MANUAL DE WIRESHARK

JOHN JAIRO ARGUELLO GODOY

APRENDIZ
2141398

JONATHAN DAVID CENDALES PERILLA

INSTRUCTOR

SERVICIO NACIONAL DE APRENDEZAJE SENA

BOGOTA
2022
 QUE ES WIRESHARK

Wireshark, es aquella herramienta analizadora de paquetes que le

permite capturar todas las tramas , que circulan mediante la interfaz
de una red lan e inalámbrica , de una máquina virtual, mediante una
funcionalidad de comandos
 1. Paso instalación del software wireshark

Ingresamos a nuestro navegador , y digitamos el nombre de la página

https://www.wireshark.org/download.html, esta para la versión de sistema
operativos Windows, macOS, mediante arquitectura de 32 bits y de 64bits
, en este caso descargamos , y ejecutamos la instalación le damos next y
esperamos que instale

2. Ejecución de la interfaz gráfica wireshark

En la parte superior encontramos una barra de herramientas el cual cada
una cumple una función especifica como lo es la ARCHIVO , EDICION ,
VISUALIZACION, IR , CAPTURA, ESTADISTICA, TELEFONIA,
WIRELESS, HERRAMIENTAS , AYUDA , estas herramientas cada una
trae un submenú, con varias funciones

3. BARRA DE HERRAMIENTAS MENU ARCHIVO

ABRIR: Este elemento de menú abre el cuadro de diálogo de abrir archivo

que le permite cargar un archivo de captura para su visualización.
ABRIR RECIENTE: Este elemento de menú muestra un sub menú que
contiene los archivos de captura abiertos recientemente.

UNIR: Este elemento de menú abre el cuadro de diálogo de archivo de

combinación que le permite combinar un archivo de captura a la carga en la
actualidad

Controles específicos de este diálogo de importación se dividen en dos

secciones:

Entrada
Determine qué archivo de entrada tiene que ser importado y cómo se ha de
interpretar.
Importar
Determinar cómo son los datos que desea importar

Los parámetros de entrada son los siguientes:

Nombre de archivo / Navegación - Filename / Browse

Introduzca el nombre del archivo de texto que desea importar. Usted puede
utilizar el botón Examinar para buscar un archivo.
Compensaciones
Seleccione la base de las compensaciones que figuran en el archivo de texto
que desea importar. Esto suele ser hexadecimal, octal y decimal, pero
también son compatibles

Fecha / Hora
Marque esta casilla si hay marcas de tiempo asociadas con los marcos en el
archivo de texto para importar desea utilizar. De lo contrario la hora actual se
usa para el sellado de tiempo de los marcos

Formato
Este es el especificador de formato que se utiliza para analizar las marcas de
tiempo en el archivo de texto que desea importar. Se utiliza una sintaxis
simple para describir el formato de los sellos de tiempo, utilizando% de H
para la hora, M para los minutos, S para el segundo, etc La HH sencillo: MM:
SS está cubierto

Tipo de encapsulado
Aquí puede seleccionar el tipo de tramas que está importando. Todo esto
depende de qué tipo de medio se tomó el volcado de importar. En él se
enumeran todos los tipos que Wireshark entiende, con el fin de pasar el
contenido del archivo de captura para el disector derecha.
Lista de archivos Esta opción de menú le permite mostrar una lista de
archivos en un conjunto de archivos. Se aparece el cuadro de diálogo Set
List File Wireshark
Las siguientes funciones en el "Set File" submenú del menú "Archivo" están
disponibles para trabajar con conjuntos de archivos de una forma sencilla
Copiar> Descripción Shift + Ctrl + D

Este elemento de menú se copia la descripción del elemento seleccionado

en la vista de detalle en el portapapeles.

Copiar> Fieldname Shift + Ctrl + F

Este elemento de menú se copia el nombre del campo del elemento

seleccionado en la vista de detalle en el porta papeles.

Copiar> Como Shift Filter + Ctrl + C

Este elemento de menú se utiliza el elemento seleccionado en la vista de

detalle para crear un filtro de pantalla. Este filtro de pantalla se copia en el
porta papeles.

Ctrl + F Esta opción abre un cuadro de diálogo que permite buscar un

paquete de muchos criterios.

