Instalación de Wireshark en CentOS 6
13
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación (Wikipedia). Integrantes: Bautista Baldera Selene Lizana Olivos Marilyn Martínez Fiestas Juan Morales Manayalle Willy Villegas Antonio Karem
Transcript of Instalación de Wireshark en CentOS 6
Wireshark, antes conocido como Ethereal, es un analizador de
protocolos utilizado para realizar análisis y solucionar
problemas en redes de comunicaciones, para desarrollo de
software y protocolos, y como una herramienta didáctica para
educación (Wikipedia).
Integrantes:
Bautista Baldera Selene
Lizana Olivos Marilyn
Martínez Fiestas Juan
Morales Manayalle Willy
Villegas Antonio Karem
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
1
Introducción
Wireshark es una herramienta de red que captura el tráfico de la máquina dónde se está
ejecutando y nos muestra mediante su interfaz gráfica los paquetes capturados. Esto nos
permite analizar el tráfico que pasa por nuestro equipo, analizar los protocolos de red, ver
direcciones IP, direcciones MAC, crear gráficas de tráfico y otras muchas más funciones.
WiresHark es utilizado por profesionales y/o administradores de redes, para analizar e
identificar el tipo de tráfico en un momento especifico, ampliamente utilizado en todo el
mundo como una herramienta de seguridad.
Wireshark se ejecuta en varios sistemas operativos tipo Unix, es decir, Mac OS X, BSD, Solaris
incluyendo OS de Windows también. Wireshark es muy similar a tcpdump, pero tiene una
interfaz gráfica, además de opciones de clasificación excelente filtración y se integran en su
interior. Aquí, vamos a instalar Wireshark usando comandos de Yum.
Wireshark es un proyecto de software libre, y se distribuye bajo la Licencia Pública General de
GNU (GPL). Usted puede utilizar libremente Wireshark en cualquier número de ordenadores
que te gusta, sin tener que preocuparse acerca de las claves de licencia o derechos o cosas así.
Además, todo el código fuente está disponible libremente bajo la licencia GPL. Debido a esto,
es muy fácil para la gente a añadir nuevos protocolos Wireshark, ya sea como plugins, o
integrados en la fuente.
Wireshark no es un sistema de detección de intrusos. No te va a avisar cuando alguien hace
cosas extrañas en la red que él / ella no se le permite hacer. Sin embargo, si las cosas extrañas
suceden, Wireshark puede ayudar a averiguar lo que realmente está pasando.
Wireshark no envía paquetes en la red o hacer otras cosas activos (a excepción de las
resoluciones de nombres, pero incluso eso se puede desactivar).
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
2
Requisitos de Wireshark
Usted necesita tener los siguientes paquetes instalados en el sistema, antes de instalar
Wireshark herramienta.
1. GTK + : Es una herramienta multiplataforma utilizada para la creación de la interfaz
gráfica de usuario
2. Glib : Es una herramienta multiplataforma para aplicaciones escritas en C idioma.
3. libpcap : Se utiliza para la captura de paquetes a nivel de usuario y proporciona un
marco portátil para monitoreo de redes.
4. gcc : reposar ( GNU Compiler Collection ) utilizado para proporcionar y compilar C, C +
+ aplicaciones
Características
1. Disponible para Windows, Linux, Unix y MAC.
2. Captura paquetes directamente desde una interfaz de red
3. Permite obtener detallada información del protocolo utilizado por el paquete
capturado.
4. Cuenta con la posibilidad de Importar/Exportar los paquetes hacia otros programas y
desde ellos.
5. Filtra los paquetes por criterio del usuario.
6. Permite obtener estadísticas.
7. Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de colores
los paquetes que cumplen con los filtros establecidos.
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
3
Instalación
El programa Wireshark se encuentra en los repositorios oficiales así que podemos instalarlos
directamente de ellos.
Pasos
Paso 1: Instalación de Wireshark utilizando Yum
Para instalar Wireshark paquete que usted necesita tener una raíz privilegio, a
continuación paso muestra cómo instalarlo utilizando Yum herramienta.
[Root @ tecmint ~] # yum-y install Wireshark
Paso 2: Instalación de Wireshark-Gnome GUI utilizando Yum
Debe instalar el wireshark-gnome para el GUI, el uso de yum con la opción-y.
[Root @ tecmint ~] # yum-y install gnome-Wireshark
Paso 3: Ejecución de Wireshark
Para iniciar Wireshark, ejecute el siguiente comando en el terminal.
[Root @ tecmint ~] # Wireshark
Una vez instalado podemos ejecutarlo como root pero no es aconsejable, por ese motivo lo
mejor es configurarlo para que los usuarios pertenecientes al grupo wireshark lo puedan
ejecutar.
