Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 1 -

UNIVERSIDAD DE LOS ANDES FACULTAD DE INGENIERÍA

DEPARTAMENTO DE SISTEMAS Y COMPUTACIÓN

INFRAESTRUCTURA DE

COMUNICACIONES

Profesor Harold Castro

hcastro@uniandes.edu.co

TUTORIAL ANALIZADOR DE PROTOCOLOS “WIRESHARK”

1. OBJETIVO GENERAL

Aprender el funcionamiento básico de un analizador de protocolos, específicamente Wireshark, y comprender los resultados generados por éste, obteniendo así un mayor conocimiento sobre algunos protocolos usados comúnmente en una red.

2. LECTURAS PREVIAS

Familiarizarse con los siguientes temas:

o Analizador de protocolos o Wireshark

3. ANALIZADOR DE PROTOCOLOS WIRESHARK

“Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar protocolos y aplicaciones de red. Permite al computador capturar diversas tramas de red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por analizar se entiende que el programa puede reconocer que la trama capturada pertenece a un protocolo concreto (TCP, ICMP...) y muestra al usuario la información decodificada. De esta forma, el usuario puede ver todo aquello que en un momento concreto está circulando por la red que se está analizando.” [1] Wireshark es un analizador de paquetes de red. Un analizador de paquetes de red intenta capturar paquetes en la red e intenta visualizar los datos de esos paquetes tan detalladamente como sea posible. Se puede pensar en un analizador de paquetes de red como un dispositivo de medida usado para examinar que está pasando al interior de un cable de red.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 2 -

Wireshark tiene todas las características estándares que se pueden esperar en un analizador de protocolos; su licencia es de código abierto y puede ser ejecutado sobre plataformas como Unix, Linux y Windows.

4. INSTALACIÓN DE LA HERRAMIENTA WIRESHARK

Realizar la descarga de la última versión estable de Wireshark, versión 1.10.0, de la página http://www.wireshark.org/download.html. Tener en cuenta las características de hardware y software de la estación de trabajo sobre la que se va a ejecutar el programa. Para el caso de este documento se muestra la instalación particular para Windows de 64 bits. Ejecutar el wizard de instalación. Hacer clic en “Next”. Luego seleccionar “I Agree” en el acuerdo de licencia de uso.

Seleccionar todos los componentes a instalar. Luego seleccionar la asociación de las extensiones mencionadas a la aplicación.

Aceptar la carpeta de instalación por defecto. Para el funcionamiento de Wireshark es necesaria la instalación de la librería WinPcap. Debido a esto, seleccionar su instalación si no está previamente instalado o si está instalada una versión anterior a la sugerida por el instalador.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 3 -

Se inicia la instalación de algunos de los componentes de Wireshark y luego se muestra el wizard de instalación de la versión 4.1.3 de WinPcap.

Aceptar las condiciones de la licencia de uso de WinPcap.

Seleccionar la opción de iniciar automáticamente el driver de WinPcap al iniciar el sistema.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 4 -

Cerrar la ventana de instalación e iniciar la aplicación.

5. USO BÁSICO DE WIRESHARK

Una vez se ejecuta el programa Wireshark, se verá una ventana como la siguiente:

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 5 -

Para iniciar una captura, seleccionar la opción “Capture Options”, bajo el menú “Capture”. También se puede acceder a esta opción a través del segundo ícono del menú, “Show the capture options”.

En la ventana que aparece, realizar las siguientes acciones:

Seleccione la tarjeta de red a usar para capturar los paquetes. Seleccione la opción para capturar paquetes en modo promiscuo. Verifique que no haya ningún filtro, en “Capture Filter”. Remueva las selecciones en “Display Options” Verifique que las opciones seleccionadas en “Name Resolution” involucren las

direcciones MAC, las direcciones de capa de red y las direcciones de capa de transporte.

Deseleccionar la opción “Use pcap-ng format”.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 6 -

Al hacer click en “Start”, se podrá ver una ventana que muestra el número de paquetes capturados, con sus respectivos protocolos.

Para terminar la captura de paquetes, hacer click en “Stop”. Después de esto se podrá observar una ventana de resultados.

El filtrado de tráfico permite desplegar sólo aquellos paquetes de interés para el usuario. Para hacer esto, se usa la barra “Filter”. Se puede escribir directamente sobre ella la condición sobre los paquetes que debe ser cumplida, o se puede usar la ventana asociada al botón "Expression…". Ahí se selecciona el nombre del campo, y su relación con un valor. A continuación se muestra el filtro de paquetes que poseen el puerto 80 TCP como origen o como destino. Para que un filtro tenga efecto, se debe hacer click en “Apply”. Si se desea nuevamente mostrar todos los paquetes, se debe hacer click en “Clear”.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 7 -

Para el caso particular del protocolo TCP, la información de cada captura es mostrada en cuatro partes: “Frame”, “Ethernet”, “Internet Protocol”, y “Transmission Control Protocol”.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 8 -

Wireshark posee un completo conjunto de herramientas que permiten obtener estadísticas. Éstas incluyen resúmenes, gráficas, jerarquías de protocolos, conversaciones, etc. Se accede a la mayoría de ellas a través del menú “Statistics”.

La siguiente figura muestra la opción “Summary”. En ella se muestran datos de tráfico capturado y mostrado (si ha sido aplicado algún filtro).

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 9 -

La siguiente gráfica muestra la opción “Statistics→IO Graphs”, donde se han seleccionado los parámetros de tráfico TCP y tráfico IP.

Las siguientes gráficas se refieren a la configuración de la opción “Flow Graph” y a la muestra de resultados del mismo. Esto muestra el flujo de mensajes entre uno o más sistemas finales, en su orden cronológico.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 10 -

Las siguientes gráficas muestran el uso de la opción “Statistics→Endpoints”. En ellas se puede observar información referente a cada uno de los endpoints en el caso de los

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 11 -

protocolos TCP y UDP.

6. BIBLIOGRAFÍA

[1] “Analizador de protocolos”. http://es.wikipedia.org/wiki/Analizador_de_protocolos. Revisado el 25 de Julio de 2013. [2] “Documentación de Wireshark”. http://www.wireshark.org/docs/. Revisado el 25 de Julio de 2013.

Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 12 -

HISTORIAL DE REVISIONES

Fecha Autor Observaciones

¿?/06/2012 Eliana Bohórquez ea.bohorquez31@uniandes.edu.co

Versión inicial del documento

21/01/2013 Rodolfo Cáliz ra.caliz70@uniandes.edu.co

Correcciones menores de estilo. Actualización de la documentación para la versión de Wireshark 1.8.4

25/07/2013 Rodolfo Cáliz ra.caliz70@uniandes.edu.co

Correcciones menores de estilo. Actualización de la documentación para la versión de Wireshark 1.10.0