Trabajo Colaborativo 2

Universidad Nacional Abierta y a Distancia

Jenniffer Blanco Castillo Cod. 1032430766

Contenido

Introducción.......................................................................................................................................2

Herramienta Seleccionada.................................................................................................................3

Requisitos de instalación....................................................................................................................3

Observaciones Generales...............................................................................................................3

Microsoft Windows........................................................................................................................3

Unix/Linux......................................................................................................................................4

Características de Wireshark..............................................................................................................5

Funciones Básicas...............................................................................................................................5

La captura en vivo de paquetes en la red.......................................................................................5

Importación de archivos de muchos otros programas de captura.................................................5

Exportar archivos de muchos otros programas de captura............................................................7

Muchos decodificadores de protocolo...........................................................................................7

Software de código abierto............................................................................................................8

Argumento.........................................................................................................................................9

Evidencias..........................................................................................................................................9

Inicio de la captura.........................................................................................................................9

Filtrado de Paquetes....................................................................................................................10

Graficas del Análisis......................................................................................................................12

Actualizaciones frecuentes...........................................................................................................13

Importar y Exportar archivos de Análisis de Tráfico.....................................................................13

Video............................................................................................................................................13

Conclusiones....................................................................................................................................14

Bibliografía......................................................................................................................................15

pg. 1

Introducción

En el siguiente trabajo se ilustrar datos importantes sobre la herramienta Wireshark, el cual es un excelente analizador de tráfico. En el trabajo se encontrara una descripción de la herramienta, requisitos de instalación, características, funciones básicas y un argumento por el cual se recomienda el uso de esta herramienta.

Se pretende que el estudiante se familiarice con la herramienta y tenga el conocimiento suficiente para compararla con las múltiples aplicaciones que existen actualmente para el análisis de tráfico en una red.

pg. 2

Herramienta Seleccionada

Wireshark es un analizador de paquetes de red, el cual permite mostrar los detalles de los paquetes que se transmiten en una red, además permite analizar y solucionar problemas de comunicaciones, es muy similar al programa tcpdump, sin embargo, Wireshark ofrece una interface didáctica que permite un mejor manejo de la herramienta

Requisitos de instalación

Observaciones Generales

Debido a que el análisis de trafico se realiza de manera directa, este analizador de trafico requiere que este instalado en una maquina robusta que cuente con un procesador de alta capacidad, adicional una buena memoria y gran capacidad de almacenamiento en disco duro

En primordial la memoria del equipo en el cual se encuentre instalado Whiresark, lo anterior debido a que si falta memoria en el equipo, whireshark se bloqueara y no seguirá funcionando de manera adecuada

En el manejo de multiprocesadores whireshark se verá beneficiado, debido a que la captura de trafico se realiza en un proceso especifico, la disección y visualización de paquetes se ejecuta en otro proceso independiente por lo cual será útil tener varios procesadores para así distribuir los procesos de Whireshark.

Microsoft Windows

Windows XP Home, XP Pro, XP Tablet PC, XP Media Center, Server 2003, Vista, Home Server, Server 2008, Server 2008 R2, Home Server 2011, 7 o Server 2012.

Cualquier x86 de 32 bits moderna o AMD64/x86-64 procesador de 64 bits.

pg. 3

128 MB disponibles de RAM. En caso de captura de paquetes mas grandes se requiere una mayo memoria RAM

75 MB de espacio disponible en disco En caso de captura de paquetes mas grandes se requiere una mayor capacidad de almacenamiento en Disco duro

800 * 600 (1280 * 1024 o superior recomendado) resolución de al menos 65536 (16 bits) de colores (256 colores deben funcionar si Wireshark se instala con el "legado GTK1" selección de las versiones 1.0.x Wireshark)

Una tarjeta de red con soporte para la captura:

o Ethernet

o 802.11

Observaciones:

Muchas versiones anteriores de Windows no son compatibles, por tres razones: Ninguno de los desarrolladores utilizar los sistemas que hacen de soporte difícil. Las bibliotecas Wireshark depende (GTK, WinPcap, ...) han abandonado el soporte para versiones anteriores. Microsoft también ha abandonado el soporte para estos sistemas .

Windows 95, 98 y ME no son compatibles. La "tecnología antigua" versiones de la falta de protección de memoria de Windows (específicamente VirtualProtect ), que se utiliza para mejorar la seguridad y la seguridad del programa. La última versión conocida de trabajar era Ethereal 0.10.14 (que incluye WinPcap 3.1). De acuerdo con este informe de error , es posible que tenga que instalar Ethereal 0.10.0 en algunos sistemas.Microsoft retiró el soporte para Windows 98 y ME en 2006.

Windows NT 4.0 ya no funciona con Wireshark. La última versión conocida de trabajar era Wireshark 0.99.4 (que incluye WinPcap 3.1). Microsoft retiró el soporte para Windows NT 4.0 en 2004.

Windows 2000 ya no funciona con Wireshark. La última versión conocida de trabajar era Wireshark 1.2.x (que incluye WinPcap 4.1.2). Windows CE y las versiones incrustadas de Windows no son compatibles actualmente.

