Universidad Pontificia de salamanca

Redes y Servicios de Comunicaciones Curso 2020-2021

Documentación Wireshark

¿Qué es Wireshark?

Wireshark es básicamente una herramienta de análisis del tráfico en red (también

llamado analizador de paquetes o “packet sniffer”). Permite visualizan el tráfico de
paquetes que circulan por las redes de computadores, permitiendo analizar el
comportamiento de éstas, detectando errores, congestión, etc.

Un sniffer ("sniff = olfatear, husmear") captura mensajes que se envían/reciben

desde/por un ordenador. También suele almacenar y/o mostrar el contenido de los
diversos campos de protocolo en estos mensajes capturados. Los sniffers son pasivos,
es decir, observan los mensajes que se envían y reciben por las aplicaciones y protocolos
que se ejecutan en un ordenador, pero nunca envían paquetes por sí mismos. Por tanto,
los paquetes que recibe nunca se dirigen explícitamente al analizador de paquetes si no
una copia de los mismos.

La Figura 1 muestra la estructura de un sniffer. A la derecha están los protocolos (en este
caso, los protocolos de Internet) y las aplicaciones (como un navegador web o un cliente
ftp). El sniffer se muestra dentro del rectángulo punteado de la Figura 1 y consta de dos
partes:
1. El capturador de paquetes recibe una copia de cada marco de capa de enlace
que se envía o recibe desde nuestro ordenador. Recordemos que los mensajes
intercambiados por protocolos de capa superior como HTTP, FTP, TCP, UDP, DNS,
o IP, son eventualmente encapsulados en marcos de la capa de enlace que son
transmitidos a través de medios físicos como un cable Ethernet. En la Figura 1, el
medio físico asumido es una Ethernet, por lo que todos los protocolos de capas
superiores son eventualmente encapsulados dentro de un marco Ethernet. La
captura de todos los marcos de la capa de enlace permite obtener todos los
mensajes enviados/recibidos desde/por todos los protocolos y aplicaciones
que se ejecutan en capas superiores.
2. El analizador de paquetes, muestra el contenido de todos los campos dentro de
un mensaje de un protocolo. Para ello, el analizador de paquetes debe
"comprender" la estructura de todos los mensajes, segmentos, datagramas y
tramas (marcos) intercambiados por los protocolos de aplicación, transporte,
red y enlace respectivamente. Por ejemplo, supongamos que estamos
interesados en mostrar los diversos campos de los mensajes intercambiados por
el protocolo HTTP en la Figura 1. El analizador de paquetes entiende el formato
de las tramas de Ethernet, y así puede identificar el datagrama IP dentro de una
trama de Ethernet. También entiende el formato del datagrama IP, de modo que
puede extraer el segmento TCP dentro del datagrama IP. Por último, entiende la

1
Universidad Pontificia de salamanca
Redes y Servicios de Comunicaciones Curso 2020-2021

estructura del segmento TCP, por lo que puede extraer el mensaje HTTP
contenido en el segmento TCP. Por último, entiende el protocolo HTTP y así, por
ejemplo, sabe que los primeros bytes de un mensaje HTTP contendrán la cadena
"GET", "POST" o "HEAD".

Figura 1. Estructura de un analizador de paquetes o packet sniffer.

El analizador Wireshark, es uno de los analizadores más populares que existen. Se trata
de una herramienta gráfica utilizada por los profesionales y/o administradores de la red
para identificar y analizar el tipo tráfico en un momento determinado. Se trata de un
producto gratuito cuyas características más relevantes son:
• Disponible para UNIX, LINUX, Windows y Mac OS.
• Captura los paquetes directamente desde una interfaz de red.
• Permite obtener detalladamente la información del protocolo utilizado en el
paquete capturado.
• Cuenta con la capacidad de importar/exportar los paquetes capturados
desde/hacia otros programas.
• Filtra los paquetes que cumplan con un criterio definido previamente.
• Realiza la búsqueda de los paquetes que cumplan con un criterio definido
previamente.
• Permite obtener estadísticas.
• Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de
colores los paquetes que cumplen con los filtros establecidos.
• Dispone de una amplia comunidad de usuarios y está bien documentado:
o Guía de usuario: http://www.wireshark.org/docs/wsug_html_chunked/
o Man page: http://www.wireshark.org/docs/man-pages/
o FAQ: http://www.wireshark.org/faq.html

2
Universidad Pontificia de salamanca
Redes y Servicios de Comunicaciones Curso 2020-2021

Instalación de Wireshark para trabajar desde casa

La página de descarga contiene los instaladores para diferentes sistemas operativos:

https://www.wireshark.org/download.html
Para instalar Wireshark en MacOS, seguir los siguientes pasos (se encuentran en el
Quick Setup del archivo “readmefirst.html” contenido en el dmg):
1. Descargar el archivo dmg de la página de descargas de Wireshark y ejecutarlo
2. Arrastrar el icono de Wireshark al icono de la carpeta de Aplicaciones
3. Instalar el paquete ChmodBPF
4. Se recomienda también instalar el paquete “Add Wireshark to the system
path”

Ejemplo de ejecución de Wireshark

Pantalla de inicio - selección de interfaz de captura

Al ejecutar el programa Wireshark, se tiene una pantalla de inicio similar a la pantalla de
la figura 2. Las diferentes versiones de Wireshark en diferentes OS tendrán diferentes
pantallas de inicio, pero como no hay diferencias reales en la funcionalidad.