Usted puede encontrar fácilmente los paquetes una vez que han capturado
algunos paquetes o ha leído en un fichero de captura previamente guardado.
Sólo tiene que seleccionar el paquete de encontrar, elemento de menú en el
menú Edición.

4. BARRA DE HERRAMIENTAS DEL MENU VER

Barra de herramientas principal

Este elemento de menú oculta o muestra la barra de herramientas principal

Barra de herramientas de filtro

Este elemento de menú se esconde y muestra la barra de herramientas de

filtro

Barra de herramientas inalámbricas

Este elemento de menú oculta o muestra la barra de herramientas

inalámbricas. Consulte la documentación AirPcap para más información.

Barra de Estado

Este elemento de menú oculta o muestra la barra de estado

Lista de Paquetes
Este elemento de menú oculta o muestra el panel de la lista de paquetes
 Detalles del Paquete
Este elemento de menú oculta o muestra el panel de detalles de paquetes

Paquete Bytes
Este elemento de menú oculta o muestra el panel de bytes de paquetes

Formato de visualización de fecha y hora

Visualizar segundos con horas y minutos Selección de esto dice Wireshark

para mostrar las marcas de tiempo en segundos, con horas y minutos

Resolución de Nombre

Resolver el nombre de este elemento le permite activar un nombre resolver

del paquete actual sólo. La resolución de nombres intenta convertir algunos
de los valores de las direcciones numéricas en un formato legible para las
personas. Hay dos maneras posibles de hacer estas conversiones,
dependiendo de la resolución por hacer: llamar a los servicios del sistema /
red (como la función gethostname ()) y / o resolver de los archivos de
configuración específicos Wireshark. Para obtener detalles sobre la
configuración de los archivos de

Los nombres resueltos no se almacenan en el archivo de captura o en otro

lugar. Así que los nombres resueltos pueden no estar disponibles si se abre
el archivo de captura fuera de plazo o en un equipo diferente. Cada vez que
se abre un archivo de captura que puede parecer "un poco diferente",
simplemente porque no puede conectarse al servidor de nombres (que se
puede conectar al anterior)
Desplazamiento automático en Live Capture

Name Resolution Enable for MAC Layer

Este elemento le permite controlar si Wireshark traduce las direcciones MAC
en nombres
Habilitar resolución de nombres para la capa de red

Este elemento le permite controlar si Wireshark traduce las direcciones de

red en nombres

Resolución de nombres habilitada para la capa de transporte

Este elemento le permite controlar si Wireshark traduce las direcciones de

transporte en nombres

Colorear lista de paquetes

Este elemento le permite controlar si Wireshark debe colorear la lista de

paquetes.

Este elemento le permite especificar que Wireshark debe desplazar el panel

de lista de paquetes como los nuevos paquetes entran, por lo que siempre
estamos buscando en el último paquete. Si no se especifica esto, Wireshark
simplemente añade nuevos paquetes en el extremo de la lista, pero no se
desplaza el panel de la lista de paquetes.

Colorear conversación

Este elemento de menú aparece un submenú que le permite dar color a los
paquetes en el panel de la lista de paquetes basados en las direcciones del
paquete seleccionado. Esto hace que sea fácil de distinguir los paquetes que
pertenecen a diferentes conversaciones

Colorear Conversación Nueva regla para colorear

Este elemento de menú se abre una ventana de diálogo en la que una nueva
regla para colorear permanente se puede crear sobre la base de la
conversación seleccionada.

Reglas para colorear

Este elemento de menú aparece un cuadro de diálogo que le permite a los

paquetes de color en el panel de la lista de paquetes de acuerdo a las
expresiones de filtro que usted elija. Puede ser muy útil para detectar ciertos
tipos de paquetes
Hay dos tipos de reglas para colorear en Wireshark, los temporales que sólo
se usan hasta que salga del programa, y los permanentes que se pueden
guardar en un archivo de preferencias para que estén disponibles en una
próxima sesión

Mostrar paquete en ventana nueva

Este elemento de menú abre el paquete seleccionado en una ventana

separada. La ventana separada sólo muestra la vista de árbol y ver los
paneles de byte.

5.BARRA DE MENU IR
Atrás Alt+Izquierda (Izquierda)

Saltar al paquete recientemente visitado en la historia de paquetes, al igual

que el historial de la página en un navegador web

Adelante Alt+Derecha (Derecha)

Ir a la siguiente paquete visitado en la historia de paquetes, al igual que el

historial de la página en un navegador web.

