Javier Rubio Robledo así un mayor conocimiento sobre algunos protocolos usados ... Wireshark es un...

Javier Rubio RobledoElectrónica IndustrialIngeniería de Computadores

Wireshark v1.10 - Mayo 2014Universidad Politécnica de Madrid

Página 1



Página 1



Manual de Monitorización con WireShark Javier Rubio Robledo

Página 2

INDICE

1. Objetivo General ........................................................................................................... 3

2. El Analizador de Protocolos Wireshark ...................................................................... 3

3. Características.............................................................................................................. 4

4. Instalación de la herramienta Wireshark .................................................................... 6

5. Uso básico de Wireshark ............................................................................................. 9

6. La barra de Menus. ....................................................................................................... 17

El Menu File ..................................................................................................... 17

El menú Edit .................................................................................................... 24

El menú View .................................................................................................. 30

El Menú Go ..................................................................................................... 36

El menú Capture ............................................................................................. 38

El menú Analyze ............................................................................................. 41

El menú Stadistics .......................................................................................... 45

El menú Telephony ......................................................................................... 53

El menú Tools.................................................................................................. 57

El menú Internals ............................................................................................ 58

El menú Help .................................................................................................. 58

7. La barra de Filtros. ....................................................................................................... 60

8. Caso práctico de monitorización................................................................................. 62

9. Bibliografía.................................................................................................................... 68


Página 3

1. OBJETIVO GENERAL

Este manual está diseñado para exponer el funcionamiento básico de un analizador de

protocolos, específicamente Wireshark, y comprender los resultados generados por éste,

obteniendo así un mayor conocimiento sobre algunos protocolos usados comúnmente en una red.

Previamente es conveniente haberse familiarizado con temas como Analizador de protocolos y

Software de monitorización.

2. EL ANALIZADOR DE PROTOCOLOS WIRESHARK

Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar

protocolos y aplicaciones de red. Permite al computador capturar diversas tramas de red para

analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende

que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP,

ICMP...) y muestra al usuario la información decodificada. De esta forma, el usuario puede ver

todo aquello que en un momento concreto está circulando por la red que se está analizando.

Wireshark es un analizador de paquetes de red. Un analizador de paquetes de red intenta

capturar paquetes en la red e intenta visualizar los datos de esos paquetes tan detalladamente

como sea posible. Se puede pensar en un analizador de paquetes de red como un dispositivo de

medida usado para examinar que está pasando al interior de un cable de red.

Wireshark tiene todas las características estándares que se pueden esperar en un

analizador de protocolos; su licencia es de código abierto y puede ser ejecutado sobre plataformas

como Unix, Linux y Windows. Es uno de esos programas que muchos administradores de red le

encantaría ser capaz de utilizar, pero a menudo se les impide conseguir lo que quieren de Wireshark

a causa de la falta de documentación.

Se puede pensar en un analizador de paquetes de red como un dispositivo de medición

utilizado para examinar lo que está pasando en el interior de un cable de red, como un voltímetro es

utilizado por un electricista para examinar lo que está pasando dentro de un cable eléctrico, pero a un

nivel más alto, por supuesto.


Página 4

3. CARACTERÍSTICAS

Las siguientes son algunas de las muchas características que Wireshark ofrece:

• Disponible para UNIX y Windows.

• Captura de paquetes de datos en vivo de una interfaz de red.

• Muestra los paquetes con información de protocolo muy detallado.

• Abrir y guardar datos de paquetes capturados.

• Importar y exportar datos de paquetes desde y hacia muchos otros programas de captura.

• Filtrar paquetes en muchos criterios.

• Búsqueda de paquetes en muchos criterios.

• Colorear muestra de los paquetes en base a filtros.

• Crear varias estadísticas.

He aquí algunos ejemplos para los que se usa Wireshark:

• Los administradores de red lo utilizan para solucionar problemas de red.

• Los ingenieros de seguridad de red lo utilizan para examinar los problemas de seguridad.

• Los desarrolladores lo utilizan para depurar implementaciones del protocolo.


Página 5

Wireshark es un proyecto de software libre, y se distribuye bajo la Licencia Pública General de

GNU (GPL). Se puede utilizar libremente Wireshark en cualquier número de ordenadores sin tener

que preocuparse acerca de las claves de licencia o derechos. Además todo el código fuente está

disponible libremente bajo licencia Open GPL. Debido a esto es muy fácil añadir nuevos protocolos

Wireshark, ya sea como plugins integrados en la fuente, mejoras en versiones posteriores, nuevas

aplicaciones, etc…

Por el contrario Wireshark no es un sistema de detección de intrusos. No va a avisar cuando

alguien interfiere en la red por fallos de seguridad. Sin embargo si algo extraño sucede, Wireshark

puede ayudar a averiguar lo que realmente está pasando.

Wireshark no sirve para manipular las cosas en la red, solo mide sus parámetros. No envía

paquetes en la red ni sirve para activar dispositivos (a excepción de las resoluciones de nombres,

pero incluso eso se puede desactivar).


Página 6

4. INSTALACIÓN DE LA HERRAMIENTA WIRESHARK

Realizar la descarga de la última versión estable de Wireshark, versión 1.10.0, de la página

http://www.wireshark.org/download.html. Tener en cuenta las características de hardware y software

de la estación de trabajo sobre la que se va a ejecutar el programa. Para el caso de este

documento se muestra la instalación particular para Windows de 64 bits.

Ejecutar el wizard de instalación. Hacer clic en “Next”. Luego seleccionar “I Agree” en el

acuerdo de licencia de uso.

Seleccionar todos los componentes a instalar. Luego seleccionar la asociación de las

extensiones mencionadas a la aplicación.

Aceptar la carpeta de instalación por defecto. Para el funcionamiento de Wireshark es

http://www.wireshark.org/download.html


Página 7

necesaria la instalación de la librería WinPcap. Debido a esto, seleccionar su instalación si no está

previamente instalado o si está instalada una versión anterior a la sugerida por el instalador.

Se inicia la instalación de algunos de los componentes de Wireshark y luego se muestra el

wizard de instalación de la versión 4.1.3 de WinPcap.

Aceptar las condiciones de la licencia de uso de WinPcap.


Página 8

Seleccionar la opción de iniciar automáticamente el driver de WinPcap al iniciar el

sistema.

Cerrar la ventana de instalación e iniciar la aplicación.


Página 9

5. USO BÁSICO DE WIRESHARK

Una vez se ejecuta el programa Wireshark, se verá una ventana como la siguiente:

Para iniciar una captura, seleccionar la opción “Capture Options”, bajo el menú “Capture”.

También se puede acceder a esta opción a través del segundo ícono del menú, “Show the capture

options”.


Página 10

En la ventana que aparece, realizar las siguientes acciones:

Seleccione la tarjeta de red a usar para capturar los paquetes.

Seleccione la opción para capturar paquetes en modo promiscuo.