Múltiples configuraciones de monitor son compatibles, pero pueden comportarse un poco extraña

pg. 4

Unix/Linux

Wireshark actualmente se ejecuta en la mayoría de las plataformas UNIX. Los requisitos del sistema deben ser comparables a los valores de Windows mencionadas anteriormente.

Los paquetes binarios están disponibles para al menos las siguientes plataformas:

Apple Mac OS X

Debian GNU / Linux

FreeBSD

Gentoo Linux

HP-UX

Mandriva Linux

NetBSD

OpenPKG

Red Hat / Fedora Linux

rPath Linux

Sun Solaris/i386

Sun Solaris / Sparc

Ubuntu de Canonical

Si un paquete binario no está disponible para la plataforma en la cual se esta trabajando, se debe descargar el código fuente y tratar de construirlo.

Características de Wireshark

Disponible para UNIX y de Windows .

Captura de paquetes de datos en vivo de una interfaz de red.

pg. 5

Abrir los archivos que contienen los paquetes de datos capturados con tcpdump / WinDump, Wireshark, y un número de otros programas de captura de paquetes.

Importación de paquetes desde archivos de texto que contienen volcados hexadecimales de paquetes de datos.

Muestra información detallada de los paquetes, a partir del filtrado de paquetes por protocolo.

Guarda la captura de paquetes

Exportar la captura de algunos paquetes

Filtrado de paquetes

Búsqueda de paquetes a partir de diferentes criterios de busqueda.

Marcar por colores el filtrado de paquetes especifico.

Funciones Básicas

La captura en vivo de paquetes en la redWireshark puede capturar el tráfico de red de muchos tipos diferentes de medios de comunicación, permite la captura de tráfico a través de redes cableadas e inalámbricas

Importación de archivos de muchos otros programas de captura

Wireshark puede abrir los paquetes capturados de otros programas de captura.  Algunos de los formaos que puede abrir Wirwshark son :

libpcap - capturas de Wireshark / TShark / dumpcap , tcpdump , y varias otras herramientas utilizando el formato de captura libpcap / de tcpdump

pcap-ng - sucesor de "próxima generación" de formato libpcap

Sun snoop y atmsnoop

Shomiti / Finisar Surveyor capturas

Novell LANalyzer captura

pg. 6

Microsoft Network Monitor capturas

Iptrace capturas de AIX

Cinco Redes NetXray capturas

Network Associates capturas basadas en Windows y Sniffer Sniffer Pro

Capturas de red generales / Network Sniffer DOS Associates (comprimido o sin comprimir)

Grupo AG / WildPackets EtherPeek / TokenPeek / AiroPeek / EtherHelp / capturas PacketGrabber

RADCOM WAN / LAN Analizador de capturas

Network Instrumentos Observador versión 9 capturas

Resultado de la depuración enrutador Lucent / Ascend

Nettl de HP-UX

Routers RDSI salida de volcado de Toshiba

ISDN4BSD i4btrace utilidad

rastros de la AURALL Office S0

Iplog formato de la Secure Cisco Intrusion Detection System

pppd logs (formato pppdump)

la salida del VMS TCPIPtrace / tcptrace / UCX $ TRACE utilidades

la salida de texto de la DBS Etherwatch VMS utilidad

Captura de tráfico UpTime Visual Visual Networks

la salida de CoSine L2 depuración

la salida de 5Views agentes LAN de Accellent

Formato de ERF Endace Measurement Systems 'captura

Linux Bluez Bluetooth stack hcidump-w huellas

pg. 7

Catapult DCT2000. Proteger archivos

Gammu genera salida de texto de los teléfonos Nokia DCT3 en modo Netmonitor

IBM Series (OS/400) rastros Comm (ASCII y Unicode)

Juniper Netscreen snoop captura

Symbian OS btsnoop capturas

TamoSoft CommView captura

Textronix K12xx 32 bits. RF5 formato capturas

Formato de archivo de texto K12 Textronix captura

Manzana PacketLogger capturas

Captura de software Aethra Telecomunicaciones 'PC108 para sus equipos de prueba

Exportar archivos de muchos otros programas de captura

Wireshark puede guardar los paquetes capturados en diferentes formatos de captura. Algunos de los formatos de salida son:

libpcap, tcpdump y otras herramientas que utilizan el formato de captura de tcpdump (*. pcap, *. cap, *. dmp)

5Views Accellent (* 0.5 vw) Nettl de HP-UX (*. TRC0, *. TRC1) Microsoft Network Monitor - NetMon (* cap.) Network Associates Sniffer - DOS (. * Cap, enc *, * trc, fdc *, * SYC...) Network Associates Sniffer - Windows (* cap.) Network Instrumentos Observador versión 9 (*. BFR) Novell LANalyzer (*. Tr1) Sun snoop (*. Snoop, *. Cap) Visual Redes tráfico Visual UpTime (*. *)

pg. 8

Muchos decodificadores de protocolo

Hay decodificadores de protocolo (o disectores, como se les conoce en Wireshark) para un gran número de protocolos.

