Interfaz del usuario de WireShark

Cuando se comienza a utilizar el analizador de paquetes de red Wireshark, uno de los aspectos que saltan a la vista de manera más inmediata es la distintiva interfaz gráfica, que si bien da un fácil y veloz acceso a las funciones de Wireshark, puede resultar un tanto confusa la primera vez que se utiliza.

Menu Principal

 

Utilizado para iniciar las acciones y/o funciones de la aplicación.

Barra de menús:

• „ File. Similar a otras aplicaciones GUI este contiene los ítems para manipular archivos y para cerrar la aplicación Wireshark.
• „ Edit. Este menú contiene ítems aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario.
• „ View. Permite configurar el despliegue de la data capturada.
• „ Go. Contiene ítems que permiten el desplazamiento entre los paquetes.
• „ Capture. Inicia y detiene la captura de paquetes.
• „ Analyze. Contiene ítems que permite manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc.
• „Statistics. Contiene ítems que permiten definir u obtener las estadísticas de la data capturada.
• „ Help. Menú de ayuda.

Barra de herramientas:

„ 

• Este es uno de los componentes de la interfaz del que más uso se hace durante una captura de paquetes, debido a que proporciona un acceso veloz a las funciones más comúnmente usadas.

• „ Un detalle que puede resultar abrumador cuando se hace uso de Wireshark por primera vez son los iconos de dicha barra, puesto que no se parecen a los usados en otras aplicaciones y se habilitan o deshabilitan durante la operación del programa, es por esto que cada icono se presentara a continuación indicando su función y en qué circunstancias se encuentra habilitado.

Páneles

Panel de paquetes capturados

En este panel se despliega la lista de paquetes capturados. Cada línea corresponde a un paquete capturado al seleccionar una de estas, ciertos detalles son desplegados en el resto de los paneles.

• No. Posición del paquete en la captura. 
• Time. Muestra el Timestamp del paquete. 
• Source. Dirección origen del paquete. 
• Destination. Dirección destino del paquete. 
• Protocol. Nombre del protocolo del paquete. 
• Info. Información adicional del contenido del paquete.

Panel para detalles del paquete

Contiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados. Seleccionando una de estas líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas según las necesidades.

Panel de paquetes capturados en bytes

En este panel se despliega el contenido del paquete en formato hexadecimal.

De izquierda a derecha se muestra el offset del paquete, seguidamente se muestra la data del paquete y finalmente se muestra la información en caracteres ASCII si aplica o “.” en caso contrario.

Barra de estado

Despliega información sobre la captura actual mostrando:

• El nombre del archivo actual 
• La cantidad de paquetes capturados 
• La cantidad de paquetes mostrados 
• El tiempo 
• El perfil de configuración

Timestamp.-  Secuencia de caracteres, que denotan la hora y fecha en la cual ocurrió determinado evento.

Offset.- Dirección destino del paquete.

ASCII.-  Es una sigla para "American Standard CodeforInformationInterchange" (Código Standard Norteamericano para Intercambio de Información), es un código numérico que representa los caracteres.

Análisis del tráfico

1. Ejecutamos WireShark

2. Vamos al apartado “Capture” y hacemos click en “Options”

3. En esta área seleccionamos la tarjeta de red a usar, podremos observar que se cuenta con la tarjeta de Ethernet y la tarjeta inalámbrica o WIFI

4. Hacemos click en “Start” para comenzar a capturar los datos que se encuentren en el tráfico de la red

5. Comenzaremos a ver como los datos empiezan a aparecer en diferentes colores
Cada línea representa un paquete, y hay 6 columnas que proporcionan información sobre él.

• La primera columna indica un número por orden de llegada de los paquetes mientras esté en marcha la captura del tráfico. Esto es para darte una referencia e identificar fácilmente un determinado paquete.
• “Time” es el tiempo en segundos, hasta 6 decimales, de cuando se recibió el paquete después de que empezaras a registrar el tráfico de la red.
• ”Source” incluye la dirección IP de origen del paquete.
• ”Destination” indica la dirección IP destino de cada paquete.
• La columna “Protocol” indica qué protocolo utiliza cada paquete. Los más comunes son TCP, UDP y HTTP.
• Y la columna “Info” incluye información del paquete como si se tratase de una continuación de otro paquete, la verificación de que otro paquete se ha recibido, etc.