Ir a Paquete Ctrl+G

Hace que aparezca un cuadro de diálogo que le permite especificar un

número de paquete, y luego se va a ese paquete

Ir al paquete correspondiente
Ir al paquete correspondiente del campo de protocolo seleccionado
actualmente. Si el campo seleccionado no se corresponde con un paquete,
este elemento aparece desactivado.

Paquete anterior Ctrl+Arriba (Arriba)

Va al paquete anterior en la lista. Esto se puede utilizar para mover al

paquete anterior, incluso si la lista de paquetes no tiene el foco del teclado.

Siguiente paquete Ctrl+Abajo (Abajo)

Pasar a la siguiente paquete en el lista. Esto se puede utilizar para mover al

paquete anterior, incluso si la lista de paquetes no tiene el foco del teclado.

Paquete anterior en conversación Ctrl+,

Va al paquete anterior en la conversación actual. Esto se puede utilizar para

mover al paquete anterior, incluso si la lista de paquetes no tiene el foco del
teclado

6 BARRA DE MENU CAPTURA

Interfaces... Ctrl+I

Este punto del menú aparecerá un cuadro de diálogo que muestra lo que
está pasando en las interfaces de red Wireshark conoce
- Descripcion
La descripción de la interfaz proporcionada por el sistema operativo.

- IP

La primera dirección IP Wireshark que pudo encontrar para esta interfaz.

Puede hacer clic en la dirección para pasar por otras direcciones asignadas a
la misma, si está disponible. Si se puede conocer ninguna dirección se
mostrará "Ninguno".

- Paquete

El número de paquetes capturados de esta interfaz, desde que se abrió este

diálogo. Aparecerá en gris, si ningún paquete fue capturado en el último
segundo.

- Detener

Detener una captura actualmente en ejecución.

- Iniciar

Inicia una captura en todas las interfaces seleccionadas inmediatamente,

utilizando la configuración de la última captura o la configuración por defecto,
si no se han fijado las opciones.

Abre el cuadro de diálogo Opciones de captura con las interfaces marcadas

seleccionados

Detalles
Abre un cuadro de diálogo con información detallada acerca de la interfaz

- Ayuda

Muestra esta página de ayuda.

- cerrar
Cierra este cuadro de diálogo.

Iniciar Ctrl+E

Inmediatamente empezar a capturar paquetes con la misma configuración

que la última vez.

Detener Ctrl+E
 Este elemento de menú se detiene la captura actualmente en ejecución

Restaurar Ctrl+R

Este elemento de menú se detiene la captura se está ejecutando y se inicia

de nuevo con las mismas opciones, esto es sólo por conveniencia.

Captura de filtros

Este elemento de menú aparece un cuadro de diálogo que le permite crear

y editar los filtros de captura. Usted puede nombrar a los filtros, y usted
puede guardar para uso futuro.

7. BARRA DE MENU DE ANALIZIS

Mostrar Filtros

En este elemento de menú aparece un cuadro de diálogo que le permite

crear y editar filtros de visualización. Usted puede nombrar a los filtros, y
usted puede guardar para uso futuro.

Mostrar macros de Filtros

En este elemento de menú aparece un cuadro de diálogo que le permite
crear y editar macros filtro de visualización. Usted puede nombrar a macros
de filtro, y usted puede guardar para uso futuro.

Aplicar Filtro colomna

Este elemento de menú agrega el elemento protocolo seleccionado en el

panel de detalles de paquetes como una columna de la lista de paquetes.

Preparando filtros

Este elemento de menú cambiará el filtro de presentación actual, pero no se

aplicará el filtro cambiado. Dependiendo de la opción elegida, la cadena
actual filtro de presentación será reemplazado o anexa por el campo de
protocolo seleccionado en el panel de detalles de paquetes

... Shift+Ctrl+E
Este ítem del menú permite al usuario activar / desactivar disectores de
protocolos

Activar Todos

Activar todos los protocolos de la lista

Desactivar Todos

Desactivar todos los protocolos de la lista.

Cambia el estado de todos los protocolos de la lista.

OK
Aplicar los cambios y cerrar el cuadro de diálogo.