Verifique que no haya ningún filtro, en “Capture Filter”.

Remueva las selecciones en “Display Options”

Verifique que las opciones seleccionadas en “Name Resolution” involucren las direcciones

MAC, las direcciones de capa de red y las direcciones de capa de

transporte.

Deseleccionar la opción “Use pcap-ng format”.

Al hacer click en “Start”, se podrá ver una ventana que muestra el número de paquetes

capturados, con sus respectivos protocolos.


Página 11

Para terminar la captura de paquetes, hacer click en “Stop”. Después de esto se podrá

observar una ventana de resultados.

El filtrado de tráfico permite desplegar sólo aquellos paquetes de interés para el

usuario. Para hacer esto, se usa la barra “Filter”. Se puede escribir directamente sobre ella la

condición sobre los paquetes que debe ser cumplida, o se puede usar la ventana asociada al

botón "Expression…". Ahí se selecciona el nombre del campo, y su relación con un valor.

A continuación se muestra el filtro de paquetes que poseen el puerto 80 TCP como

origen o como destino. Para que un filtro tenga efecto, se debe hacer click en “Apply”. Si se desea

nuevamente mostrar todos los paquetes, se debe hacer click en “Clear”.


Página 12

Para el caso particular del protocolo TCP, la información de cada captura es mostrada en

cuatro partes: “Frame”, “Ethernet”, “Internet Protocol”, y “Transmission Control Protocol”.


Página 13

Wireshark posee un completo conjunto de herramientas que permiten obtener

estadísticas. Éstas incluyen resúmenes, gráficas, jerarquías de protocolos, conversaciones, etc.

Se accede a la mayoría de ellas a través del menú “Statistics”.

La siguiente figura muestra la opción “Summary”. En ella se muestran datos de tráfico

capturado y mostrado (si ha sido aplicado algún filtro).


Página 14

La siguiente gráfica muestra la opción “Statistics→IO Graphs”, donde se han

seleccionado los parámetros de tráfico TCP y tráfico IP.

Las siguientes gráficas se refieren a la configuración de la opción “Flow Graph” y a la

muestra de resultados del mismo. Esto muestra el flujo de mensajes entre uno o más sistemas

finales, en su orden cronológico.


Página 15


Página 16

Las siguientes gráficas muestran el uso de la opción “Statistics→Endpoints”. En ellas se

puede observar información referente a cada uno de los endpoints en el caso de los protocolos TCP y

UDP.


Página 17

6. LA BARRA DE MENUS

El menú de Wireshark se encuentra en la parte superior de la ventana de Wireshark:

6.1. El Menu File.

Este menú contiene opciones para abrir y combinar archivos de captura, guardar / imprimir

/ exportar archivos de captura en su totalidad o en parte, y para salir de Wireshark.

Open: Este elemento de menú abre el cuadro de diálogo de abrir archivo que le

permite cargar un archivo de captura para su visualización.

Open Recent: Este elemento de menú muestra un submenú que contiene los archivos

de captura abiertos recientemente.


Página 17



6.1. El Menu File.








Página 17



6.1. El Menu File.








Página 18

Merge: Este elemento de menú abre el cuadro de diálogo de archivo de combinación

que le permite combinar un archivo de captura a la carga en la actualidad.

A veces es necesario combinar varios archivos de captura en una sola. Por

ejemplo, esto puede ser útil, si se ha capturado de forma simultánea desde varias

interfaces a la vez (por ejemplo, el uso de múltiples instancias de Wireshark).

La fusión de archivos de captura se puede hacer utilizando la opción "Combinar"

en el menú "Archivo", para abrir el diálogo de fusion. Controles específicos de éste diálogo

de fusión son:

• Anteponer los paquetes al archivo existente

• Anteponer los paquetes del archivo seleccionado antes de que los paquetes

cargados en ese momento.

• Fusionar paquetes cronológicamente

• Combinar ambos los paquetes del archivo seleccionado y cargado en orden

cronológico.

• Anexar paquetes al archivo existente.

• Añadir los paquetes del archivo seleccionado después de que los paquetes

cargados en ese momento.


Página 19

• Importar capturas.

Este elemento de menú abre el cuadro de diálogo de importación de archivos que

le permite importar un archivo de texto en una nueva captura temporal.

Controles específicos de este diálogo de importación se dividen en dos secciones:

Entrada - InputDetermina qué archivo de entrada tiene que ser importado y cómo se ha de interpretar.

Importar - ImportDeterminar cómo son los datos que desea importar.

Los parámetros de entrada son los siguientes:

Nombre de archivo / Navegación - Filename / BrowseIntroduzca el nombre del archivo de texto que desea importar. Usted puede utilizar el botón

Examinar para buscar un archivo.


Página 20

Compensaciones - OffsetsSeleccione la base de las compensaciones que figuran en el archivo de texto que desea

importar. Esto suele ser hexadecimal, octal y decimal, pero también son compatibles.

Fecha / Hora - Date/TimeMarque esta casilla si hay marcas de tiempo asociadas con los marcos en el archivo de

texto para importar desea utilizar. De lo contrario la hora actual se usa para el sellado de

tiempo de los marcos.

Formato - FormatEste es el especificador de formato que se utiliza para analizar las marcas de tiempo en el

archivo de texto que desea importar. Se utiliza una sintaxis simple para describir el formato

de los sellos de tiempo, utilizando% de H para la hora,% M para los minutos,% S para el

segundo, etc La HH sencillo: MM: SS está cubierto por% T. Para una definición completa

de la mirada sintaxis para strftime (3).

Los parámetros de importación son las siguientes:

Tipo de encapsulado - Encapsulation typeAquí puede seleccionar el tipo de tramas que está importando. Todo esto depende de qué

tipo de medio se tomó el volcado de importar. En él se enumeran todos los tipos que

Wireshark entiende, con el fin de pasar el contenido del archivo de captura para el disector

derecha.

Encabezado Maniquí - Dummy headerCuando se selecciona la encapsulación Ethernet que tiene la opción para anteponer

encabezados falsos a los marcos que desee importar. Estas cabeceras pueden ofrecer

Ethernet artificial, IP, UDP o TCP o SCTP encabezados y fragmentos de datos SCTP. Al

seleccionar un tipo de encabezado ficticia las entradas correspondientes están activadas,

otros están en gris y se utilizan los valores predeterminados.

Max. Longitud de la trama - Max. frame lengthPuede no estar interesado en las imágenes completas del archivo de texto, sólo la primera

parte. Aquí puede definir la cantidad de datos desde el inicio de la trama que desea

importar. Si deja este abierto el máximo se establece en 64000 bytes.


Página 21

• Otros comandos básicos.

CerrarEste elemento de menú cierra la toma de datos. Si no ha guardado la captura, se le pedirá

que lo haga primero (esto puede ser desactivado mediante la configuración de

preferencias).

