Wireshart desde como instalarlo y utilizarlo

Oscar Martin Rey

Que es Wireshark

• Wireshark es una herramienta multiplataforma de análisis de red, producto de la evolución de ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDrump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.

• Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a repasar muy superficialmente su uso para centrarnos después en como interpretar esos los capturados.

Wireshark

• Antes de nada, tras arrancar wireshark, el menú Capture > interfaces…. nos muestra la siguiente pantalla:

• Solo tendremos que pulsar en Start para capturar a través de la interface que nos interese. Inmediatamente Wireshark comienza a capturar.

Wireshark

• El problema es que nos lo captura todo, todos los protocolos, etc.

• Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma librería libpcap.

Wireshark

• Podemos filtrar a través de Capture filter o usar el campo correspondiente:

• Capturamos los paquetes de segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros más avanzados, introducimos directamente el filtro de esta forma:

Wireshark

• icmp[0:1] == 08 (en windump es suficiente con un solo signo =)

• Con lo que capturaríamos los icmp de tipo echo request.

• O cualquiera de estos:• ip[9] == 1 • tcp dst port 110• http contains "http://www.forosdelweb.com" • frame contains "@miempresa.es"

Wireshark

• Con este último filtro capturamos todos los correos con origen y destino al dominio miempresa.es, incluyendo usuarios, pass, etc.

• En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno más propio de Wireshark. En otra ocasión nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la interpretación de los datos.

Wireshark

• Tras una captura nos encontramos con esta salida:

• Se establecen 3 zonas de datos:

Wireshark

• La primera es la zona de listado de los paquetes capturados con información del Numero de Frame, tiempo en segundos de la captura, Origen, Destino, protocolo involucrado y por último un campo de información extra que previamente Wireshark a decodificado.

Wireshark

• La segunda zona muestra los datos del Frame capturado. En este caso Frame 23 o captura 23 (la numera secuencialmente). nos da información de todos los protocolos involucrados en la captura:

Wireshark

• La tercera en campo Frame nos muestra información completa de la trama capturada. Tamaño total, etc. A continuación Ethernet II que nos muestra la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:

Wireshark

• 0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00• Nos muestra parte de la cabecera de la trama Ethener II, en

este caso:• Destino 6 bytes 00 04 75 ed 89 c3 : MAC destino

Origen 6 bytes 00 14 22 5f a9 25 : MAC origenTipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este caso IP. 0x0800.

• A continuación vemos Internet Protocol con los datos de la cabecera del datagrama IP:

• 0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de E.........o..~K.0010 c0 a8 01 1e

Wireshark

• Después no encontramos con Transmission Control Protocol. (TCP):

• 0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!....(..P...0010 f5 79 00 00 .y..

• Se trata del Segmento TCP. Protocolo involucrado en esta captura.

• Como ya hemos visto, tenemos información del Puerto de origen, destino, número de secuencia, etc.

• Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo Data del segmento TCP.

Wireshark