Guia De Uso Wireshark
MSc. Eloy Espozo Espinoza
Introducción
Herramienta capturadora de tráfico
Permite evaluar el desempeño de una red y/o tráfico
específico
Provee un conjunto bastante grande disectores y
reconocedores de tráfico de diverso tipo
Está basado en normas y estándares oficiales (RFCs)
Pantalla Principal
Barra de Menú
Barra de Herramientas
Barra de filtrado
Panel de paquetes capturados
Panel de detalles de paquete
Panel de contenido de paquete
Barra de estado
Barra de Menú
Barra de Herramientas
Barra de Filtrado
Panel de Paquetes
capturados
Panel de Detalles de
Paquete
Panel de Contenido de
Paquete
Barra de Estado
Captura de tráfico
Para iniciar el proceso de captura se pueden utilizar
las herramientas del menú captura olos botones
correspondientes de la barra de herramientas
El proceso de captura presenta varias opciones que
permiten especificar cómo se realizará la captura
Se pueden especificar filtros de captura, y determinar
tiempos y límites para la misma
Captura de tráfico
Datos de la traza
Toda traza mostrada tiene en esencia el
mismo formato
Tiempo origen destino protocolo informaciónEn función a esto, se puede obtener
información acerca del estado de la red
Cantidad de paquetes por unidad de tiempo
Intervalos de salida/arribo de mensajes
Cantidad de información total
enviada/recibida por una terminal
Datos de la traza
Visualización de Tiempos
Se puede alternar la visualización del tiempo
de cada trama de la captura realizada
Relativo. Tiempo relativo a unpaquete fijo o
marcado
Delta. Tiempo que ah pasado entre la
transmisión o recepción de un paquete y el
siguiente en la traza
Absoluto. Tiempo del día
Filtros
Wireshark, provee un lenguaje de filtrado de
información
Permiten capturar y/o extraer información específica
de una traza
Se tiene gran soporte para la “disección” de varios
protocolos de red
Todo ítem en la pantallaprincipal puede ser usado
para definir filtros
Filtros de captura
Filtros de visualización
Filtros de captura
Filtran los paquetes a capturar
Similares a los filtros de TCPDump
host 172.18.5.4
host www.ejemplo.com and not (port 80 or port 25)
port not 53 and not arp
(tcp[2:2] > 1500 and tcp[2:2] < 1550) or (tcp[4:2] > 1500 and
tcp[4:2] < 1550)
Se cuenta con unasistente para armar las reglas de
filtrado
Filtros de visualización
Filtran la información a visualizar en el panel principal
Existen filtros para cada componente de cada paquete
tcp.port eq 25 or icmp
tcp.window_size == 0 && tcp.flags.reset != 1
ip.src != xxx.xxx.xxx.xxx && ip.dst != xxx.xxx.xxx.xxx
! (ip.src == 10.43.54.65 or ip.dst == 10.43.54.65)
frame.time_relative >= 1 and frame.time_relative < 2
Se cuenta con un asistente para el armado de reglas
de filtrado
Filtros de visualización
Se pueden definir de dos formas: en la barra de filtros o usando el
menú contextual
Filtrando flujos
Podemos escribir el filtro
correspondiente en la barra de filtros
Podemos elegir algún ítem de la
pantalla principal y presionar el botón
derecho del ratónMenú contextual
Mark Packet. Establece/quita marcas en los
paquetes elegidos
Set Time Reference. Establece/quita marcas
de inicio de tiempo
Apply as Filter. Define filtros con el ítem
seleccionado y los aplica
Prepare as Filter. Define filtros con el ítem
seleccionado pero no los aplica
Conversation Filter. Define filtros para
conversaciones con el ítem seleccionado
FollowTCP Stream. Muestra el seguimiento
del flujo TCP
Estadísticas
Wireshark provee varios reportes estadísticos
Resumen. Muestra un resumen con datos
generales de la captura
Jerarquía de protocolos. Muestra un detalle
de los protocolos detectados
Conversaciones. Muestra todas las
conversaciones existentes en la captura
agrupadas por protocolo
Gráficos. Muestra una interfaz que grafica...
Regístrate para leer el documento completo.