GuardarTambién se activa con Ctrl + S. Esta opción guarda la captura actual. Si no ha configurado

un nombre de archivo de captura por defecto aparece el archivo de captura inicial con la

opción Guardar Como.

Guardar comoEste elemento de menú le permite guardar el archivo de captura actual con cualquier

nombre que desee.


Página 22

Set del archivoEsta opción de menú le permite mostrar una lista de archivos en un conjunto de archivos.

Aparece el cuadro de diálogo Set List File Wireshark.

Cada línea contiene información acerca de un archivo del sistema de archivos:

• El nombre del archivo. Si hace clic en el nombre del archivo (o el botón de la

izquierda a la misma), el archivo actual se cerrará y se abrirá el archivo de captura

correspondiente.

• Creado el momento de creación del archivo.

• Última modificación de la última vez que se modificó el archivo.

• Tamaño del tamaño del archivo.

La última línea contendrá información sobre el directorio utilizado actualmente donde todos

los archivos del conjunto de archivos se pueden encontrar. El contenido de este cuadro de

diálogo se actualiza cada vez que un archivo de captura se abre / cierra.

Exportar ArchivoEste elemento de menú le permite exportar todos (o algunos) de los paquetes en el archivo

de captura en un archivo. Aparece el cuadro de diálogo Exportar Wireshark.

Export Bytes paquete seleccionado Ctrl + HEste elemento de menú le permite exportar los bytes seleccionados actualmente en el

panel de bytes de paquetes en un archivo binario. Aparece el cuadro de diálogo Exportar

Wireshark.


Página 23

Exportar Objetos> HTTPEste elemento de menú le permite exportar todos o algunos de los objetos HTTP

capturados en archivos locales. No aparece la lista de objetos HTTP Wireshark.

Exportar Objetos> DICOMEste elemento de menú le permite exportar todos o algunos de los objetos DICOM

capturados en archivos locales. No aparece la lista de objetos DICOM Wireshark

Exportar> Objetos> SMBEste elemento de menú le permite exportar todos o algunos de los objetos capturados

SMB en archivos locales. No aparece la lista de objetos SMB Wireshark

Exportar> Objetos> SMBEste elemento de menú le permite exportar todos o algunos de los objetos capturados

SMB en archivos locales. No aparece la lista de objetos SMB Wireshark

ImprimirCtrl + P Esta opción permite imprimir todos (o algunos) de los paquetes en el archivo de

captura. Se aparece el cuadro de diálogo Imprimir Wireshark

Salir Ctrl + QEste elemento de menú le permite salir de Wireshark. Wireshark le pedirá para guardar el

archivo de captura si no se ha guardado anteriormente (esto puede desactivarse mediante

un ajuste de preferencia).


Página 24

6.2. El menú Edit.

Copiar - Copy

Copiar> Descripción Shift + Ctrl + DEste elemento de menú se copia la descripción del elemento seleccionado en la

vista de detalle en el portapapeles.

Copiar> Fieldname Shift + Ctrl + FEste elemento de menú se copia el nombre del campo del elemento seleccionado

en la vista de detalle en el portapapeles.

Copiar> Valor Shift + Ctrl + VEste elemento de menú se copia el valor del elemento seleccionado en la vista de

detalle en el portapapeles.

Copiar> Como Shift Filter + Ctrl + CEste elemento de menú se utiliza el elemento seleccionado en la vista de detalle

para crear un filtro de pantalla. Este filtro de pantalla se copia en el portapapeles.


Página 25

Find Packet - Buscar PaqueteTambién se activa con (Ctrl+F). Esta opción abre un cuadro de diálogo que permite buscar

un paquete de muchos criterios. Con ésta opción se pueden encontrar fácilmente los

paquetes una vez que hayan capturado algunos paquetes o ha leído en un fichero de

captura previamente guardado. Sólo tiene que seleccionar el paquete de encontrar,

elemento de menú en el menú Edición.

Mostrar filtro - Display FilterBasta con introducir una cadena de filtro de visualización en el Filtrar, seleccionar una

dirección, y hacer clic en Aceptar.

Valor Hex - Hex valueRealiza una búsqueda de una secuencia de bytes específico en los paquetes de datos. Por

ejemplo se puede usar "00:00" para buscar el siguiente paquete que incluye dos bytes

nulos en los datos del paquete.


Página 26

String - CadenaBusca una cadena en los paquetes de datos, con varias opciones. El valor que se busca se

comprueba con la sintaxis mientras se escribe. Si con la sintaxis detecta un valor existente

el fondo del campo de entrada se pondrá verde, si no, se volverá rojo. Se puede elegir la

dirección de la búsqueda en dos direcciones:

Hacia arriba - UpBúsqueda hacia arriba en la lista de paquetes (disminución del número de

paquetes).

Hacia abajo - DownBúsqueda hacia abajo en la lista de paquetes (un número creciente de paquetes).

Buscar siguiente Ctrl + NEste elemento de menú intenta encontrar el siguiente paquete seleccionado la

configuración de "Buscar Paquete ...".

Buscar anterior Ctrl + BEste elemento de menú intenta encontrar el paquete anterior que coincidan con los ajustes

de "Buscar Paquete ...".

Marcación Packet (conmutación) Ctrl + MEste elemento de menú "marca" el paquete seleccionado. Hay varias funciones para

manipular el estado marcado de un paquete:

Mark packet (toggle) - Marcar paquetes (conmutación)Cambia el estado marcado de un solo paquete.

Mark all displayed packets - Marcar todos los paquetes mostrados Establecen

el estado de señal de todos los paquetes de idioma.


Página 27

Unmark all packets - Desmarcar todos los paquetesRestablece el estado de señal de todos los paquetes.

Buscar siguiente Marco Shift + Ctrl + NBuscar el siguiente paquete al marcado.

Buscar Marco anterior Shift + Ctrl + BEncuentre el paquete marcado al anterior.

Ignore Packet - Ignorar paquetes (conmutación) Ctrl + DEste elemento de menú se indica el paquete seleccionado como ignorado.

Ignore All Displayed Packets (toggle) Shift+Ctrl+DEste elemento de menú marca todos los paquetes que se muestran como ignorado.

Un-Ignore All Packets Ctrl+Alt+DEste elemento de menú quita la marca de todos los paquetes ignorados.

Set Time Reference (cambiar) Ctrl + TEste elemento de menú establece una referencia de tiempo en el paquete

seleccionado.

Un -Time Reference All Packets Ctrl+Alt+TEste elemento de menú elimina todas las referencias de tiempo de los paquetes.

Find Next Time Reference Ctrl+Alt+NEste elemento de menú trata de encontrar la próxima vez paquetes referencia.

Find Previous Time Reference Ctrl+Alt+BEste elemento de menú trata de encontrar el momento anterior paquete de

referencia.


