Está en la página 1de 21

Análisis de red con Wireshark

Análisis de red con Wireshark.

Filtros de captura y visualización.

IES misericordia
Wireshark
● Wireshark antes se llamaba Ethereal.
● Es un analizador de protocolos utilizado para
realizar análisis y solucionar problemas en
redes de comunicaciones para desarrollo de
software y protocolos.
● Cuenta con todas las características estándar
de un analizador de protocolos.
– Sniffer
– Analizador de paquetes capturados
– Utilización de filtros
– Salvar capturas
Características Wireshark
● Trabaja tanto en modo promiscuo.
● Puede capturar datos de la red o leer datos
almacenados en un archivo (de una captura
previa).
● Gran capacidad de filtrado.
● Se ejecuta en más de 20 plataformas.
● Es compatible con más de 480 protocolos.
● Puede leer archivos de captura de más de 20
productos.
Wireshark
● El Sniffer se ha de colocar en un punto
determinado para poder capturar el trafico de
red. Este punto depende de las topología de
rede concreta.
● La cantidad de tramas que puede obtener un
sniffer depende de la topología de red, del modo
donde esté instalado y del medio de
transmisión.
● Es importante remarcar el hecho de que los
sniffers sólo tienen efecto en redes que
compartan el medio de transmisión como en
redes sobre cable coaxial, cables de par
trenzado (UTP, FTP o STP), o redes WiFi.
Wireshark
● Para redes con topologías en estrella, el sniffer
se podría instalar en el nodo central.
● Para topologías en anillo, doble anillo y en bus,
el sniffer se podría instalar en cualquier nodo.
● Para las topologías en árbol, el nodo con
acceso a más tramas sería el nodo raíz, aunque
con los switches más modernos, las tramas
entre niveles inferiores de un nodo viajarían
directamente y no se propagarían al nodo raíz.
● El uso de switch en lugar de hub incrementa la
seguridad de la red ya que limita el uso de
sniffers al dirigirse las tramas únicamente a sus
correspondientes destinatarios.
Wireshark
● Una de las funciones más potentes son los
filtros que Wireshark puede implementar.
● Hay dos filtros:
– Capture filter: filtro para la captura, la
información filtrada NO se guarda.
– Display Filter: filtro que permite visualizar sólo
parte de los paquetes capturados.
Wireshark
● Primero seleccionaremos cual de las tarjetas
presentes en el ordenador será la utilizada para
capturar el trafico de red (1).
● Seleccionamos las características de los
paquetes que capturaremos: aplicación de filtro,
modo promiscuo, resolución de nombres a nivel
MAC y nivel de capa transporte, etc. (2)
Wireshark

Wireshark
● Al darle a “capture options” aparece la siguiente
ventana en la que configuramos parámetros y
reglas importantes en la captura.
– Promiscuous mode
– Enable mac name resolution
– Enable transport name resolution
– Reglas de “capture filter”
● Al darle a “Start” comenzara la captura de los
paquetes.
Wireshark
● nnnn
Wireshark
● nnnn
Wireshark
● Los filtros de captura (lo que esta en rojo) son
los que se establecen para mostrar solo los
paquetes de cumplan los requisitos indicados
en el filtro.
● Si no establecemos ninguno, Wireshark
capturará todo el tráfico y lo presentará en la
pantalla principal.
● Aún así podrémos establecer filtros de
visualización (display filter) para que nos
muestre solo el trafíco deseado.
Wireshark
● .
Wireshark
● En el campo Capture Filter introducimos el filtro
o pulsamos el botón Capture Filter para filtros
predefinidos:
Wireshark
● Pasemos a ver la sintaxis de los Filtros y
ejemplos de Filtros de captura.
● Podemos combinar las primitivas de los filtros
de la siguiente forma:
– Negación: ! ó not
– Unión o Concatenación: && ó and
– Alternancia:|| ó or
Wireshark
Wireshark
● .
Wireshark
● .
Wireshark
● Los filtros de visualización establecen un criterio
de filtrado sobre las paquetes que estamos
capturando y que estamos visualizando en la
pantalla principal de Wireshark.
● Al aplicar el filtro en la pantalla principal de
Wireshark aparecerá solo el trafíco filtrado a
través del filtro de visualización.
Wireshark
Comparando Filtros. Combinando Filtros.
● Igual a: eq ó == ● Negación: ! ó not
● No igual: ne ó != ● Unión o
● Mayor que:gt ó > Concatenación: &&
● Menor que: lt ó < ó and
● Mayor o igual: ge ó >=
● Alternancia:|| ó or
● Menor o igual: le ó <=
Wireshark
● .