Aplicar

Aplicar los cambios y mantener el cuadro de diálogo abierto.

Guardar

Guardar los ajustes a los protocolos con discapacidad.

8 BARRA DE MENÚ ESTADISTICA

Datos jerárquicos de los protocolos
Conversiones

Mostrar una lista de conversaciones (tráfico entre dos puntos finales

Puntos Finales

Mostrar una lista de puntos finales (el tráfico hacia / desde una dirección)
Un punto final de red es el punto final lógico de tráfico de protocolo separada
de una capa de protocolo específico. Las estadísticas de punto final de
Wireshark tomarán los siguientes criterios de valoración en cuenta:

Ethernet: Un punto final Ethernet es idéntica a la dirección MAC de Ethernet.

Fibre Channel: XXX - Insertar información aquí.

FDDI: Un punto final de FDDI es idéntica a la dirección MAC de FDDI.

IPv4: Un punto final IP es idéntica a su dirección IP.

IPX: Un punto final IPX es la concatenación de un número de red de 32 bits y
48 bits dirección del nodo, ya sea por defecto la dirección MAC de redes
Ethernet.

JXTA: Un punto final JXTA es un poco 160 SHA-1 URN.

NCP: XXX - Insertar información aquí.

RSVP: XXX - Insertar información aquí.

SCTP: Un punto final SCTP es una combinación de las direcciones IP de

host (en plural) y el puerto SCTP utilizados. Tan diferentes puertos SCTP en
la misma dirección IP diferentes puntos finales SCTP, pero el mismo puerto
SCTP en diferentes direcciones IP de la misma máquina todavía el mismo
punto final.

TCP: Un extremo TCP es una combinación de la dirección IP y el puerto TCP

utilizado, por lo que los diferentes puertos TCP en la misma dirección de IP
diferentes puntos finales TCP

Para cada protocolo soportado, se muestra una ficha en esta ventana. En la

etiqueta de cada ficha se muestra el número de puntos finales capturados
(por ejemplo, la etiqueta de la ficha "Ethernet: 5" te dice que cinco puntos
finales de Ethernet han sido capturados). Si se capturaron ningún punto final
de un protocolo específico, la etiqueta de la ficha aparecerá en gris (aunque
la página relacionada todavía se puede seleccionar)

8. BARRA DE MENU TELEFONIA

Wireshark ofrece una amplia gama de estadísticas de la red
relacionados con la telefonía de la que se puede acceder a través del
menú de telefonía

Estas estadísticas abarcan desde protocolos de señalización específicos, el

análisis de los flujos de señalización y medios de comunicación. Si codificado
en una codificación compatible con el flujo de los medios de comunicación,
incluso se puede reproducir.

ANSI

"El Instituto Nacional Estadounidense de Estándares (ANSI) es una

organización privada, sin fines de lucro (501 (c) 3), que administra y coordina
el sistema de normalización voluntaria EE.UU. y la evaluación de la
conformidad".

ANSI facilita el desarrollo de American National Standards (ANS), mediante

la acreditación de los procedimientos de las organizaciones de desarrollo de
normas (SDO). Estos grupos trabajan conjuntamente para desarrollar
estándares nacionales de consenso voluntario. La acreditación de ANSI
significa que los procedimientos utilizados por el organismo de normalización
en relación con el desarrollo de la American National Standards encuentran
el Instituto? S requisitos esenciales para la apertura, el equilibrio, el
consenso y el debido proceso.
GSM

GSM es un servicio de telecomunicaciones inalámbrico digital, representada

por un número de especificaciones. La tecnología GSM Piezas basa en ISND
fijo.

La "interfaz de aire" Original GSM teléfono móvil de segunda generación

(2G), era una interfaz TDMA, la interfaz de tercera generación W-CDMA es
una interfaz CDMA. GSM, sin embargo, las preocupaciones sobre la "interfaz
de aire" se refiere a todo el conjunto de protocolos.

Proyecto de Asociación de 3 ª Generación (3GPP) GSM especificacion

La familia de Protocolos de GSM CONSTA MUCHOS Protocolos, y Otros

Protocolos hijo transportados en la Parte Superior de Estós.
GSMMAP : GSM Mobile Application Part, ETSI TS 129 002
GSM SMS : El servicio de mensajes cortos GSM.
CAMEL : Aplicaciones a medida para Mobile lógica mejorada ETSI 300 374
A GSM : GSM A Interface (BSSMAP / DTaP)
WapProtocolFamily : La colección completa de WAP protocolos se puede
transmitir a través de GSM.