Página 28

En todos los casos el proceso es similar:

Configuration Profiles (Shift + Ctrl + A)Esta opción abre un cuadro de diálogo para el manejo de perfiles de configuración. Se

puede utilizar para configurar y utilizar más de un conjunto de preferencias y

configuraciones. Seleccionando esta opción en el menú Editar se abrirá el cuadro de

diálogo de configuración de perfiles, que tiene las siguientes opciones:

NewEste botón agrega un nuevo perfil a la lista de perfiles. El nombre del perfil creado

es "Nuevo perfil" y se puede cambiar en el campo Propiedades.

CopyEste botón agrega un nuevo perfil a la lista de perfiles, copiar toda la configuración

del perfil seleccionado en la lista. El nombre del perfil creado es el mismo que el

perfil de copiado, con el texto "(copia)" aplicada. El nombre se puede cambiar en el

campo Propiedades.

DeleteEste botón permite eliminar el perfil seleccionado, incluyendo todos los archivos de

configuración que se utilizan en este perfil. No es posible eliminar el perfil "Default".


Página 29

Configuration ProfilesPuede seleccionar un perfil de configuración de esta lista (que rellenar el nombre

del perfil en el campo abajo en la parte inferior del cuadro de diálogo).

Profile name:Puede cambiar el nombre del perfil seleccionando esta opción.

La vista del menú principal de esta opción es la siguiente:


Página 30

6.3. El menú View.

Main ToolbarEste elemento de menú oculta o muestra la barra de herramientas principal

Filter ToolbarEste elemento de menú se esconde y muestra la barra de herramientas de filtro

Wireless Toolbar (Windows only)Este elemento de menú oculta o muestra la barra de herramientas inalámbricas.

Consulte la documentación AirPcap para más información.


Página 31

StatusbarEste elemento de menú oculta o muestra la barra de estado

Packet BytesEste elemento de menú oculta o muestra el panel de bytes de paquetes.

Time Display FormatVisualizar segundos con horas y minutos Selección de esto dice Wireshark para

mostrar las marcas de tiempo en segundos, con horas y minutos

Packet ListEste elemento de menú oculta o muestra el panel de la lista de paquetes


Página 32

Packet DetailsEste elemento de menú oculta o muestra el panel de detalles de paquetes.

Name Resolution - Resolve NameResolver el nombre de este elemento le permite codificar un nombre para un

paquete determinado. La resolución de nombres intenta convertir algunos de los

valores de las direcciones numéricas en un formato legible para las personas. Hay

dos maneras posibles de hacer estas conversiones, dependiendo de la resolución

por hacer: llamar a los servicios del sistema / red (como la función gethostname ())

o resolver de los archivos de configuración específicos Wireshark. Para obtener

detalles sobre la configuración de los archivos de Wireshark utiliza para la

resolución de nombres y parecidos.

La resolución de nombres puede ser muy valiosa al trabajar con Wireshark y hasta

puede ahorrar horas de trabajo. Por desgracia, también tiene sus inconvenientes.

La resolución de nombres a menudo provoca errores. El nombre por resolver podría

ser simplemente desconocido por los servidores de nombres preguntó, o los

servidores no son sólo disponibles y el nombre también se no se encuentra en los

archivos de configuración de Wireshark.

Los nombres resueltos no se almacenan en el archivo de captura o en otro lugar.

Así que los nombres resueltos pueden no estar disponibles si se abre el archivo de

captura fuera de plazo o en un equipo diferente. Cada vez que se abre un archivo

de captura que puede parecer "un poco diferente", simplemente porque no puede

conectarse al servidor de nombres (que se puede conectar al anterior).

DNS puede agregar paquetes adicionales a su archivo de captura. Usted puede ver

los paquetes a / desde el equipo en el archivo de captura, que son causados por los

servicios de red de resolución de nombres de la máquina de captura de Wireshark.

XXX - ¿existen otros tales paquetes que los DNS?


Página 33

Nombres DNS resueltos se almacenan en caché por Wireshark. Esto es necesario

para obtener un rendimiento aceptable. Sin embargo, si la información de

resolución de nombres debe cambiar mientras se ejecuta Wireshark, Wireshark no

notar un cambio en la información de resolución de nombres, una vez que se pone

en caché. Si esta información cambia, mientras que Wireshark está en marcha, por

ejemplo, un nuevo contrato de arrendamiento DHCP en vigor, Wireshark no lo

notará. XXX - esto es cierto para todos o sólo para información DNS?

1. Name Resolution Enable for MAC LayerEste elemento le permite controlar si Wireshark traduce las direcciones MAC

en nombres.

2. Name Resolution Enable for Network LayerEste elemento le permite controlar si Wireshark traduce las direcciones de

red en nombres.

3. Name Resolution Enable for Transport LayerEste elemento le permite controlar si Wireshark traduce las direcciones de

transporte en nombres.

• Colorize Packet ListEste elemento permite controlar si Wireshark debe colorear la lista de paquetes.

• Auto Scroll in Live CaptureEste elemento le permite especificar que Wireshark debe desplazar el panel de lista

de paquetes como los nuevos paquetes entran, por lo que siempre estamos

buscando en el último paquete. Si no se especifica esto, Wireshark simplemente

añade nuevos paquetes en el extremo de la lista, pero no se desplaza el panel de la

lista de paquetes.

• Acercar Ctrl + + Zoom


Página 33









en nombres.


red en nombres.








lista de paquetes.



Página 33









en nombres.


red en nombres.








lista de paquetes.



Página 34

En los paquetes de datos (aumentar el tamaño de la fuente).

• Alejar Ctrl + - ZoomDe los paquetes de datos (disminuir el tamaño de la fuente).

• Tamaño normal Ctrl + =Nivel de zoom Set de nuevo al 100% (ajustado tamaño de la fuente a la

normalidad).

• Cambiar el tamaño de todas las columnas Shift + Ctrl + RCambiar el tamaño de todos los anchos de las columnas para que el contenido se

ajuste a ella.

• Colorize ConversationEste elemento de menú aparece un submenú que le permite dar color a los

paquetes en el panel de la lista de paquetes basados en las direcciones del

paquete seleccionado. Esto hace que sea fácil de distinguir los paquetes que

pertenecen a diferentes conversaciones.

Hay dos tipos de reglas para colorear en Wireshark, los temporales que sólo se

usan hasta que salga del programa, y los permanentes que se pueden guardar en

un archivo de preferencias para que estén disponibles en una próxima sesión.

En las normas para colorear temporales se pueden añadir mediante la selección de

un paquete y presionar la tecla <ctrl> junto con una de las teclas numéricas. Esto

creará una regla de color basada en la conversación seleccionada. Se tratará de

crear un filtro de conversación basado en TCP en primer lugar, a continuación,

UDP, IP y entonces por fin Ethernet. Filtros temporales también se pueden crear

mediante la selección de la "Colorear con filtro> Color X" elementos de menú

cuando rightclicking en el panel de paquetes detalle.

