Filtros en Wireshark

download Filtros en Wireshark

of 14

  • date post

    26-Nov-2015
  • Category

    Documents

  • view

    12
  • download

    0

Embed Size (px)

Transcript of Filtros en Wireshark

  • 1

    Carlos Andrey Montoya

    Filtros en Wireshark

    Nivel: Usuario

    Administracin de Plataformas y

    Seguridad

    Nivel Gua: 1

    Objetivos: - Conocer las distintas opciones de configuracin de Wireshark, las cules permitirn

    capturar los paquetes que se necesitan para analizar los resultados de las prcticas futuras de laboratorio

    - Configurar filtros de captura en Wireshark, los cuales permitirn que la informacin que se obtenga a travs de la aplicacin tenga la informacin depurada sobre lo que se desea analizar.

    - Configurar Filtros de vista que permitirn analizar la informacin capturada de una froma ms acertada y precisa, ganando tiempo al revisar solo los paquetes objetivo.

    Requerimientos Windows 2003 Server (real) Acrobat Reader Mquina virtual de Linux (Fedora Core 7) o Mquina Virtual de Windows (W2K3 server) Vmware

    Convenciones

    Consejo

    Informacin

    Advertencia

    Tarea

    Extrema precaucin

    Ejecucin en una Terminal de Linux o Windows

    Metodologa

    Durante el desarrollo de la gua primero se indicar lo que se necesita hacer y despus

    como se har, de esta manera el estudiante est en la libertad de hacer la gua basado en

    el que, siempre y cuando conozca como lo va a hacer. Todos los conceptos sern

    desarrollados en el transcurso de la gua.

  • 2

    Carlos Andrey Montoya

    Pasos Previos

    Asegrese de tener instalado el Wireshark o Ethereal en el sistema operativo donde

    desee trabajar esta gua

    Inicie con el usuario root en Linux o Administrator en Windows. Password

    Password1

    El wireshark es el software que sucedi a ethereal, y funcionan de la misma manera

    en Windows que en Linux.

    Desarrollo

    1. Inicie la aplicacin de Wireshark

    En Linux:

    ethereal &

    o

    wireshark &

    En Windows:

    All ProgramsWiresharkWireshark

  • 3

    Carlos Andrey Montoya

    2. Antes de iniciar la captura, se debe configurar la interfaz por donde se desea

    capturar la informacin de la red. Para ello haga clic en el botn que lista las

    interfaces disponibles.

    Antes seguir con la gua, asegrese de identificar la interfaz de red con la que

    quiere trabajar, si usted cuenta con ms de una interfaz de red puede verificar la

    columna IP para ver si tiene la direccin ip de la interfaz con al que usted desea

    capturar.

    Para iniciar la configuracin de la interfaz haga clic en options de la interfaz

    seleccionada.

  • 4

    Carlos Andrey Montoya

    En la figura: Wireshark Capture Options usted puede configurar los siguientes campos:

    Capture Frame

    Interface: Especifica con que interfaz se desea capturar. Slo se puede capturer con

    una interfaz a la vez y que Wireshark haya encontrado. No se puede utilizar la

    interfaz de loopback.

    IP address: Muestra la direccin IP de la interfaz seleccionada

    Buffer size: n megabyte(s): Define el tamao del buffer que ser usado durante la

    captura. Este es el tamao del buffer del kernel el cual almacenar los paquetes

    capturados hasta que sean guardados en un archivo en el disco duro. Si descubre que

    el sniffer le ha borrado paquetes, o no le aparecen algunos de ellos, se debe aumentar

    el tamao.

    Esta opcin solo est disponible en la versin de Windows.

    Capture packets in promiscuous mode: Este check box configura la tarjeta de red

    para capturar en modo promiscuo o no.

  • 5

    Carlos Andrey Montoya

    Cuando una tarjeta se configura en modo promiscuo, permite capturar todos los

    paquetes que pasan por la interfaz. Si usted se encuentra en un entorno de switching

    capturara lo de su equipo ms el trfico de broadcast, pero si est en un entorno de

    hubs podr ver todo el trfico de la red.

    Si no configura la interfaz para capturar en modo promiscuo solo captur los paquetes

    que vayan dirigidos hacia su equipo.

    Si desea capturar el trfico de la red en un entorno de switching debe configurar sus

    equipos para hacer port mirroring de los puertos principales.

    Si otro proceso configura la interfaz en modo promiscuo, el sniffer capturar todo el

    trfico de la interfaz as est deshabilitado en wireshark.

