wireshark
Páginas: 7 (1684 palabras)
Publicado: 10 de diciembre de 2013
El analizador de protocolos Wireshark
Ejercicio 0:
El wireshark nos muestra los paquetes capturados en la ventana superior, en la central nos muestra los detalles de la cabecera del paquete que seleccionemos, en la inferior nos muestra el contenido del paquete seleccionado en hexadecimal y ASCII.
El Echo (ping) utiliza protocolo ICMP,siendo nuestra ip 192.168.3.150 y la ip destino de www.google.es a donde hacemos ping es la que se nos muestra. 173.194.34.247.
Ejercicio 1:
Realiza otra captura, esta vez en modo promiscuo, para ver los paquetes que circulan por la red local en este momento. Mediante la opción Statistics/Protocol Hierarchy, indica cuántos paquetes de cada uno de estos tipos has recibido, teniendo en cuentaque alguno de los valores podría ser cero si no se han capturado paquetes del protocolo correspondiente:
ARP: 542 paquetes
IP: 6092 paquetes
ICMP: 1341 paquetes
TCP: 2744 paquetes
UDP: 1977 paquetes
Centra tu atención en el primer paquete IP recibido, y rellena los siguientes datos del mismo:
Dir. IP origen: 192.168.1.1
Dir. IP destino: 192.168.3.150
Protocolo: IP (0x0800)Tamaño: 4
TTL: 2.911819000 seconds
Identificador: 3C116532C2E03424C0A803960035D406005C
2. Filtros de captura y de pantalla
Como habrás visto, al intentar analizar el tráfico de cualquier red, resulta habitual encontrarse gran cantidad de paquetes que emplean protocolos en los que no estamos interesados. Tal cantidad de tráfico dificulta el análisis de los paquetes capturados y aumentainnecesariamene el tamaño de los ficheros de captura, por lo que se hace indispensable filtrar toda esa información.
Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar dos alternativas, no excluyentes entre ellas. La primera es definir un filtro de captura, de modo que el propio Wireshark, cuando llega un nuevo paquete, decide si ese paquete se ajusta o no a loscriterios establecidos por el filtro. En caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que en caso contrario el paquete se descarta. La otra alternativa para filtrar la información de los paquetes es establecer un filtro de pantalla. En este caso lo habitual es capturar todos los paquetes que circulan por la red, sin restricción alguna, y especificar un filtro parapoder extraer entre todo ese tráfico capturado aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro de captura y
posteriormente, sobre los paquetes capturados, usar un filtro de pantalla para ver mejor los detalles que estemos buscando en cada momento. Los filtros de captura se pueden especificar desde la ventana de captura (Capture Options). Podemos especificar unfiltro escribiendo la expresión correspondiente en la caja de texto situada junto al botón Filter.
La sintaxis de estas expresiones es la misma que la usada en la orden tcpdump, disponible habitualmente en los sistemas Unix y Linux. En el apartado siguiente se mostrará un resumen de esta sintaxis.
Por otra parte, los filtros de pantalla se pueden especificar desde la parte inferior de la ventanaprincipal de WireShark. La sintaxis para este tipo de filtros es ligeramente diferente. Es posible disponer de un asistente para especificar estos filtros. Es conveniente tener cuidado con estos filtros de visualización, ya que pueden, en ocasiones, llevar a error. Por ejemplo, estos filtros se emplearán más delante en TCP de forma automática para seguir un flujo TCP. Por tanto, para volver avisualizar todos los paquetes capturados es necesario limpiar este filtro de visualización, bien con la opción correspondiente (clear filter), o bien empleando un filtro vacío (línea en blanco).
2.1 Expresiones de filtros de captura
Para seleccionar qué paquetes serán capturados se emplea una expresión de filtro, de forma que el paquete será almacenado si cumple con los criterios del filtro...
