Análisis de red con Wireshark.

Interpretando los datos.
Publicado el 14 febrero, 2008 por Alfon

Wireshark es una herramieta multiplataforma de análisis de red, producto de

la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro
sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace
mostrando los datos a través de un entorno gráfico y de forma más amigable y
entendible. Este artículo es fruto de varios correos que me han llegado sobre como
interpretar los datos mostrados en una captura.

Relacionado:
Análisis de red con Wireshark. Interpretando Las graficas. (I Parte).

Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a

repasar muy superficialmente su uso para centrarnos después en como interpretar
esos los capturados.

Comenzamos. 

Antes que nada, tras arrancar Wireshark, el menu Capture > Interfaces…. nos
muestra la siguiente pantalla:
Solo tendremos que pulsar en Start para capturar a través de la interface que nos
interese. Inmeditamente Wireshark comienza a capturar.

El problema es que nos lo captura todo, todos los protocolos, etc:

REPORT THIS AD
REPORT THIS AD

Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer
uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma
libreria libpcap.

Podemos filtrar a través de Capture Filter o usar el campo correspondiente:

Capturamos los paquetesde segmento TCP cuyo destino sea el puerto 34. Pero
como ya hemos aprendido a usar filtros más avanzados, introducimos directamente
el filtro de esta forma:

icmp[0:1] == 08 (en windump es sufciciente con un solo signo =)

Con lo que capturaríamos los icmp de tipo echo request.

O cualquiera de estos:

ip[9] == 1

tcp dst port 110

http contains “http://www.forosdelweb.com”

REPORT THIS AD
REPORT THIS AD

frame contains “@miempresa.es”

Con este último filtro capturamos todos los correos con origen y destivo al dominio
miempresa.es, incluyendo usuarios, pass, etc.

En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o
TCPDump y alguno más propio de Wireshark. En otra ocasión nos centraremos en
estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora
vamos a estudiar un poco la intrerpretación de los datos.

Tras una captura nos encontramos con esta salida:

 REPORT THIS AD
REPORT THIS AD

Se establecen 3 zonas de datos. La primera es la zona de listado de los

paquetes capturados con información del Numero de Frame, tiempo en
segurdos de la captura, Origen, Destino, protocolo involucrado y por último un
campo de información extra que previamente Wireshark a decodificado.

La segunda zona muestra los datos del Frame capturado. En este caso Frame 23
o captura 23 (las numera secuencialmente). nos da información de todos los
protocolos involucrados en la captura:

En campo Frame nos muestra información completa de la trama capturada.

Tamaño total, etc. A continuación Ethernet II que nos muestra la cabecera
Ethernet II que a su vez pertenece a la capa de enlace de datos:

0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00

Nos muestra parte de la cabecer de la trama Ethener II, en este caso:

Destino 6 bytes 00 04 75 ed 89 c3 : MAC destino

Origen 6 bytes 00 14 22 5f a9 25 : MAC origen
Tipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este
caso IP. 0x0800.

A continuación vemos Internet Protocol con los datos de la cabecera del

datagrama IP:

0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de E………o..~K.
0010 c0 a8 01 1e

Esto ya lo hemos estudiado aquí.

Después no escontramos con Transmission Control Protocol. (TCP):

0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!….(..P…
0010 f5 79 00 00 .y..
Se trata del Segmento TCP. Protocolo involucrado en esta captura. Lo hemos
estudiado aquí.

Como ya hemos visto, tenemos información del Puerto de origen, destino,

número de secuencia, etc.

REPORT THIS AD

Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo
Data del segmento TCP.

Interpretación de errores y anomalias en la red con Wireshark

Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark
es el análisis de nuestras conexiones y la detección de posibles problemas en la
transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de
estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de
paquetes.