Figura 2. Pantalla inicial de Wireshark

3
Universidad Pontificia de salamanca
Redes y Servicios de Comunicaciones Curso 2020-2021

En la sección de Captura, hay una lista de interfaces. El ordenador del que estamos
tomando estas capturas de pantalla tiene sólo una interfaz real - "Wi-Fi en0", que es la
interfaz para el acceso Wi-Fi. Todos los paquetes hacia/desde este ordenador pasarán a
través de la interfaz Wi-Fi, así que es aquí donde queremos capturar los paquetes. En un
Mac, haz doble clic en esta interfaz (o en otro ordenador localiza la interfaz en la página
de inicio a través de la cual estás obteniendo la conexión a Internet, por ejemplo, lo más
probable es que sea una interfaz WiFi o Ethernet, y selecciona esa interfaz.

Ejemplo de captura
Haciendo clic en una de las interfaces de la lista se inicia la captura de paquetes que se
envían a/desde esa interfaz. Aparecerá una pantalla similar a la que se muestra a
continuación, con información sobre los paquetes que se están capturando. Una vez
iniciada la captura de paquetes, se puede detener utilizando el menú desplegable
Captura y seleccionando Detener.

Figura 3. Interfaz gráfica de Wireshark durante la captura y análisis

En la figura 2 se observan los cinco componentes principales de la interfaz de Wireshark:

1. Los menús de comandos son menús desplegables estándar situados en la parte
superior de la ventana. De interés para nosotros ahora son los menús de Archivo
y Captura. El menú Archivo permite guardar los datos de los paquetes capturados
o abrir un archivo que contenga los datos de los paquetes previamente

4
Universidad Pontificia de salamanca
Redes y Servicios de Comunicaciones Curso 2020-2021

capturados, y salir de la aplicación Wireshark. El menú Captura le permite

comenzar la captura de paquetes.
2. Hacia la parte superior de la interfaz gráfica de usuario de Wireshark, se
encuentra el campo de filtro de visualización de paquetes, en el que se puede
introducir un nombre de protocolo u otra información a fin de filtrar la
información mostrada en la ventana de lista de paquetes (y, por lo tanto, las
ventanas de encabezamiento de paquete y contenido de paquete).
3. La ventana de listado de paquetes muestra un resumen de una línea por cada
paquete capturado, incluyendo el número de paquete (asignado por Wireshark;
éste no es un número de paquete contenido en el encabezamiento de ningún
protocolo), el momento en que el paquete fue capturado, las direcciones de
origen y destino del paquete, el tipo de protocolo y la información específica del
protocolo contenida en el paquete. La lista de paquetes puede ordenarse según
cualquiera de estas categorías haciendo clic en el nombre de una columna. El
campo de tipo de protocolo enumera el protocolo de más alto nivel que envió o
recibió este paquete, es decir, el protocolo que es la fuente o el sumidero final
de este paquete.
4. La ventana de detalles de la cabecera del paquete proporciona detalles sobre el
paquete seleccionado (resaltado) en la ventana de listado de paquetes. (Para
seleccionar un paquete en la ventana de listado de paquetes, colocar el cursor
sobre el resumen de una línea del paquete en la ventana de listado de paquetes
y hacer clic con el botón izquierdo del ratón). Estos detalles incluyen información
sobre la trama Ethernet (asumiendo que el paquete fue enviado/recibido a
través de una interfaz Ethernet) y el datagrama IP que contiene este paquete. La
cantidad de detalles de Ethernet y de la capa IP que se muestran puede ampliarse
o minimizarse haciendo clic en los cuadros más/menos a la izquierda de la trama
Ethernet o de la línea del datagrama IP en la ventana de detalles del paquete. Si
el paquete ha sido transportado por TCP o UDP, también se mostrarán los
detalles de TCP o UDP, que pueden expandirse o minimizarse de forma similar.
Por último, también se proporcionan detalles sobre el protocolo de más alto
nivel que envió o recibió este paquete.
5. La ventana de contenido del paquete muestra todo el contenido del cuadro
capturado, tanto en formato ASCII como hexadecimal.