Machine Translated by Google

Laboratorio
Wireshark: Introducción v6.0
Suplemento a las redes informáticas: un enfoque de arriba hacia abajo
th
Enfoque, 6 ed., JF Kurose y KW Ross

“Dímelo y lo olvido. Muéstramelo y lo recuerdo. involucrarme a mí y a mí

entender." Proverbio chino

© 2005­21012, JF Kurose y KW Ross, Todos los derechos reservados

La comprensión de los protocolos de red a menudo se puede profundizar mucho “viendo los protocolos en acción” y
“jugando con los protocolos”: observando la secuencia de mensajes intercambiados entre dos entidades de protocolo,
profundizando en los detalles de la operación del protocolo y haciendo que los protocolos funcionen. realizar ciertas
acciones y luego observar estas acciones y sus consecuencias. Esto puede
realizarse en escenarios simulados o en un entorno de red "real" como Internet. En los laboratorios de Wireshark que
realizará en este curso, ejecutará varias aplicaciones de red en
diferentes escenarios usando tu propia computadora (o puedes pedir prestado a un amigo; avísame si no tienes acceso a una
computadora donde puedas instalar/ejecutar Wireshark). Observarás los protocolos de red.
en su computadora "en acción", interactuando e intercambiando mensajes con entidades de protocolo que ejecutan
en otros lugares de Internet. Por lo tanto, usted y su computadora serán una parte integral de estos laboratorios "en vivo".
Observarás y aprenderás haciendo.

En esta primera práctica de laboratorio de Wireshark, se familiarizará con Wireshark y realizará algunas capturas y
observaciones de paquetes simples.

La herramienta básica para observar los mensajes intercambiados entre entidades de protocolo en ejecución se denomina
rastreador de paquetes. Como sugiere el nombre, un rastreador de paquetes captura (“huele”) los mensajes que
se envían/reciben desde/por su computadora; normalmente también almacenará y/o mostrará el contenido del
varios campos de protocolo en estos mensajes capturados. Un rastreador de paquetes en sí mismo es pasivo. observa
Los mensajes se envían y reciben mediante aplicaciones y protocolos que se ejecutan en su computadora, pero nunca envía
paquetes por sí mismo. De manera similar, los paquetes recibidos nunca se dirigen explícitamente al rastreador de paquetes.
En cambio, un rastreador de paquetes recibe una copia de los paquetes que se envían/reciben desde/mediante
aplicaciones y protocolos que se ejecutan en su máquina.

La Figura 1 muestra la estructura de un rastreador de paquetes. A la derecha de la Figura 1 están los protocolos (en este
caso, protocolos de Internet) y aplicaciones (como un navegador web o un cliente ftp) que normalmente se ejecutan en
su computadora. El rastreador de paquetes, que se muestra dentro del rectángulo discontinuo en la Figura 1, es
una adición al software habitual de su computadora y consiste
Machine Translated by Google

de dos partes. La biblioteca de captura de paquetes recibe una copia de cada trama de capa de enlace que se envía desde
1
o recibido por su computadora. Recuerde de la discusión de la sección 1.5 del texto (Figura 1.24 )
que los mensajes intercambiados por protocolos de capa superior como HTTP, FTP, TCP, UDP, DNS o IP son todos
eventualmente encapsulados en tramas de capa de enlace que se transmiten a través de medios físicos como un cable
Ethernet. En la Figura 1, el medio físico asumido es Ethernet, por lo que todos los protocolos de capa superior
eventualmente se encapsulan dentro de una trama Ethernet. La captura de todos los marcos de la capa de enlace le proporciona
todos los mensajes enviados/recibidos desde/por todos los protocolos y aplicaciones que se ejecutan en su
computadora.

aplicación (por ejemplo,

solicitud
navegador www, cliente ftp)

Sistema Transporte (TCP/UDP)

operativo Red (IP)
Enlace (Ethernet)
copia de todas las tramas Físico
Ethernet enviadas/recibidas

paquete
sniffer
hacia/desde la red hacia/desde la red

Figura 1: Estructura del rastreador de paquetes

El segundo componente de un rastreador de paquetes es el analizador de paquetes, que muestra el contenido de todos
campos dentro de un mensaje de protocolo. Para ello, el analizador de paquetes debe "comprender" la estructura de
todos los mensajes intercambiados por protocolos. Por ejemplo, supongamos que estamos interesados en mostrar
los distintos campos de los mensajes intercambiados por el protocolo HTTP en la Figura 1. El paquete
El analizador comprende el formato de las tramas Ethernet y, por lo tanto, puede identificar el datagrama IP dentro de un
Marco de Ethernet. También comprende el formato del datagrama IP, de modo que puede extraer el segmento TCP dentro
del datagrama IP. Finalmente, comprende la estructura del segmento TCP, por lo que puede extraer el mensaje HTTP contenido
en el segmento TCP. Finalmente, comprende el protocolo HTTP y, por lo tanto, sabe, por ejemplo, que los primeros
bytes de un mensaje HTTP contendrán la cadena "GET", "POST" o "HEAD", como se muestra en la Figura 2.8 del texto.