Packet incorrecto

De paquetes con formato incorrecto significa que el disector de protocolo no puede diseccionar el contenido del paquete más lejos. Puede haber varias razones:

Disector Wrong : Wireshark erróneamente ha elegido el disector del protocolo incorrecto para este paquete. Esto ocurrirá, por ejemplo, si está utilizando un protocolo no en su bien conocido puerto TCP o UDP. Puede intentar Analizar | Decodificar Como para evitar este problema.

Packet no vuelve a montar : El paquete es más que un solo fotograma y no se vuelve a montar

Packet es incorrecto : El paquete es realmente malo (malformaciones), lo que significa que una parte del paquete es no como se esperaba (no seguir las especificaciones del protocolo).

Dissector tiene fallos : El disector correspondiente protocolo es simplemente buggy o aún incompleta.

Se puede desactivar el disector deshabilitando el protocolo en el menú Analizar y comprobar cómo Wireshark muestra el paquete de continuación. Además se puede (si es TCP) permitir el montaje de TCP y el disector específica (si es posible) en el menú Edit | Preferences. Se puede comprobar el contenido del paquete mediante la lectura de los bytes de paquetes y comparándolo con la especificación del protocolo. Esto podría revelar un error disector. O caso contrario se puede el paquete está dañado.

Tamaño de paquete limitado durante la captura

El aplicativo maneja un tamaño máximo se paquete, si en el aplicativo se genera el mensaje "Limite cada paquete de n bytes", se debe realizar de nuevo la captura del trafico.

Detalles Paquete Mensajes

Estos mensajes pueden aparecer en los detalles del paquete.

pg. 9

Respuesta en marco: 123

El paquete actual es la solicitud de un par petición / respuesta detectada. Para pasar directamente al paquete de respuesta correspondiente simplemente haciendo doble clic en este mensaje.

Petición de marco: 123

Igual que la "respuesta en el marco de: 123" por encima, pero a la inversa.

Tiempo de pedido: 0.123 segundos

El tiempo entre la solicitud y los paquetes de respuesta.

Configuración Stream PROTOCOLO (marco 123)

El protocolo de control de sesión (SDP, H225, etc) mensaje que marcó la creación de esta sesión. Para pasar directamente al paquete correspondiente simplemente haciendo doble clic en este mensaje.

Software de código abierto

Wireshark es un proyecto de software libre, y se distribuye bajo la Licencia Pública General de GNU (GPL). Esto quiere decir que Wireshark se puede instalar en cualquier equipo sin necesidad de instalar alguna licencia. Además, todo el código fuente está disponible libremente bajo la licencia GPL. Además permite que los desarrolladores den aportes y mejoras al programa

Argumento

Whireshark es una herramienta muy completa para el análisis de tráfico de una red, permite analizar por protocolos, por IP específicas u otro filtro importante; adicional a lo anterior Wireshark ofrece la ventaja de tomar datos en línea, de manera simultánea de una red. Permite realizar gráficos y generar estadísticas a partir del tráfico capturado. La interfaz gráfica de esta herramienta es bastante amigable y de fácil comprensión, en internet se encuentran varios manuales que permiten guiar al usuario sobre el uso de la herramienta.

pg. 10

Evidencias

Inicio de la captura

pg. 11

Se debe seleccionar la Interface a la cual se realizara el análisis de tráfico

Dar clic en el botón Start para iniciar la captura

Filtrado de Paquetes

pg. 12

Graficas del Análisis

pg. 13

Actualizaciones frecuentes

pg. 14

Las graficas también permite filtrar el tráfico con el propósito de estudiar mejor cada paquete

Importar y Exportar archivos de Análisis de Tráfico

Videohttp://www.youtube.com/watch?v=MCfM62RIuLo&feature=youtu.be

Conclusiones

La mejor manera más eficaz de obtener una estadística sobre el tráfico de una red, es utilizando herramientas de análisis de trafico como Wireshark

Cuando se detecte latencia en una red, se puede utilizar Wireshark para identificar que está consumiendo mayor ancho de banda

Con el uso de herramientas de análisis de tráfico se puede detectar fácilmente problemas que de manera manual tardaría bastante tiempo en identificarse

Los analizadores de trafico permiten identificar los DDoS El uso de Wireshark permite al administrador de red, tomar decisiones

importantes para garantizar un funcionamiento de la red y garantizar el servicio en un 99.99%

Se puede utilizar para examinar problemas de seguridad de redes informáticas

pg. 15

Por ser un programa de código abierto garantiza que se realicen mejoras frecuentes que optimizaran los resultados de las captura del trafico

Bibliografía

(1310)http://www.wireshark.org/docs/

(Castillo, 2013)(Chapell, 2013)Chappell, Laura (2012). Wireshark Network Analysis - Second Edition: The Official Wireshark Certified Network Analyst Study Guide. Protocol Analysis Institute, dba “Chappell University”. ISBN 978-1-893939-94-3.

Orebaugh, Angela; Ramirez, Gilbert; Beale, Jay (2006). Wireshark & Ethereal Network Protocol Analyzer Toolkit. Syngress Publishing. ISBN 1-59749-073-3.

pg. 16