Ejercicio 0:
El wireshark nos muestra los paquetes capturados en la ventana superior, en la central nos muestra los detalles de la cabecera del paquete que seleccionemos, en la inferior nos muestra el contenido del paquete seleccionado en hexadecimal y ASCII.
El Echo (ping) utiliza protocolo ICMP,siendo nuestra ip 192.168.3.150 y la ip destino de www.google.es a donde hacemos ping es la que se nos muestra. 173.194.34.247.
Ejercicio 1:
Realiza otra captura, esta vez en modo promiscuo, para ver los paquetes que circulan por la red local en este momento. Mediante la opción Statistics/Protocol Hierarchy, indica cuántos paquetes de cada uno de estos tipos has recibido, teniendo en cuentaque alguno de los valores podría ser cero si no se han capturado paquetes del protocolo correspondiente:
ARP: 542 paquetes
IP: 6092 paquetes
ICMP: 1341 paquetes
TCP: 2744 paquetes
UDP: 1977 paquetes
Centra tu atención en el primer paquete IP recibido, y rellena los siguientes datos del mismo:
Dir. IP origen: 192.168.1.1
Dir. IP destino: 192.168.3.150
Protocolo: IP (0x0800)Tamaño: 4
TTL: 2.911819000 seconds
Identificador: 3C116532C2E03424C0A803960035D406005C
2. Filtros de captura y de pantalla
Como habrás visto, al intentar analizar el tráfico de cualquier red, resulta habitual encontrarse gran cantidad de paquetes que emplean protocolos en los que no estamos interesados. Tal cantidad de tráfico dificulta el análisis de los paquetes capturados y aumentainnecesariamene el tamaño de los ficheros de captura, por lo que se hace indispensable filtrar toda esa información.
Para filtrar los paquetes y facilitar el análisis del tráfico capturado podemos usar dos alternativas, no excluyentes entre ellas. La primera es definir un filtro de captura, de modo que el propio Wireshark, cuando llega un nuevo paquete, decide si ese paquete se ajusta o no a loscriterios establecidos por el filtro. En caso de que se ajuste, el paquete es aceptado y mostrado en pantalla, mientras que en caso contrario el paquete se descarta. La otra alternativa para filtrar la información de los paquetes es establecer un filtro de pantalla. En este caso lo habitual es capturar todos los paquetes que circulan por la red, sin restricción alguna, y especificar un filtro parapoder extraer entre todo ese tráfico capturado aquellos paquetes que nos interesan. En cualquier caso, es posible usar un filtro de captura y
posteriormente, sobre los paquetes capturados, usar un filtro de pantalla para ver mejor los detalles que estemos buscando en cada momento. Los filtros de captura se pueden especificar desde la ventana de captura (Capture Options). Podemos especificar unfiltro escribiendo la expresión correspondiente en la caja de texto situada junto al botón Filter.
La sintaxis de estas expresiones es la misma que la usada en la orden tcpdump, disponible habitualmente en los sistemas Unix y Linux. En el apartado siguiente se mostrará un resumen de esta sintaxis.
Por otra parte, los filtros de pantalla se pueden especificar desde la parte inferior de la ventanaprincipal de WireShark. La sintaxis para este tipo de filtros es ligeramente diferente. Es posible disponer de un asistente para especificar estos filtros. Es conveniente tener cuidado con estos filtros de visualización, ya que pueden, en ocasiones, llevar a error. Por ejemplo, estos filtros se emplearán más delante en TCP de forma automática para seguir un flujo TCP. Por tanto, para volver avisualizar todos los paquetes capturados es necesario limpiar este filtro de visualización, bien con la opción correspondiente (clear filter), o bien empleando un filtro vacío (línea en blanco).
2.1 Expresiones de filtros de captura
Para seleccionar qué paquetes serán capturados se emplea una expresión de filtro, de forma que el paquete será almacenado si cumple con los criterios del filtro...
Leer documento completo
Regístrate para leer el documento completo.