Usaremos el rastreador de paquetes Wireshark [http://www.wireshark.org/] para estos laboratorios, lo que nos permitirá
para mostrar el contenido de los mensajes que se envían/reciben desde/mediante protocolos en diferentes niveles de la pila
de protocolos. (Técnicamente hablando, Wireshark es un analizador de paquetes que utiliza una biblioteca de captura de paquetes
en su computadora). Wireshark es un analizador de protocolos de red gratuito que se ejecuta en Windows, Linux/Unix,
y computadoras Mac. Es un analizador de paquetes ideal para nuestros laboratorios: es estable, tiene una gran base de
usuarios y soporte bien documentado que incluye una guía del
usuario (http://www.wireshark.org/docs/wsug_html_chunked/),

1
Las referencias a figuras y secciones corresponden a la sexta edición de nuestro texto, Redes de computadoras, un enfoque de arriba hacia abajo.
th
Enfoque, 6 ed., JF Kurose y KW Ross, Addison­Wesley/Pearson, 2012.
Machine Translated by Google

páginas de manual (http://www.wireshark.org/docs/man­pages/) y preguntas frecuentes detalladas

(http://www.wireshark.org/faq.html), rica funcionalidad que incluye la capacidad de analizar cientos de protocolos y una
interfaz de usuario bien diseñada. Funciona en computadoras que utilizan Ethernet, serie (PPP y SLIP), LAN inalámbricas
802.11 y muchas otras tecnologías de capa de enlace (si el sistema operativo en
que está ejecutando permite a Wireshark hacerlo).

Obtener Wireshark

Para ejecutar Wireshark, necesitará tener acceso a una computadora que admita Wireshark
y la biblioteca de captura de paquetes libpcap o WinPCap . El software libpcap se instalará automáticamente, si no está instalado
en su sistema operativo, cuando instale Wireshark. Ver
http://www.wireshark.org/download.html para obtener una lista de sistemas operativos compatibles y sitios de descarga

Descargue e instale el software Wireshark:

• Vaya a http://www.wireshark.org/download.html y descargue e instale el binario Wireshark.

para tu computadora.
Las preguntas frecuentes de Wireshark contienen varios consejos útiles y datos interesantes, especialmente
si tiene problemas para instalar o ejecutar Wireshark.

Ejecutando Wireshark

Cuando ejecute el programa Wireshark, aparecerá una pantalla de inicio, como se muestra a continuación:

Figura 2: Pantalla inicial de Wireshark

Machine Translated by Google

Eche un vistazo a la parte superior izquierda de la pantalla; verá una "lista de interfaces". Esta es la lista de interfaces de red en
su computadora. Una vez que elija una interfaz, Wireshark capturará todos los paquetes en esa interfaz. En el ejemplo
anterior, hay una interfaz Ethernet (Conexión de red Gigabit) y una interfaz inalámbrica (“Microsoft”).

Si hace clic en una de estas interfaces para iniciar la captura de paquetes (es decir, para que Wireshark comience a capturar todos
paquetes que se envían hacia/desde esa interfaz), se mostrará una pantalla como la siguiente, que muestra información
sobre los paquetes que se capturan. Una vez que inicie la captura de paquetes, puede detenerla usando el menú desplegable
Captura y seleccionando Detener.

Figura 3: Interfaz gráfica de usuario de Wireshark, durante la captura y el análisis de paquetes

La interfaz Wireshark tiene cinco componentes principales:

• Los menús de comandos son menús desplegables estándar ubicados en la parte superior de la ventana.
Ahora nos interesan los menús Archivo y Captura. El menú Archivo le permite guardar los datos del paquete
capturado o abrir un archivo que contiene datos del paquete capturado previamente y salir de la aplicación
Wireshark. El menú Captura le permite comenzar la captura de paquetes.
Machine Translated by Google

