuación:
Una vez localizado algún paquete de la sesión, bastará con pulsar con el botón
derecho del ratón sobre él en el panel (1) y seleccionar la opción Follow TCP Stream
en el menú emergente que aparecerá. Al hacerlo, además de crearse la expresión de
filtro adecuada en el recuadro de texto del filtro (B), aparecerá una ventana adicional
en la que se mostrará todo el contenido de la sesión TCP correspondiente, como
puede verse en la figura siguiente.
En esta ventana podemos seleccionar ver toda la conversación que ha tenido lugar
entre nuestro navegador web (cuyas peticiones se muestran en colo rojo) y el servidor
web (cuyas respuestas se muestran en color azul) o ver únicamente las peticiones del
cliente o las respuestas del servidor.