Introducción a Wireshark (Como herramienta de análisis y captura).

En virtud de ser una herramienta fundamental para todo el trabajo que desarrollaremos
en el libro, en este apartado se hace una presentació n inicial con los conceptos bá sicos que es
necesario tener para poder comenzar a emplearla.
De aquí en má s lo llamaremos directamente Wireshark (Cuyo predecesor fue “Ethereal”)
pero se da por entendido que nos estamos refiriendo a la versió n actual. Como ya se
mencionó con anterioridad, un analizador de protocolos es una herramienta que permite
capturar, filtrar y analizar el trá fico de una red. Los datos capturados pueden ser guardados
para un aná lisis posterior o analizados inmediatamente después de la captura. Esta
herramienta puede ser una combinació n de Hardware y Software (como por ejemplo el
Internet Advisor de HP), o simplemente Software como es el caso de Ethereal, Iris, Network
Monitor de Microsoft. WIRESHARK permite lo siguiente:
 Capturar tramas directamente desde la red.
 Mostrar y filtrar las tramas capturadas.
 Editar las tramas y transmitirlas por la red.
 Capturar tramas desde un ordenador remoto.
 Realizar aná lisis y estadísticas.
Es muy importante el concepto de MODO PROMISCUO, cuyo significado es que el
adaptador de red permite el ingreso (“escucha”) absolutamente todas las tramas que pasan
por el cable. Se debe tener en cuenta que un adaptador que trabaja en modo promiscuo
significa que delega todo el trabajo en la CPU por lo tanto representa una sobrecarga de tareas
al ETD que se le instala, no siendo así en el que opera NO en modo promiscuo, que posee
mecanismos de filtrado que liberan de las actividades de nivel 2 al ETD.
Al abrir Ethereal nos presenta una imagen como la que vemos a continuació n.

La primera actividad que debemos hacer es seleccionar y configurar la Interfaz que

emplearemos.
 Al seleccionarla nos presenta la siguiente ventana.