Para colorear de forma permanente paquetes, seleccione las Reglas para colorear

del menú, en el menú Ver, Wireshark se abrirá el "Reglamento para colorear

cuadro de diálogo".

Tenemos disponibles las siguientes opciones para configurar los colores:


Página 35

a) Colorize Conversation Color 1-10Estas opciones permiten a uno de los diez filtros temporales de color

basados en la conversación seleccionada.

b) Colorize Conversation Reset coloringEste elemento de menú borra todas las reglas para colorear temporales.

c) Colorize Conversation New Coloring RuleEste elemento de menú se abre una ventana de diálogo en la que una

nueva regla para colorear permanente se puede crear sobre la base de la

conversación seleccionada.

d) Coloring RulesEste elemento de menú aparece un cuadro de diálogo que le permite a los

paquetes de color en el panel de la lista de paquetes de acuerdo a las

expresiones de filtro que usted elija. Puede ser muy útil para detectar

ciertos tipos de paquetes.

• Show Packet in New WindowEste elemento de menú abre el paquete seleccionado en una ventana separada. La

ventana separada sólo muestra la vista de árbol y ver los paneles de byte.

• Reload Ctrl+REste ítem del menú permite volver a cargar el archivo de captura actual.


Página 36

6.4. El Menu Go.

• Back Alt+Left (Izquierda)Saltar al paquete recientemente visitado en la historia de paquetes, al igual que el

historial de la página en un navegador web.

• Forward Alt+Right (Derecha)Ir a la siguiente paquete visitado en la historia de paquetes, al igual que el historial

de la página en un navegador web.

• Go to Packet... Ctrl+GHace que aparezca un cuadro de diálogo que le permite especificar un número de

paquete, y luego se va a ese paquete.

• Go to the corresponding packetIr al paquete correspondiente del campo de protocolo seleccionado actualmente. Si

el campo seleccionado no se corresponde con un paquete, este elemento aparece

desactivado.


Página 36

6.4. El Menu Go.









desactivado.


Página 36

6.4. El Menu Go.









desactivado.


Página 37

• Previous Packet Ctrl+Up (Arriba)Va al paquete anterior en la lista. Esto se puede utilizar para mover al paquete

anterior, incluso si la lista de paquetes no tiene el foco del teclado.

• Next Packet Ctrl+Down (Abajo)Pasar a la siguiente paquete en el lista. Esto se puede utilizar para mover al

paquete anterior, incluso si la lista de paquetes no tiene el foco del teclado.

• First Packet Ctrl+Home (Inicio)Va al primer paquete del archivo de captura.

• Last Packet Ctrl+End (Fin)Va al último paquete del archivo de captura.

• Previous Packet In Conversation Ctrl+,Va al paquete anterior en la conversación actual. Esto se puede utilizar para mover

al paquete anterior, incluso si la lista de paquetes no tiene el foco del teclado.

• Next Packet In Conversation Ctrl+.Va al siguiente paquete en la conversación actual. Esto se puede utilizar para

mover al paquete anterior, incluso si la lista de paquetes no tiene el foco del

teclado.


Página 38

6.5. El menú Capture.

• Interfaces Ctrl+IEste punto del menú aparecerá un cuadro de diálogo que muestra lo que está

pasando en las interfaces de red que Wireshark tiene registradas.

DescriptionLa descripción de la interfaz proporcionada por el sistema operativo.

IPLa primera dirección IP Wireshark que pudo encontrar para esta interfaz.

Puede hacer clic en la dirección para pasar por otras direcciones asignadas

a la misma, si está disponible. Si se puede conocer ninguna dirección se

mostrará "Ninguno".

PacketsEl número de paquetes capturados de esta interfaz, desde que se abrió este

diálogo. Aparecerá en gris, si ningún paquete fue capturado en el último

segundo.


Página 38











segundo.


Página 38











segundo.


Página 39

StopDetener una captura actualmente en ejecución.

StartInicia una captura en todas las interfaces seleccionadas inmediatamente,

utilizando la configuración de la última captura o la configuración por

defecto, si no se han fijado las opciones.

• OptionsAbre el cuadro de diálogo Opciones de captura con las interfaces marcadas

seleccionados.


Página 39






seleccionados.


Página 39






seleccionados.


Página 40

Details (Microsoft Windows only)Abre un cuadro de diálogo con información detallada acerca de la interfaz

HelpMuestra esta página de ayuda.

CloseCierra este cuadro de diálogo.

• Start Ctrl+EInmediatamente empieza a capturar paquetes con la misma configuración que la

última vez.

• Stop Ctrl+EEste elemento de menú se detiene la captura actualmente en ejecución

• Restart Ctrl+RCon este elemento de menú se detiene la captura que se está ejecutando y se

inicia de nuevo con las mismas opciones, esto es sólo por conveniencia.

• Capture Filters...Este elemento de menú aparece un cuadro de diálogo que le permite crear y editar

los filtros de captura. Usted puede nombrar a los filtros, y usted puede guardar para

uso futuro.


Página 41

6.6. El menú Analyze

• Display Filters...En este elemento de menú aparece un cuadro de diálogo que le permite crear y

editar filtros de visualización. Usted puede nombrar a los filtros, y usted puede

guardar para uso futuro.

• Display Filter Macros...En este elemento de menú aparece un cuadro de diálogo que le permite crear y

editar macros filtro de visualización. Usted puede nombrar a macros de filtro, y

usted puede guardar para uso futuro.

• Apply as ColumnEste elemento de menú agrega el elemento protocolo seleccionado en el panel de

detalles de paquetes como una columna de la lista de paquetes.

• Apply as Filter ...Estos elementos de menú cambiará el filtro de visualización actual y aplicar el filtro

cambiado inmediatamente. Dependiendo de la opción elegida, la cadena actual

filtro de presentación será reemplazado o anexa por el campo de protocolo

seleccionado en el panel de detalles de paquetes.


Página 41















Página 41















Página 42

• Prepare a Filter ...Estos elementos de menú cambiará el filtro de presentación actual, pero no se

aplicará el filtro cambiado. Dependiendo de la opción elegida, la cadena actual filtro

de presentación será reemplazado o anexa por el campo de protocolo seleccionado

en el panel de detalles de paquetes.

• Enabled Protocols... Shift+Ctrl+EEste ítem del menú permite al usuario activar / desactivar disectores de protocolos.

Tiene varias opciones de configuración:

a. Enable All: Activar todos los protocolos de la lista.

b. Disable All: Desactivar todos los protocolos de la lista.


Página 42










Página 42










Página 43

a. Invert: Cambia el estado de todos los protocolos de la lista.

b. OK: Aplicar los cambios y cerrar el cuadro de diálogo.

c. Apply: Aplicar los cambios y mantener el cuadro de diálogo abierto.

d. Save: Guardar los ajustes a los protocolos.