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
4
Paso 4: Uso de Configuración y Wireshark
Una vez que está instalado Wireshark, ponerlo en marcha y para empezar a capturar, elija un
deseo interfaces y pulse inicio de las interfaces de captura. Usted verá una ventana emergente
similar a la de abajo.
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
5
Como se muestra a continuación, podemos ver por debajo de tres, es decir panel superior,
media y baja.
Wireshark Captura eth0
Arriba: En el panel superior de la ventana Wireshark corresponde a un solo paquete
que se vio en la red. Puede profundizar y obtener más información, haga clic en una
fila. Esto hace que la parte inferior dos cristales de las ventanas que se llenan de
información.
Medio: El panel central contiene detalles de desglose en el paquete seleccionado en el
marco superior.
Abajo: El panel de la ventana inferior muestra el contenido del paquete en
hexadecimal o representaciones ASCII.
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
6
Paso 5: Filtrar por Dirección IP de origen.
Esto filtra los paquetes sólo desde la fuente de IP en la lengüeta del filtro como se muestra a
continuación.
ip.src == 192.168.0.2
Wireshark - Filtro por dirección IP de origen
Paso 6: Filtrar por destino Dirección IP
Esto filtra la vista de paquetes en Wireshark a sólo aquellos paquetes que tienen destino IP como se menciona en el filtro.
ip.dst == 69.171.228.70
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
7
Wireshark - Filtrar por destino Dirección IP
Paso 7: Filtrar por Protocolo
Esto filtrar la vista de paquetes en Wireshark a sólo aquellos paquetes que tienen http
paquetes mencionados en el filtro.
http
Wireshark - Filtrar por Protocolo
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
8
Paso 8: Filtro por | | (OR) Estado
Esto filtra los paquetes que coincidan con una u otra condición.
http | | arp
Wireshark - Filtrar por | | (OR) Estado
Paso 9: Filtrar por && (AND) condiciones
Esto filtra la vista de paquetes en Wireshark a sólo tcp paquetes y tienen fuente IP como
192.168.0.2
tcp && ip.src == 192.168.0.2
Wireshark - Filtrar por && (AND) condiciones
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
9
Paso 10 Filtrar por Número de puerto
Filtrar por tcp número de puerto 80.
tcp.port eq 80
Wireshark - Filtrar por Número de puerto
Consejos: Además de lo anterior, puede hacer clic en la ‘expresión...' para descubrir
todos los filtros. También puede guardar los datos capturados para analizar después.
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
10
Configuración
Si Wireshark no está bien configurado no podremos ver las tarjetas de red ni capturar y
veremos un error como el de la imagen.
Podemos ejecutar Wireshark como root o como un usuario normal.
Por último tenemos que cerrar la sesión y volver a abrirla. Ahora ya podremos capturar
paquetes con wireshark seleccionando la interfaz y pulsando en Start.
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
11
SERVICIOS DE REDES DE DATOS SEGUROS CON LINUX
12
Filtros Usuales
Esto es una parte muy importante ya que nos puede ahorrar horas de búsqueda, hay 2 tipos de
filtros, Filtro de Visualización (Display Filter) y Filtro de Captura (Capture Filter), les explicamos
el filtro de visualización es un poco más básico y también nos puede ayudar.
Con los filtros nos podemos ahorrar horas de trabajo buscando un paquete en especial, por
que recuerden que simplemente entrar a google.com genera muchos paquetes, y si en nuestra
red tenemos más de 2 usuarios se podrán imaginar el caos de paquetes, además hay unos
paquetes que no queremos capturar o leer así que con los filtros podemos dar información a
wireshark acerca del paquete que queremos leer en especial.
ip.addr == 125.125.125.125 # Captura solo el tráfico que viaje desde o hacia la Ip
125.125.125.125
ip.addr != 125.125.125.125 # Captura todos los paquetes excepto los de ip
125.125.125.125
ip.dst == 125.125.125.125
# Captura todos los paquetes que tengan como origen la ip
125.125.125.125
ip.src == 125.125.125.125
# Captura todos los paquetes que tengan como destino la
ip 125.125.125.125
ip
# Visualiza todo el tráfico ip
tcp.port == 80
# Visualiza todos el trafico tcp desde y hacia el puerto 80
udp.port == 53
# Captura los paquetes UDP cuyo origen o destino sea el
puerto 53 (DNS)
ip.addr == 125.125.125.125 and
tcp.port == 143
# Visualiza todo el tráfico origen y destino puerto 143
relativo al gost 125.125.125.125
Bueno estos son algunos de los filtros de visualización, son los más básicos y más utilizados,
nos pueden ayudar mucho al momento de empezar con el Wireshark, hay más filtros pero
para opciones mucho más profesionales que en este momento no voy a utilizar, pero si tú
quieres, busca más en google podrás encontrar muchos y con opciones excelentes.