Como se puede apreciar, en mi ordenador existen cuatro potenciales interfaces a

emplear, y en estos momentos só lo tiene direcció n IP la “Realtek 10/100/1000 Ethernet”. No
es necesario que una interfaz tenga direcció n IP para que escuche, pero suele ser necesario
para capturar trá fico que deseo generar a la red y verificar sus respuestas, por esta razó n,
seleccionaremos la Interfaz Ethernet.
NOTA: Un detalle que me ha sucedido es que para las redes WiFi, el sistema
Operativo Windows, no me permite colocar la interfaz de red (por ejemplo: en la
imagen anterior la que figura como “Atheros AR5006X Gíreles”) en modo promiscuo,
pero sí lo hace con Linux (en mi caso con Debian), no sé si es algo propio de mi
portátil y este interfaz de WiFi o es un tema de Microsoft, pero os dejo la inquietud.
Nuestro siguiente paso debería ser seleccionar la interfaz que emplearemos (haciendo
“Clic” en “Prepare” y/o “Interface”) y se nos presentará la ventana siguiente:
 Como podéis apreciar se nos presentan cuatro ventanas (que hemos marcado con los
colores: verde, rojo, azul y naranja).
Ventana verde: Arriba de todo nos figura la interfaz que hemos seleccionado, su
direcció n IP y má s abajo “Buffer Size”, este pará metro es muy importante, pues es el límite de
informació n que podremos capturar, una vez llegado allí se detendrá la captura. También
podemos ver que por defecto nos aparece seleccionado el modo “promiscuo” ya mencionado,
esta opció n puede ser desactivada cuando sencillamente queramos analizar trá fico desde y
hacia nuestro ordenador. También nos ofrece la alternativa de limitar el tamañ o de los
paquetes capturados, esta opció n puede ser muy ú til si ya se sabe la informació n que se desea
capturar, por ejemplo un patró n de trá fico que aparece dentro de una URL (Ej:
http://www.midominio.es /search?source=root) en este caso sabemos que esa cadena no
aparecerá jamá s por arriba de los 80 bytes (má s adelante lo veremos en detalle) y por lo tanto
no sería necesario capturar el resto de la informació n pues esto nos llenaría la memoria de
esa captura con mayor rapidez e innecesariamente. Por ú ltimo nos ofrece la posibilidad de
“Filtrar la captura”, este campo es fundamental. Ethereal presenta dos tipos de filtro:
 Filtro de Captura: Selecciona que tramas captura y cuá les no. El formato de este
filtro es el mismo que el Comando “tcpdump”, y lo desarrollaremos má s adelante.
 Filtro de visualizació n: Una vez que se ha capturado trá fico y en otra ventana, nos
presentará toda la informació n capturada la cual puede contener grandes
volú menes de datos. Con este filtro, se permite seleccionar qué deseo ver,
 ocultando el resto. El formato de este filtro difiere bastante del anterior, es
propio de Ethereal y contiene una interfaz grá fica muy amigable para su empleo.
Ventana Roja: Por ahora no es necesario que la desarrollemos.
Ventana azul: Como su título lo indica, nos ofrece diferentes opciones de visualizació n.
Si seleccionamos la primera, las tramas se nos presentará n a medida que se está capturando.
Es muy ú til para capturas breves y en local, pero si estoy capturando trá fico desde un servidor
remoto y todo este volumen de datos nos está llegando por la red, es muy peligroso pues
satura el ancho de banda, así que tened cuidado con su empleo. Las dos opciones siguientes
son de menor importancia, y nos permiten que la ventana haga “scrolling” (no se como
traducirlo) mientras captura, es decir nos aparezca la barra de desplazamiento vertical a la
derecha y encole tramas, y la ú ltima opció n, es sencillamente ver o no una ventana que por
medio de barras y nú meros nos llevará en tiempo real los resú menes de cada “protocolo” que
captura (probadla).
Ventana Naranja: Nos permite la resolució n de esos “esquemas de direccionamiento”, es
decir si seleccionamos cualquiera de ellos, en vez de su direcció n numérica, Ethereal tiene las
tablas con todos los có digos de para resolver los nombres de los fabricantes de las Tarjetas de
nivel Enlace (MAC), puede resolver los nombres de red y también los DNS, (todo esto será
tratado cuando abordemos esos niveles).
Por de pronto esta ventana no nos será de gran ayuda, pero creímos conveniente al
menos hacer unas breves referencias de su uso. Para seguir adelante, solo verificad que esté
seleccionada la interfaz de red sobre la que queríamos capturar y presionad “OK”.
Se nos presentará por fin la ventana de captura (y ya debería estar capturando si
estamos conectados a una red), con algo similar a lo que se presenta a continuació n:

En ella también hemos remarcado tres ventanas con colores:

Ventana Verde (Superior): nos presenta toda la secuencia de tramas capturas en el
orden de captura. En la primer columna se de el nú mero correspondiente a esa trama, en la
segunda y tercera la direcció n origen y destino (puede ser IP o MAC), en la cuarta el protocolo
de má ximo nivel que alcanza esa trama y la ú ltima columna un breve resumen de esa trama.
Haciendo “Clic” sobre el encabezado de cualquiera de ellas, se ordenará por ese campo.
 Ventana Azul (Central): Nos presenta en formato “Humano” cada uno de los niveles del
modelo de capas (pero al revés) y nos permite desplegar (“+” o “-" y en Wireshark con flechas)
hasta el má ximo detalle todos sus campos.
Ventana Roja (Inferior): En esta se ve en filas de 16 pare de numero Hexadecimales toda
la trama y a la derecha la misma informació n pero con el cará cter ASCII que se corresponde a
cada par Hexadecimal. Esa ventana es de suma importancia cuando analizamos el contenido
de una trama si el mismo no está criptgrafiado.
Por ahora, para nuestra presentació n inicial de la herramienta, creemos que es
suficiente. Si deseas puedes dedicarle un tiempo para ir familiarizá ndote con ella pues será
de uso principal a lo largo de todo el texto. Para detener y/o volver a capturar, sencillamente
desde el menú superior seleccionas “Captura” y allí tienes “Start” y “Stop”, también puedes
hacerlo desde unos iconos que figuran en la barra de menú grá fico (debajo).