• Decode As...Este ítem del menú permite al usuario forzar Wireshark para decodificar ciertos

paquetes como un protocolo particular. El "Decode As" le permite desviar

temporalmente disecciones protocolo específico. Esto podría ser útil, por ejemplo, si

usted hace algunos experimentos poco comunes en la red.

a) Decode: Decodifica paquetes.

b) Do not decode: No decodifica los paquetes.

c) Link/Network/Transport: Especifica la capa de red en la que

"Decodificar Como" debe llevarse a cabo. Cuál de estas páginas están

disponibles depende del contenido del paquete seleccionado en este

cuadro de diálogo se abre.

d) Show Current: Abre un cuadro de diálogo que muestra la lista actual de

usuario especificado decodifica.

e) OK: Aplica la decodificación seleccionado y cerrar el cuadro de diálogo.

f) Apply: Aplica la decodificación seleccionada y mantiene el cuadro de

diálogo abierto.

g) Cancel: Cancela los cambios y cierra el cuadro de diálogo.

• User Specified Decodes...


Página 44

Este ítem del menú permite al usuario forzar Wireshark para decodificar ciertos

paquetes como un protocolo particular. Este cuadro de diálogo muestra el usuario

activo especificado. Estas entradas se pueden guardar en el perfil actual para la

siguiente sesión.

• Follow TCP StreamEste ítem del menú abre una ventana independiente y muestra todos los segmentos

TCP que son capturados en la misma conexión TCP como un paquete

seleccionado

• Follow UDP StreamLa misma funcionalidad como "Follow TCP Stream", pero para los flujos UDP.

• Follow SSL StreamLa misma funcionalidad como "Follow TCP Stream", pero para los flujos SSL. XXX -

cómo proporcionar las claves SSL

• Expert InfoAbre un cuadro de diálogo que muestra algunas informaciones de expertos acerca

de los paquetes capturados. La cantidad de información dependerá del protocolo y

varía desde muy detallada a inexistente. XXX - añadir una nueva sección acerca de

este y el enlace de aquí.

• Conversation Filter ...En este menú encontrará filtro de conversación para varios protocolos.


Página 45

6.7. El menú Stadistics

• SummaryMuestra información sobre los datos capturados.


Página 45




Página 45




Página 46

• Protocol HierarchyMuestra un árbol jerárquico de las estadísticas de protocolo.

• ConversationsMuestra una lista de conversaciones (tráfico entre dos puntos finales).


Página 47

• EndpointsMuestra una lista de puntos finales (el tráfico hacia / desde una dirección). Un punto final

de red es el punto final lógico de tráfico de protocolo separada de una capa de protocolo

específico. Las estadísticas de punto final de Wireshark tomarán los siguientes criterios

de valoración en cuenta:

• Ethernet: Un punto final Ethernet es idéntica a la dirección MAC de Ethernet.

• Fibre Channel: XXX - Insertar información aquí.

• FDDI: Un punto final de FDDI es idéntica a la dirección MAC de FDDI.

• IPv4: Un punto final IP es idéntica a su dirección IP.

• IPX: Un punto final IPX es la concatenación de un número de red de 32 bits y 48 bits

dirección del nodo, ya sea por defecto la dirección MAC de redes Ethernet.

• JXTA: Un punto final JXTA es un poco 160 SHA-1 URN.

• NCP: XXX - Insertar información aquí.

• RSVP: XXX - Insertar información aquí.

• SCTP: Un punto final SCTP es una combinación de las direcciones IP de host (en plural)

y el puerto SCTP utilizados. Tan diferentes puertos SCTP en la misma dirección IP

diferentes puntos finales SCTP, pero el mismo puerto SCTP en diferentes direcciones IP

de la misma máquina todavía el mismo punto final.

• TCP: Un extremo TCP es una combinación de la dirección IP y el puerto TCP utilizado,

por lo que los diferentes puertos TCP en la misma dirección de IP diferentes puntos

finales TCP.


Página 48

Para cada protocolo soportado, se muestra una ficha en esta ventana. En la

etiqueta de cada ficha se muestra el número de puntos finales capturados (por ejemplo,

la etiqueta de la ficha "Ethernet: 5" te dice que cinco puntos finales de Ethernet han sido

capturados). Si se capturaron ningún punto final de un protocolo específico, la etiqueta de

la ficha aparecerá en gris (aunque la página relacionada todavía se puede seleccionar).

Cada fila de la lista muestra los valores estadísticos para exactamente un punto final.

La resolución de nombres se hará si está seleccionado en la ventana y si está

activo para la capa de protocolo específico (capa de MAC para la página de criterios de

valoración de Ethernet seleccionado). Como te habrás dado cuenta, la primera fila tiene

una resolución de nombres de los tres primeros bytes "Netgear", la dirección de la

segunda fila se resuelve a una dirección IP (usando ARP) y el tercero se acordó una

emisión (no resuelto esto aún sería : FF: FF: FF: FF: FF: FF), las dos últimas direcciones

Ethernet siguen sin resolverse.

Limite para mostrar filtro sólo mostrará las conversaciones que coincidan con el

filtro de visualización actual.

El botón de copia copiará los valores de la lista en el porta papeles en formato CSV

(valores separados por comas).


Página 49

• IO GraphsVe gráficas específicas del usuario (por ejemplo, el número de paquetes a lo largo del

tiempo).

Mediante esta herramienta el usuario puede configurar gráficos, estilos, ejes, escalas,

etc…El botón Guardar guardará la parte visualizada actualmente del gráfico como uno de

varios formatos de archivo. La función de ahorro sólo está disponible cuando se utiliza la

versión GTK 2.6 o superior (las versiones más recientes de Windows cumplan con este

requisito) y la versión del Wireshark 0.99.7 o superior.


Página 49


tiempo).







Página 49


tiempo).







Página 50

• Conversation ListMuestra una lista de conversaciones, puediendo crear estadísticas de las conversaciones

capturadas.

Junto con direcciones, contadores de paquetes, y los contadores de bytes de la ventana

de conversación añade cuatro columnas: el tiempo en segundos entre el inicio de la

captura y el inicio de la conversación ("Rel. Inicio"), la duración de la conversación en el

segundo, y el bits de medios (no bytes) por segundo en cada dirección.


Página 51

• Service Response TimeMuestra el tiempo transcurrido entre la solicitud y la respuesta correspondiente:

El tiempo de respuesta de servicio es el tiempo entre una solicitud y la respuesta

correspondiente. Esta información está disponible para muchos protocolos. Actualmente

se encuentran disponibles estadísticas de tiempo de respuesta de servicio para los

siguientes protocolos:

DCE-RPC

Canal de Fibra

H.225 RAS

LDAP

LTE MAC

MGCP

ONC-RPC

SMB

Para más información puede accederse a la siguiente página:

http://wiki.wireshark.org/Statistics

http://wiki.wireshark.org/Statistics


Página 52

• WLAN Traffic StatisticsEstadísticas del tráfico WLAN capturado. En esta ventana se resumirá el tráfico de red

inalámbrica que se encuentra en la captura. Son solicitudes de sondeo que se fusionarán en

una red existente identificando su SSID.

