Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FUNDAMENTOS DE REDES
TTD – 1B
MATRÍCULA: 21212261
MUNICIPIO DE TINUM
Aprenda a usar el Sniffer Wireshark
Wireshark es una herramienta de análisis de protocolo que permite la captura, en tiempo real,
de paquetes de datos y presenta esa información en un formato legible para los usuarios. El
proceso de captura de tráfico se lleva a cabo a través de una tarjeta de red, operando en un
modo especial designado de manera promiscua (posibilidad de capturar todos los paquetes,
independientemente de la dirección de destino)
Para muchos, es una herramienta de trabajo poderosa, para otros es una herramienta capaz de
capturar contraseñas en la red (preferiblemente en texto plano), algunos datos confidenciales,
descifrar claves de red, etc., si estos datos no están encriptados antes para ser enviado a través
de la red … maravilloso … pasa en “claro” en la red, perceptible para cualquier usuario. En cuanto
a Wireshark (antiguo Ethereal), para mí es simplemente el mejor sniffer gratis!!! Wireshark
permite analizar los paquetes recibidos y transmitidos por cualquier interfaz de red, siendo
posible aplicar varios tipos de filtros.
Para comenzar a usar Wireshark, simplemente elige la tarjeta de red (la tarjeta que está
actualmente conectada a la red) que queremos escuchar. Se pueden seleccionar múltiples
interfaces usando la tecla CTRL (Windows) o la tecla CMD (Mac) mientras se hace clic.
Cómo utilizar Wireshark
3. Ejercicio
Para probar el Wireshark de inmediato, aquí hay un pequeño ejercicio. Para hacer esto,
detectaremos todas las solicitudes y respuestas de DNS y las colocaremos en el campo de
filtro: DNS. Luego abrimos la línea de comando y, usando el comando nslookup, le preguntamos a
nuestro servidor DNS quién es www.esgeeks.com. Como puedes ver en la siguiente imagen,
Wireshark puede capturar toda la información intercambiada entre nuestra máquina y el servidor
DNS definido.
Capturar solicitudes y respuestas DNS
Esperamos que hayas disfrutado este primer tutorial sobre Wireshark. Además de poder ver todo
el tráfico (cifrado y no cifrado), también podemos entender cómo funcionan nuestras redes de
datos. Hoy solo podemos esperar sus comentarios y sugerencias para los próximos tutoriales.
Cuando un usuario ve la operación del Wirehark por primera vez, se preguntará qué significan
los colores en la salida. En general y por defecto, las líneas significan:
• Verde: HTTP
• Morada claro: tráfico TCP
• Azul claro: tráfico UDP, DNS
• Negro: segmentos TCP problemáticos
Si deseas ver el esquema de color completo del Wirehark, solo dirígete a View-> Coloring Rules.
Regla Colores de Wirehark
Una de las características interesantes de Wireshark es Follow TCP Stream. Esta característica
te permite ver flujos TCP completos, es decir, con esta opción, el usuario podrá seguir una
comunicación completa desde el primer SYN hasta el FIN-ACK.
Follow TCP Stream en Wirehark
5. Cómo usar los filtros en Wireshark
¿Qué son los filtros? Como su nombre lo indica, los filtros te permiten seleccionar, de un
conjunto de información, lo que deseas. Podemos filtrar por protocolo, dirección de red, puerto,
dirección MAC, etc. Aquí hay algunos ejemplos:
• Filtrar por protocolo: Para filtrar por protocolo, simplemente escriba en el campo Filtro
qué protocolo filtrar.
Consideremos que vamos a filtrar solo HTTP, aquí hay un ejemplo de un resultado.
Filtro HTTP en Wireshark
También ten en cuenta que es posible utilizar operadores lógicos. Esto nos permite mejorar el
filtro en caso de que queramos información de más de un protocolo.
Consideremos, por ejemplo, que queremos información de los protocolos HTTP e ICMP. Para
hacer esto, solo usa el operador lógico ||.
• Filtrar por IP: En el caso de las búsquedas de IP, podemos, por ejemplo, buscar por
dirección de origen (ip.src) y dirección de destino (ip.dst).
Filtrar IP en Wireshark
¿Qué sucede si el usuario desea excluir solo una determinada IP de la búsqueda? Para hacer
esto, simplemente usa el operador:
ip.src!=8.8.4.4
• Filtrar por puerto: Filtrar por puerto es similar a los ejemplos anteriores. Simplemente
podemos filtrar a través de un puerto TCP (por ejemplo, tcp.port) pero también podemos
ser más específicos y filtrar por puerto de origen (tcp.srcport) o puerto de destino (tcp.dstport).
Statistics y Protocol Hierarchy
Como podemos ver en la siguiente imagen, el protocolo BitTorrent tiene una tasa de ocupación
del orden del 0,50% (valor relacionado con el período de captura).
Jerarquía de protocolos en Wirehark
Si queremos saber la dirección IP de todas las máquinas que funcionan como pares,
simplemente dirígete a Statistics> Endpoints y luego haz clic en la pestaña IPv4.
Statistics y Endpoints Hierarchy
6. Protocolo de enlace de tres vías
TCP es el protocolo más utilizado porque proporciona una garantía en la entrega de todos los
paquetes entre una PC emisora y una PC receptora. Dentro de un segmento TCP hay varios
campos y destacaré los campos ACK y SYN que se utilizan al comienzo de una comunicación
TCP.
Proceso Conexión TCP
• SYN: si está activo, indica una solicitud para establecer una conexión y la confirmación
de la conexión;
• ACK: si está activo, se debe interpretar el campo Número de confirmación;
Cuando se establece una conexión entre el emisor y el receptor, hay un “acuerdo previo”
llamado Three Way Handshake (SYN, SYN-ACK, ACK).
• La sesión entre un cliente y un servidor siempre es iniciada por el cliente, quien envía una
solicitud de conexión de paquetes con el indicador SYN habilitado.
• El cliente también envía un número secuencial aleatorio.
• El servidor responde con un paquete SYN–ACK con su propio número secuencial
aleatorio y un número de confirmación (igual al número secuencial del cliente +1)
• Finalmente, el cliente responde con un paquete ACK con el número de confirmación
(igual que el número de secuencia del servidor +1)
• Segunda fase (SYN, ACK): El servidor responde con un paquete SYN, ACK,
donde ACK=1 (igual al número secuencial del cliente +1)
Segunda fase SYN-ACK
• Tercera fase (ACK): Finalmente, el cliente responde con un paquete ACK=1 y también
envía el número de sincronización (Seq=1), igual al número de secuencia +1 del servidor.
Tercera fase ACK