NOTA: Somos conscientes que hemos iniciado de forma “brusca” presentando esta
herramienta, la cual no tienes por qué comprender ahora, ni tampoco valorar toda su
potencialidad. También hemos hecho menció n a protocolos, direcciones y términos que
pueden aú n resultarte extrañ os, pero sinceramente estamos convencidos que es necesario
que empieces a tenerla en cuenta desde YA. No te asustes, tennos un poco de paciencia y
verá s que te ¡enamorará s de de Wireshark!
Captura, filtrado y análisis de tramas.
Cerrando un poco má s este tema, el aná lisis de datos comienza con la vista de los datos
capturados, esta pantalla muestra la totalidad de las tramas que ingresaron a nuestra
tarjeta, las cuales pueden ser filtradas con anterioridad a la captura o luego de ella
(filtros de captura y de visualizació n que comentamos) para seleccionar las que se desee
analizar.
La presentació n de captura entonces se divide en tres partes:
a. Panel resumen: Muestra la totalidad de las tramas presentando en columnas la
siguiente informació n:
1) Trama: Nú mero de trama capturada, en el orden que fue capturada.
2) Tiempo: Permite identificar el tiempo en el que inició la captura de esta trama o
puede ser configurado para identificar la hora del día en que fue capturada.
3) Direcció n MAC o IP origen: Muestra la direcció n de hardware o software del ETD
que emitió la trama.
4) Direcció n MAC o IP destino: Muestra la direcció n de hardware o software del ETD
que recibió la trama.
5) Protocolo: El protocolo usado para transmitir la trama.
6) Descripció n: Resumen del contenido de la trama.
b. Panel de detalle: Muestra todo el grado de detalle de la trama seleccionada en el panel
anterior, desplegando la totalidad de los protocolos incluidos en esa trama.
c. Panel hexadecimal: Muestra en formato hexadecimal la totalidad de los Byte que
fueron capturados en la trama seleccionada en el panel resumen.
1.5. Captura, filtrado y análisis de tramas.

Como ya se mencionó , la gran diferencia entre un sniffer y un analizador de protocolos,

pasa por los servicios que este ú ltimo ofrece, los cuales en general van orientados hacia una
mejor interpretació n de la informació n capturada.
Para poder mejorar la visualizació n de la informació n, es muy importante "Pulir el
bosque", es decir, poder filtrar lo que no se desea para clarificar la informació n que se está
buscando. Todos los analizadores de protocolos poseen los dos filtros mencionados:
 Filtro de captura: Permite seleccionar qué es lo que se desea ingresar a la memoria
de la herramienta y qué no. Esta funcionalidad es de suma importancia, pues en redes
de alto trá fico, es muy fá cil que se desborde la memoria del PC donde se ejecuta el
analizador de protocolos, y en el caso de desear capturar ú nicamente una determinada
direcció n, protocolo, puerto, etc. ¿De qué sirve almacenar el resto del trá fico? Este
filtro, permite registrar (Capturar) só lo lo que se desea, descartando el resto de la
informació n que viaja por el cable. Recordad que los comandos de este filtro son los
mismos que “tcpdump”
 Filtro de visualización: En este caso, se trata de presentar una "mejor vista" de lo que
ya ha sido capturado. Este filtro se emplea, una vez que se detuvo la captura, para
poder elegir que se desea visualizar dentro de toda la informació n que ya se encuentra
en memoria.

Análisis de Tráfico -
Tema-05: Wireshark -
Filtros de Visualización