Cada fila de la lista muestra los valores estadísticos exactamente para una red inalámbrica.

La captura de nombres se llevará a cabo si se ha seleccionado en la ventana y si está activo

para la capa MAC. Sólo muestran las redes existentes, por tanto excluirán solicitudes de

sondeo con un SSID que no coincida con ninguna red de la lista.

El botón de copia copiará los valores de la lista en el portapapeles en formato CSV (valores

separados por comas). Esta ventana se actualiza con frecuencia, por lo que será útil, incluso

si se abre antes (o durante) se está haciendo una captura en tiempo real.


Página 53

6.8. El menú Telephony

Wireshark ofrece una amplia gama de estadísticas de la

red relacionados con la telefonía de la que se puede acceder a

través del menú de telefonía.

Estas estadísticas abarcan desde protocolos de señalización

específicos, el análisis de los flujos de señalización y medios de

comunicación. Si codificado en una codificación compatible con el

flujo de los medios de comunicación, incluso se puede reproducir.

ANSI

"El Instituto Nacional Estadounidense de Estándares (ANSI) es una organización privada, sin fines de

lucro (501 (c) 3), que administra y coordina el sistema de normalización voluntaria EE.UU. y la

evaluación de la conformidad".

ANSI facilita el desarrollo de American National Standards (ANS), mediante la acreditación de los

procedimientos de las organizaciones de desarrollo de normas (SDO). Estos grupos trabajan

conjuntamente para desarrollar estándares nacionales de consenso voluntario. La acreditación de

ANSI significa que los procedimientos utilizados por el organismo de normalización en relación con el

desarrollo de la American National Standards encuentran el Instituto? S requisitos esenciales para la

apertura, el equilibrio, el consenso y el debido proceso.

Es decir, no crean normas ANSI, normas ANSI son desarrollados por organizaciones acreditadas por

ANSI.


Página 54

GSM

GSM es un servicio de telecomunicaciones inalámbrico digital, representada por un número de

especificaciones. La tecnología GSM Piezas basa en ISND fijo.

La "interfaz de aire" Original GSM teléfono móvil de segunda generación (2G), era una interfaz

TDMA, la interfaz de tercera generación W-CDMA es una interfaz CDMA. GSM, sin embargo, las

preocupaciones sobre la "interfaz de aire" se refiere a todo el conjunto de protocolos.

Proyecto de Asociación de 3 ª Generación (3GPP) GSM especificaciones GSM mantiene más y se

puede encontrar en el sitio web de 3GPP.

Protocolos de GSM

La familia de Protocolos de GSM CONSTA MUCHOS Protocolos, y Otros Protocolos hijo

transportados en la Parte Superior de Estós.

• GSMMAP: GSM Mobile Application Part, ETSI TS 129 002 GSM SMS : El servicio de

mensajes cortos GSM.

• CAMEL: Aplicaciones a medida para Mobile lógica mejorada ETSI 300 374 A GSM : GSM A

Interface (BSSMAP / DTaP).

• WapProtocolFamily: La colección completa de WAP protocolos se puede transmitir a través

de GSM.

• H225: Es un protocolo de señalización y paquetización de trenes de medios para sistemas de

comunicación multimedios por paquetes.

• RTP Analysis: La función de análisis de RTP toma el flujo RTP seleccionado (y la corriente

inversa, si es posible) y genera una lista de estadísticas sobre el mismo.


Página 55

A partir de los datos básicos como el número de paquetes y el número de secuencia, se crean

nuevas estadísticas sobre la base de la hora de llegada, retardo, jitter, tamaño del paquete,

etc

Además de las estadísticas por paquete, el panel inferior muestra las estadísticas generales,

con mínimos y máximos para delta, jitter y el sesgo del reloj. También se incluye una

indicación de paquetes perdidos.

La ventana de Análisis de Flujo RTP proporciona, además, la opción de guardar la carga útil

de RTP (como datos sin procesar o, si en una codificación PCM, en un archivo de audio).

Otras opciones de exportar y trazar varias estadísticas sobre los flujos RTP.

• VoIP Calls: La ventana de llamadas VoIP muestra una lista de todas las llamadas VoIP

detectado en el tráfico capturado. Se encuentra a las llamadas por su señalización.

• LTE Mac Traffic Stadistic: Esta ventana se resumirá el tráfico LTE MAC que se encuentra

en la captura de datos.

El panel superior muestra las estadísticas de los canales habituales. Cada fila en el panel del

medio muestra destaca estadísticos para exactamente una UE / C-RNTI. En el panel inferior,

se puede ver la de la UE / C-RNTI el tráfico seleccionado desglosado por canal individual.


Página 56

• LTE RLE Traffic Stadistic: esta ventana resumirá el tráfico RLC LTE se encuentran en la

captura. En la parte superior, la casilla de verificación permite a esta ventana para incluir las

PDU RLC encontrados withing MAC PDU o no. Esto afectará tanto a las PDU contados, así

como los filtros de visualización generados (véase más adelante).

La lista superior muestra los resúmenes de cada UE activa. Cada fila de la lista inferior

muestra cuestiones estadísticas para los canales individuales dentro de la UE seleccionado.

La parte inferior de las ventanas permite que los filtros de visualización que se genera y se

establece para el canal seleccionado. Tenga en cuenta que en el caso de los canales del

modo Reconocidos, si se elige una sola dirección, el filtro generado mostrará los datos en esa

dirección y el control de las PDU en la dirección opuesta.


Página 57

6.9. El menú Tools

Firewall ACL RulesEsto le permite crear reglas de ACL de línea de comandos para muchos productos diferentes,

incluyendo firewall Cisco IOS, Netfilter de Linux (iptables), OpenBSD pf y el Firewall de Windows (a

través de netsh). Se admiten Reglas para las direcciones MAC, direcciones IPv4, TCP y UDP, y

combinaciones de IPv4 + port.

LuaEstas opciones le permiten trabajar con el intérprete Lua opcionalmente construir en Wireshark. Lua

es un lenguaje de programación ligero de gran alcance diseñado para las aplicaciones que se

extienden. Lua se ha diseñado e implementado por un equipo de la PUC-Rio, la

Universidad Pontificia Católica de Río de Janeiro en Brasil. Lua nació y se crió en Tecgraf, la gráfica

Grupo de Tecnología Informática de la PUC-Rio, y ahora se encuentra en Lua.org. Tanto Tecgraf y

Lua.org son laboratorios del Departamento de Ciencias de la Computación.

En Wireshark Lua se puede utilizar para escribir disectores y grifos. Lua intérprete de Wireshark

comienza cargando init.lua que se encuentra en el directorio de configuración global de Wireshark.

Lua está activada por defecto. Para desactivar Lua la variable line disable_lua debe establecerse en

true en init.lua.