• La ventana de listado de paquetes muestra un resumen de una línea para cada paquete capturado,
incluido el número de paquete (asignado por Wireshark; este no es un número de paquete contenido en el encabezado de
ningún protocolo), la hora a la que se capturó el paquete, las direcciones de origen y destino del paquete, el tipo de
protocolo y la información específica del protocolo contenida en
el paquete. La lista de paquetes se puede ordenar según cualquiera de estas categorías haciendo clic en el nombre de
una columna. El campo de tipo de protocolo enumera el protocolo de nivel más alto que envió o recibió este
paquete, es decir, el protocolo que es el origen o el sumidero final de este paquete.
• La ventana de detalles del encabezado del paquete proporciona detalles sobre el paquete seleccionado.
(resaltado) en la ventana de listado de paquetes. (Para seleccionar un paquete en la ventana de listado de
paquetes, coloque el cursor sobre el resumen de una línea del paquete en la ventana de listado de paquetes y haga clic
con el botón izquierdo del mouse). Estos detalles incluyen información sobre la trama Ethernet (suponiendo
que el paquete se envió/recibió a través de una interfaz Ethernet) y el datagrama IP que contiene este paquete. La
cantidad de detalles de la capa IP y Ethernet que se muestran se puede ampliar o minimizar haciendo clic en los
cuadros más menos a la izquierda del marco Ethernet o la línea del datagrama IP en la ventana de detalles del
paquete. Si el paquete se ha transportado a través de TCP o UDP, también se mostrarán los detalles de TCP o UDP,
que también se pueden ampliar o minimizar. Finalmente, también se proporcionan detalles sobre el protocolo de nivel
más alto que envió o recibió este paquete.

• La ventana de contenido del paquete muestra el contenido completo del marco capturado, tanto en
Formato ASCII y hexadecimal.

• Hacia la parte superior de la interfaz gráfica de usuario de Wireshark, se encuentra el filtro de visualización de paquetes.
campo, en el que se puede ingresar un nombre de protocolo u otra información para filtrar la información que se
muestra en la ventana de listado de paquetes (y, por lo tanto, en las ventanas de encabezado y contenido del
paquete). En el siguiente ejemplo, usaremos el campo de filtro de visualización de paquetes para que Wireshark oculte
(no muestre) los paquetes, excepto aquellos que corresponden a mensajes HTTP.

Tomando Wireshark para una prueba

¡La mejor manera de aprender sobre cualquier software nuevo es probarlo! Asumiremos que su computadora está conectada
a Internet a través de una interfaz Ethernet por cable. De hecho, te recomiendo que lo hagas.
esta primera práctica de laboratorio en una computadora que tiene una conexión Ethernet por cable, en lugar de solo una inalámbrica
conexión. Haz lo siguiente

1. Inicie su navegador web favorito, que mostrará la página de inicio seleccionada.

2. Inicie el software Wireshark. Inicialmente verá una ventana similar a la que se muestra
en la Figura 2. Wireshark aún no ha comenzado a capturar paquetes.

3. Para comenzar la captura de paquetes, seleccione el menú desplegable Captura y seleccione Interfaces. Esto hará que
se muestre la ventana "Wireshark: Capture Interfaces", como se muestra en la Figura 4.
Machine Translated by Google

Figura 4: Ventana de interfaz de captura de Wireshark

4. Verá una lista de las interfaces en su computadora, así como un recuento de los paquetes.
que se han observado en esa interfaz hasta ahora. Haga clic en Iniciar para la interfaz en la que desea comenzar

la captura de paquetes (en el caso, la red Gigabit

Conexión). La captura de paquetes ahora comenzará. ¡Wireshark ahora está capturando todos los paquetes que
se envían/reciben desde/por su computadora!

5. Una vez que comience la captura de paquetes, aparecerá una ventana similar a la que se muestra en la Figura 3.
Esta ventana muestra los paquetes que se están capturando. Al seleccionar el menú desplegable Capturar y
seleccionar Detener, puede detener la captura de paquetes. Pero no detengas la captura de paquetes todavía.
Primero capturemos algunos paquetes interesantes. Para hacerlo, necesitaremos generar algo de tráfico de red.
Hagámoslo utilizando un navegador web, que utilizará el protocolo HTTP que estudiaremos en detalle en clase para
descargar contenido de un sitio web.

6. Mientras se ejecuta Wireshark, ingrese la URL:

http://gaia.cs.umass.edu/wireshark­labs/INTRO­wireshark­file1.html y muestre esa página en

su navegador. Para mostrar esta página, su

El navegador se pondrá en contacto con el servidor HTTP en gaia.cs.umass.edu e intercambiará datos HTTP.
mensajes con el servidor para poder descargar esta página, como se comenta en el apartado 2.2 del texto. Wireshark
capturará las tramas Ethernet que contienen estos mensajes HTTP (así como todas las demás tramas que pasan
a través de su adaptador Ethernet).

