UNIVERSIDAD TÉCNICA PARTICULAR DE LOJA

La Universidad Católica de Loja

ESCUELA DE ELECTRÓNICA Y TELECOMUNICACIONES

WIRESHARK

Alumnos: Eduardo Suárez Nixon Villavicencio Ciclo: 8to “C”

Fecha: 2009-07-22

Docente: Ing. Francisco Sandoval

Periodo académico: marzo 2009 – agosto 2009

SOFTWARE DE MONITOREO DE RED- WIRESHARK

Introducción: Las redes de cómputo, se vuelven cada vez más complejas y la exigencia en cuanto a la operación de las mismas es cada vez más grande. Las redes, cada vez soportan más aplicaciones y servicios estratégicos. Por lo cual el análisis y monitoreo de redes se ha convertido en una labor cada vez mas importante y de carácter pro-activo para evitar problemas y mejorar la calidad del servicio que se brinda a los usuarios de las distintas redes.

En nuestro caso hemos elegido el software de monitoreo de red WIRESHARK 1.2.1 la elección del mismo se la ha hecho en base a las grandes capacidades que posee y a que es de licencia libre, entre otras cualidades que se describirán seguidamente.

Wireshark.- antes llamado Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos. Cuenta con todas las características estándar de un analizador de protocolos.

Usos de Wireshark

• Administradores lo usan para resolver problemas en la red.

• Ingenieros lo usan para examinar problemas de seguridad.

• Desarrolladores lo usan para depurar la implementación de los protocolos de red.

• Estudiantes los usan para aprender internamente cómo funciona una red.

Características principales de Wireshark:

Wireshark es un capturador/analizador de paquetes de red. Wireshark permite ver, a un nivel bajo y detallado, qué está pasando en una red. Permite la captura de paquetes en vivo desde una interfaz de red.

Este software cuenta con una interfaz gráfica lo que facilita su utilización especialmente para usuarios no muy avanzados y que no están acostumbrados a la operación mediante líneas de comandos, pero también cuenta con una versión basada en texto llamada Tshark.

Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, y Mac OS X, así como en Microsoft Windows, para nuestro trabajo hemos decidido instalarlo y operarlo sobre una plataforma Windows, específicamente Windows Vista

Muestra los paquetes con información detallada de los mismos. Abre y guarda paquetes capturados. Importar y exportar paquetes en diferentes formatos, esto permite una

compatibilidad con otros software de características similares, para que así un conjunto de paquetes adquiridos mediante Wireshark pueda ser abierto y analizado por otros software de monitoreo de red.

Filtrado de información de paquetes. Resaltado de paquetes dependiendo el filtro. Crear estadísticas. Trabaja tanto en modo promiscuo como en modo no promiscuo, esto se refiere a

que Wireshark funciona en maquinas conectadas a una red tanto inalámbricamente como de forma cableada.

Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa).

Gran capacidad de filtrado. Admite el formato estándar de archivos tcpdump. Reconstrucción de sesiones TCP Es compatible con más de 480 protocolos. Puede leer archivos de captura de más de 20 productos.

Instalación de Wireshark:

La instalación en la plataforma de Windows Vista es sumamente sencilla, debido a que es un programa de licencia libre, este brinda todas las facilidades para su instalación y posterior uso y operación. Para la instalación basta con ejecutar el instalador y listo, tal y como se muestra en la siguiente figura, luego como es de rutina solo se debe dar aceptar hasta finalizar y listo.

Una vez finalizada la instalación la interfaz de inicio que se muestra es la siguiente:

A continuación detallaremos los principales símbolos que en la página de inicio se muestran y sus funciones:

• La barra de herramientas, donde se tiene todas las opciones a realizar sobre la pre y pos captura.

• La barra de herramientas principal, donde se tiene las opciones más usadas en Wireshark.

• La barra de filtros, donde se puede aplicar filtros a la captura actual de manera rápida.

• El listado de paquetes, que muestra un resumen de cada paquete que es capturado por Wireshark.

• El panel de detalles de paquetes que, una vez seleccionado un paquete en el listado de paquetes, muestra información detallada del mismo.

• El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.

• La barra de estado, que muestra algo de información acerca del estado actual de Wireshark y la captura.

Ejemplo práctico sobre tráfico de paquetes.

Captura de paquetes DHCP para asignar a un dispositivo Corinex AV200 Powerline Ethernet Adapter.

Cuando se conecta el dispositivo Corinex AV200 Powerline Ethernet Adapter, el software captura el tráfico UDP para establecer la comunicación entre el nuevo dispositivo que se ha conectado a la tarjeta de red NVIDIA nForce MCP Networking Adapter Driver.

El servidor DHCP envía un paquete con el protocolo DHCPv6 en donde solicita información del dispositivo

Luego envía un mensaje ARP en Broadcast para consultar qué dispositivo añadidos al computador posee la dirección ip 192.168.1.1. Esta ip se coloca en la tarjeta de red para que sea dirección del servidor y luego proceda a emitir una dirección a cualquier otro dispositivo que requiera el servicio de DHCP.

Luego de haber encontrado el dispositivo con esa dirección, el dispositivo solicita una dirección ip con su respectiva máscara de subred. La tarjeta de red emite un paquete DHCP al dispositivo que lo solicita a través de su dirección MAC.

El tráfico de paquetes se mantiene constante entre la tarjeta de red NVIDIA nForce MCP Networking Adapter Driver y el dispositivo Corinex AV200 Powerline Ethernet Adapter a través de paquetes DHCP hasta que se complete la conversación entre ellos.

Luego para comprobar el enlace entre la tarjeta de red y el dispositivo que ha solicitado una dirección a través de un servidor DHCP, se realiza ping con la nueva dirección ip.

Se puede observar el tráfico entre los dispositivos mediante paquetes ICMP y ARP.

Además estos equipos Corinex AV200 Powerline Ethernet Adapter poseen los recursos necesarios para buscar a cualquier dispositivo que se encuentre conectado a través de la red eléctrica.

El software Wireshark también capta este tráfico entre los dispositivos. Se envían paquetes bajo el protocolo Spanning Tree Protocol (STP) y como respuesta a esta solicitud los dispositivos muestran su dirección de identificación o MAC.