Después de cargar init.lua desde el directorio de datos si Lua está activado Wireshark intentará

cargar un archivo llamado init.lua en el directorio del usuario.

Wireshark también se cargarán todos los archivos con extensión. Lua sufijo tanto de lo global y el

directorio de plugins personal. La opción de línea de comandos-X lua_script: <file.lua> se puede

utilizar para cargar scripts Lua también.

El código Lua se ejecutará una vez después de todos los disectores de protocolos que se han

inicializado y antes de leer cualquier archivo.


Página 58

6.10. El menú Internals

Dissector tablesEste elemento de menú aparece un cuadro de diálogo que muestra las tablas con relaciones

subdissector.

Supported Protocols (slow!)Este elemento de menú aparece un cuadro de diálogo que muestra los protocolos soportados y

los campos de protocolo.

5.11. El menu Help

Contents F1Este elemento de menú aparece un sistema de ayuda básica.

Manual Pages ...Este punto se abre un navegador Web que muestra una de las páginas del manual HTML instalados

localmente.

WebsiteEste punto se abre un explorador Web muestra la página web de Wireshark


Página 59

Preguntas frecuentesEste punto se abre un navegador Web que muestra diversas preguntas frecuentes.

DescargasEste punto se abre un navegador Web que muestra las descargas de:

WikiEste punto se abre un navegador Web que muestra la primera página de:

Capturas de muestraEste punto se abre un navegador Web que muestra las capturas de ejemplo de:

http://wiki.wireshark.org.

Acerca de WiresharkEste elemento de menú nos lleva a una ventana de información que proporciona diversos elementos

de información detallada sobre Wireshark, tales como cómo se construyen, los plugins cargados, las

carpetas de segunda mano

http://wiki.wireshark.org


Página 60

7. LA BARRA DE FILTROS

FilterAbre el diálogo de construcción del filtro. Una comprobación de sintaxis de la cadena de filtro se hace

mientras usted está escribiendo. El fondo se vuelve rojo si se introduce una cadena incompleta o

nula, y se convertirá en verde cuando se introduce una cadena válida. Puede hacer clic en la flecha

desplegable para seleccionar una cadena de filtro introducido anteriormente en una lista. Las

entradas en la lista desplegable seguirán estando disponibles incluso después de un reinicio del

programa.

Expression ...El botón central con la etiqueta "Agregar expresión ..." se abre un cuadro de diálogo que le permite

editar un filtro de pantalla de una lista de campos de protocolo.


Página 61

Field NameSeleccione un campo de protocolo del árbol de campo de protocolo. Cada protocolo con campos

filtrables aparece en el nivel superior. (Usted puede buscar una entrada de protocolo en particular

mediante la introducción de las primeras letras del nombre de protocolo). Al hacer clic en el signo "+"

al lado del nombre del protocolo se puede obtener una lista de nombres de campos disponibles para

el filtrado para ese protocolo.

RelationSeleccione una relación de la lista de relación disponible. La relación unaria se devuelve presente si

el campo seleccionado está presente en un paquete. Todas las demás relaciones de la siguiente lista

son relaciones binarias que requieren datos adicionales (por ejemplo, un valor de partido) para

completar.

ValuePuede introducir un valor apropiado en el cuadro de texto Valor. El valor también puede indicar el tipo

de valor para el nombre del campo que haya seleccionado (como una cadena).

RangeAgregar una explicación

OKCuando haya creado una expresión satisfactoria clic en Aceptar y una cadena de filtro se construirá

para usted.

CancelCancela cambios que se harán y se cierra el cuadro.

ClearCambie el filtro de pantalla actual y borra el área de edición.

ApplyAplicar el valor actual en el área de edición como el nuevo filtro de visualización.

Nota: La aplicación de un filtro de archivos de captura de pantalla se puede tomar un buen tiempo


Página 62

8. CASO PRÁCTICO DE MONITORIZACIÓN

1. Acceder al programa, Clic botón de Inicio, seleccionar Todos los Programas yescoger Wireshark.

2. Escoger en la barra de menú la opción Capture.

3. Seleccionar la opción Interfaces.


Página 63

4. En la nueva ventana oprimir el botón Start de la primera fila.


Página 64

5. El sistema comienza a realizar el monitoreo de los paquetes transmitidos en la red através de todos los servidores y protocolos que intervienen.

6. Después de tener los datos necesario para analizar la información,seleccionar en el menú la opción Capture y seleccionar la opción Stop.

7. Organizar por protocolo, dando un clic sobre la columna con este nombre.


Página 65

8. En la parte inferior del análisis de información se encuentra un panel con eldetalle del paquete seleccionado en la ventana de paquetes, que se despliegadesde el signo más, en cada una de las opciones.

9. También se puede observar en la parte inferior un panel que despliega lainformación en bytes, al seleccionar una opción en el panel de detalles.


Página 66

10. Filtrar paquetes y configuración para el filtro de paquetes, digitando la informacióndel paquete en la barra de Filter Expression.

11. Manipular los paquetes capturados para su análisis desde el panel de detallesy panel de bytes.

12.Se puede importar o exportar los paquetes capturados desde y hacia otrosprogramas, en el menú File seleccionar la opción Impor o Export.

13.Se puede guardar la información de un análisis en un archivo, seleccionando elmenú File y escoger la opción Save As e ingresar un nombre.

14.Abrir un archivo antes guardado, ingresando al menú File y escoger opción Open ybuscar el archivo.


Página 68

9. BIBLIOGRAFÍA

• [1] “Analizador de protocolos”. http://es.wikipedia.org/wiki/Analizador_de_protocolos.

(Revisado el 25 de Julio de 2013.)

• [2] “Documentación de Wireshark”. http://www.wireshark.org/docs/.

(Revisado el 25 de Julio de 2013.)

• Información acerca de Wireshark. http://es.wikipedia.org/wiki/

• Artículos sobre Wireshark. http://es.kioskea.net/contents/internet/tcp.php3

• Turorial de monitorización. http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html

• Página official de “Wireshark”. http://www.wireshark.org/

• Descarga gratuita del software. http://wireshark.softonic.com/

• Tutorial on-line. http://www.consulintel.es/Html/Tutoriales/Lantronix/guia_et_p1.html

http://es.wikipedia.org/wiki/Analizador_de_protocolos

http://www.wireshark.org/docs/

http://es.wikipedia.org/wiki/

http://es.kioskea.net/contents/internet/tcp.php3

http://neo.lcc.uma.es/evirtual/cdd/tutorial/red/icmp.html

http://www.wireshark.org/

http://wireshark.softonic.com/

http://www.consulintel.es/Html/Tutoriales/Lantronix/guia_et_p1.html

Javier Rubio Robledo así un mayor conocimiento sobre algunos protocolos usados ... Wireshark es un...

Documents

Transcript of Javier Rubio Robledo así un mayor conocimiento sobre algunos protocolos usados ... Wireshark es un...