    Para ms informacin: http://www.wireshark.org/faq.html#promiscsniff

    Limit each packet to n bytes: Este campo permite especificar el tamao mximo de

    los datos de cada paquete que ser capturado. Si no lo habilita el valor

    predeterminado es 65535. Si desea configurar esta opcin tenga en cuenta que:

    Si no necesita todos los datos de un paquete, por ejemplo, si solo necesita la

    informacin de enlace y cabeceras de IP y TCP puede configurar la captura para

    capturar pocos datos de los paquetes. De esta manera utilizar menos cpu y

    espacio en disco

    Si no captura todos los datos de los datos de los paquetes, podra ser que el dato

    que necesita de un paquete est en la parte que fue borrada, o no capturada, y de

    esta manera no cumplir con el objetivo de la captura.

    SI algn paquete es fragmentado, no se podr reemsamblar debido a que la

    informacin fue borrada o no capturada.

    Capture Filter: Este campo permite especificar filtros de captura los cuales

    trabajaremos durante el desarrollo de esta gua.

    Puede hacer clic en el botn Capture Filter: y armar un filtro de captura con la

    ayuda de los iconos.

  • 6

    Carlos Andrey Montoya

    Trabajar con archivos ms grandes que 100 MB puede causar que el equipo trabaje

    ms lento, en estos casos utilice la opcin de multiples files.

    Capture File(s) frame

    File: Este campo permite especificar el nombre del archive que ser usado para

    guardar los paquetes capturados, Si no especifica ningn nombre ser guardado en

    una archivo temporal.

    Puede hacer clic en el botn Browse y buscar la ubicacin del archivo y seleccionar o

    escribir un nombre de archivo.

    Use multiple files: no almacena toda la informacin de los paquetes en un solo

    archivo sino que crea uno nuevo cuando una condicin especifica se cumple.

    Next file every n megabyte(s): Funciona solo con la opcin de multiple files, cambia

    a un nuevo archivo cada que la captura llega a un determinado tope de espacio.

    Next file every n minute(s): Funciona solo con la opcin de multiple files, cambia a

    un nuevo archivo cada que ha pasado un determinado tiempo, ya sea segundos,

    minutos, horas, das.

    Ring buffer with n files: Funciona solo con la opcin de multiple files, crea un

    buffer en anillo con n archivos definidos.

    Stop capture after n file(s): Funciona solo con la opcin de multiple files, detiene la

    captura despus de haber guardado n archivos.

  • 7

    Carlos Andrey Montoya

    Stop Capture... frame

    ... after n packet(s): Detiene la captura despus de un determinado nmero de

    paqutes capturados.

    ... after n megabytes(s): Detiene la captura despus de un determinado nmero de

    byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) han sido capturados. No aplica si se usan

    mltiples archivos

    ... after n minute(s): Detiene la captura despus de un determinado tiempo.

    Display Options frame

    Update list of packets in real time: Esta opcin permite especificar si Wireshark

    debe mostrar los paquetes capturados en tiempo real, de lo contrario no mostrar los

    pauquetes capturados hasta que se detenga la captura. Las capturas de Wireshark

    corren en un proceso seprado al de mostrar los paquetes.

    Automatic scrolling in live capture: Est opcin permite que Wireshark realize el

    scroll de la barra cuando los paquetes no caben en una ventana. De esta manera podr

    estar monitoreando los paquetes nuevos de la captura. Esta opcin es deshabilitada si

    no se usa Update list of packets in real time.

    Hide capture info dialog: Esconde la ventana de dialogo de Wireshark, en esta

    ventana se muestra un resumen de la captura.

    Cuando se desea monitorear en tiempo real el trfico de la red, una buena opcin es

    habilitar las tres opciones del frame Display Options, debido a que permite visualizar

    todos los paquetes que se van capturando, en tiempo real.

    Name Resolution frame

    Enable MAC name resolution: Esta opcin habilita al wireshark para trasladar las

    direcciones MAC en nombres de equipos. Se utiliza para reconocer ms fcil los

    equipos cuando no se reconoce sus direcciones MAC

    Enable network name resolution: Esta opcin habilita al wireshark para trasladar

    las direcciones IP en nombres de equipos. Se utiliza para reconocer ms fcil los

    equipos cuando no se reconoce sus direcciones IP

  • 8

    Carlos Andrey Montoya

    Enable transport name resolution: Esta opcin habilita al wireshark para trasladar

    los Puertos en protocolos. Se utiliza para reconocer ms fcil los protocolos cuando

    no se reconoce los puertos predeterminados de las aplicaciones.

    Cuando realice capturas, deshabilite todas las opciones de resolucin de nombres, ya

    que si est tratando de rastrear un problema necesita comparar las direcciones ip y las

    MAC, no los nombres.

    Botones

    Una vez haya configurado las opciones de captura, puede hacer cliec en el botn start

    para iniciar la captura o cancel para cancelarla.

    Una vez haya iniciado la captura puede cancelarla cuando lo desee haciendo clic en

    el botn cancel el cual se muestra en la siguiente grfica.

    Cuando se empieza