RTP Analysis

La función de análisis de RTP toma el flujo RTP seleccionado (y la corriente

inversa, si es posible) y genera una lista de estadísticas sobre el mismo

9. BARRA DE MENU HERRAMIENTAS

Reglas de Acl Corta Fuegos

Esto le permite crear reglas de ACL de línea de comandos para muchos productos
diferentes, incluyendo firewall Cisco IOS, Netfilter de Linux (iptables), OpenBSD pf y
el Firewall de Windows (a través de netsh). Se admiten Reglas para las direcciones
MAC, direcciones IPv4, TCP y UDP, y combinaciones de IPv4 + port.

Lua

Estas opciones le permiten trabajar con el intérprete Lua opcionalmente construir en

Wireshark.
 10. ESQUEMA DE COLORES BARRA VISUALIZACION

Por lo geeneral y por defecto, las líneas significan

Verde: HTTP

Morada claro: tráfico TCP

Azul claro: tráfico UDP, DNS

Negro: segmentos TCP problemáticos

11.COMANDOS FILTRADOS DE WIRESHARK

FILTRADO POR HOST

host host Filtrar por host

src host host Capturar por host origen
dst host host Capturar por host destino
host 192.168.1.20 Captura todos los paquetes con
origen y destino 192.168.1.20
src host 192.168.1.1 Captura todos los paquetes con
origen en host 192.1681.1
dst host 192.168.1.1 Captura todos los paquetes con
destino en host 192.168.1.1
dst host SERVER-1 Captura todos los paquetes con
 destino en host SERVER-1

FILTRADO POR PUERTO

port port Captura todos los paquetes con puerto

origen y destino port
src port port Captura todos los paquetes con puerto
origen port
dst port port Captura todos los paquetes con puerto
destino port
not port port Captura todos los paquetes excepto
origen y destino puerto port
not port port and not port port1 Captura todos los paquetes excepto
origen y destino puertos port y port1

FILTRADO POR ETHERNET/ IP

ip Captura todo el trafico IP

ip proto \tcp Captura todos los segmentos TCP
ether proto \ip Captura todo el trafico IP
ip proto \arp Captura todo el trafico ARP

FILTRADO POR DNS

net net Captura todo el trafico con origen y

destino red net
dst net net Captura todo el trafico con destino
red net
src net net Captura todo el trafico con origen
red net

FILTRADO POR VIRTUALIZACION

ip.addr == 192.168.1.40
ip.addr != 192.168.1.25
ip.dst == 192.168.1.30
ip.src == 192.168.1.30
ip
tcp.port ==143
Visualizar tráfico por host
192.168.1.40
Visualizar todo el tráfico excepto
host 192.168.1.25
Visualizar por host
destino192.168.1.30
Visualizar por host origen
192.168.1.30
Visualiza todo el tráfico IP
Visualiza todo el tráfico origen y
destino puerto 143

10 PRACTICA DE WIRESHARK

Realizar un monitoreo del trafico de la red , de una pagina web de

una red social , mediante el envió de un mensaje de texto o de voz ,
verificar el trafico de paquetes , y que procolo esta utilizando y ,
realizar na consolación sobre el taller

1 primero que hacemos es buscar la dirección ip del equipo que se

encuentra conectado a nuestra red wiffi es 192.168.0.5
2

Ejecutamos el software wireshark y seleccionamos la opción del wiffi

3.Enviamos un archivo desde el whassap web personal al whassap
corporativo

En
la

primera imagen nos muestra la dirección ip de destino y el primer protocolo

que utilizo que fue TCP, en la capa de aplicación
En la segunda imagen utiliza el protocolo Quic hace parte de la capa de
transporte del modelo tcp/ip

CONCLUSIONES

Este trabajo se realizó con el fin de identificar el software, sus

características y también su funcionamiento , esta herramienta ,
también puede ayudar mucho a a visualizar el tráfico en la red , y los
protocolos que manejan , es de vital importancia siempre tener en
cuenta, la visualización la regla de colores, también los comandos de
filtrado