7. Después de que su navegador haya mostrado la página INTRO­wireshark­file1.html (es una

simple una línea de felicitaciones), detenga la captura de paquetes de Wireshark seleccionando detener
en la ventana de captura de Wireshark. La ventana principal de Wireshark ahora debería verse similar a la
Figura 3. ¡Ahora tiene datos de paquetes en vivo que contienen todos los mensajes de protocolo
intercambiados entre su computadora y otras entidades de red! El HTTP
Los intercambios de mensajes con el servidor web gaia.cs.umass.edu deberían aparecer en algún lugar.
en el listado de paquetes capturados. Pero habrá muchos otros tipos de paquetes.
también se muestra (ver, por ejemplo, los diferentes tipos de protocolos que se muestran en la columna Protocolo
en la Figura 3). Aunque la única acción que tomó fue descargar una página web, evidentemente había muchos
otros protocolos ejecutándose en su computadora que el usuario no ve. Aprenderemos mucho más sobre estos
protocolos a medida que avancemos.
a través del texto! Por ahora, debes tener en cuenta que a menudo suceden muchas más cosas que “lo que se
ve a simple vista”.
Machine Translated by Google

8. Escriba "http" (sin las comillas y en minúsculas; todos los nombres de los protocolos están en minúsculas).
caso en Wireshark) en la ventana de especificación del filtro de visualización en la parte superior de la
ventana principal de Wireshark. Luego seleccione Aplicar (a la derecha de donde ingresó “http”). Esto hará
que solo se muestre el mensaje HTTP en la ventana de listado de paquetes.

9. Busque el mensaje HTTP GET que se envió desde su computadora al servidor HTTP gaia.cs.umass.edu. (Busque
un mensaje HTTP GET en la parte "lista de paquetes capturados" de la ventana de Wireshark (consulte
la Figura 3) que muestra "GET" seguido de la URL gaia.cs.umass.edu que ingresó. Cuando selecciona
el mensaje HTTP El mensaje GET, la trama Ethernet, el datagrama IP, el segmento TCP y la información del
encabezado del mensaje HTTP se mostrarán en la ventana del encabezado del paquete.
2
. Al hacer clic en '+' y '­' que apuntan hacia la derecha y
Las puntas de flecha que apuntan hacia abajo en el lado izquierdo de la ventana de detalles del paquete
minimizan la cantidad de información de trama, Ethernet, protocolo de Internet y protocolo de control
de transmisión que se muestra. Maximice la cantidad de información que se muestra sobre el protocolo
HTTP. Su pantalla de Wireshark ahora debería verse aproximadamente como se muestra en la Figura 5.
(Tenga en cuenta, en particular, la cantidad minimizada de información de protocolo para todos los
protocolos excepto HTTP, y la cantidad maximizada de información de protocolo para HTTP en la ventana del
encabezado del paquete).

10. Salga de Wireshark

¡Felicidades! Ya ha completado el primer laboratorio.

2
Recuerde que el mensaje HTTP GET que se envía al servidor web gaia.cs.umass.edu está contenido
dentro de un segmento TCP, que está contenido (encapsulado) en un datagrama IP, que está encapsulado en
una trama Ethernet. Si este proceso de encapsulación no está del todo claro aún, revisa la sección 1.5 del texto.
Machine Translated by Google

Figura 5: Ventana de Wireshark después del paso 9

Machine Translated by Google

Que entregar

El objetivo de este primer laboratorio fue principalmente presentarle Wireshark. Las siguientes preguntas demostrarán que ha podido
poner en funcionamiento Wireshark y que ha explorado algunas de sus capacidades. Responda las siguientes preguntas, basándose
en su experimentación con Wireshark:

1. Enumere 3 protocolos diferentes que aparecen en la columna de protocolo en el listado de paquetes sin filtrar
ventana en el paso 7 anterior.
2. ¿Cuánto tiempo pasó desde que se envió el mensaje HTTP GET hasta que se recibió la respuesta HTTP OK? (De forma
predeterminada, el valor de la columna Tiempo en la ventana de listado de paquetes es la cantidad de tiempo, en segundos,
desde que comenzó el seguimiento de Wireshark. Para mostrar el campo Tiempo en
formato de hora del día, seleccione el menú desplegable Vista de Wireshark, luego seleccione Formato de visualización
de hora y luego seleccione Hora del día).
3. ¿Cuál es la dirección de Internet de gaia.cs.umass.edu (también conocida como wwwnet.cs.umass.edu)?
¿Cuál es la dirección de Internet de su computadora?
4. Imprima los dos mensajes HTTP (GET y OK) mencionados en la pregunta 2 anterior. Para hacerlo, seleccione
Imprima desde el menú de comando Archivo Wireshark y seleccione “Solo paquete seleccionado” y
Botones radiales “Imprimir como se muestra” y luego haga clic en Aceptar.