Pasos para Instalar WireShark en Windows

1. Una vez que se obtiene el instalador desde http://www.wireshark.org/download.html se ejecuta el archivo wireshark descargado para iniciar la instalación. Es importante mencionar que las librerías necesarias como WinPcap están incluidas en el instalador.
2. Presionando el  botón NEXT que se despliega la especificación de la licencia y al presionar el botón I AGREE se despliega la siguiente ventana para seleccionar los componentes que se desean instalar.

Para esta instalación se seleccionarán los siguientes:

•           Wireshark, GUI del analizador de protocolos.
•  TShark, línea de comando del analizador de protocolos. Plugins/Extensions, especificar plugins y extensiones para TShark y Wireshark en este punto deberá seleccionar todos los ítems listados.
•   Tool, ofrece herramientas adicionales aplicar a los archivos que contienen los paquetes para su análisis seleccionar todas las ofrecidas durante la instalación.

3. Después aparece la pantalla que permite seleccionar si se desea crear un acceso directo a la aplicación en el escritorio, crear un menú de inicio y visualizar el icono en la barra de tareas. Adicionalmente se tiene la posibilidad de permitir, que los archivos generados por otros analizadores de tráfico puedan ser visualizados con Wireshark (opción que debemos seleccionar).

4. A continuación se deberá seleccionar el directorio donde se instalará la aplicación, en este punto se acepta el indicado por defecto en el instalador.

El instalador de WireShark contiene una versión de WinPcap se verifica si se debe actualizar versión en el PC donde se está realizado la instalación y ofrece la opción de agregar un servicio para que usuarios que no tiene privilegios de administrador pueda capturar paquetes. En este punto se seleccionan ambos ítems.

Se presiona el botón INSTALL  para iniciar el proceso de instalación.

5. Como se mencionó anteriormente el instalador de WireShark para Windows permite hacer la instalación de las librerías, plugins, servicios, etc. Particularmente para el caso de WinPcap se interrumpe la instalación en el punto que muestra la pantalla arriba e inicia el asistente para la instalación de WinPcap. Se debe seleccionar NEXT hasta finalizar la instalación.

Software Wireshark

¿Qué es?

Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica

La funcionalidad que provee es similar a la de tcpdump,  pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información.

tcpdump es un herramienta en línea de comandos cuya utilidad principal es analizar el tráfico que circula por la red.

Introducción.

Una herramienta básica para observar los mensajes intercambiados entre aplicaciones es un analizador de protocolos (packetsniffer). Un analizador de protocolos es un elemento pasivo, únicamente observa mensajes que son transmitidos y recibidos desde y hacia un elemento de la red, pero nunca envía él mismo mensajes.

Está compuesto principalmente de dos elementos: una librería de captura de paquetes, que recibe una copia de cada trama de enlace de datos que se envía o recibe, y un analizador de paquetes, que muestra los campos correspondientes a cada uno de los paquetes capturados.

Aplicaciones:

Wireshark es una herramienta gráfica utilizada por los profesionales y administradores de red para identificar y analizar tráfico en un momento determinado. Pertenece a lo que en el lenguaje IT se denominan analizadores de protocolos de red, analizadores de paquetes, packetsniffer o sniffer.

Características

•      Disponible para UNIX, LINUX, Windows y Mac OS.
•      Captura los paquetes directamente desde una interfaz de red.
•     Permite obtener detalladamente la información del protocolo utilizado en el paquete capturado.
•    Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas.
•      Filtra los paquetes que cumplan con un criterio definido previamente.
•     Realiza la búsqueda de los paquetes que cumplan con un criterio definido previamente. permite obtener estadísticas.
•     Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos.

Requerimientos Técnicos

Las características de los equipos dependen del volumen de información que se desee almacenar en caso de guardar los registros que genera Wireshark de los paquetes capturados, además del tráfico y tamaño de la red.

Para el caso de Windows:

•   Sistema Operativo:Windows XP Home, XP Pro, XP Tablet PC, XP Media Center, Server 2003, Vista, 2008, 7, or 2008 R2
•  Arquitectura:32 y 64 bits.
•   Memoria RAM:128MB (depende del número de paquetes se vayan a capturar).
•   Espacio en Disco: 75MB disponibles en Disco. (Depende del número de paquetes que se vayan a almacenar en disco).
•   Resolución de pantalla:1280x1024.
•  Tarjetas de Red Soportadas: Para el caso de las Ethernet cualquier tarjeta que soporte Windows. Para el caso de las tarjetas inalámbricas las 802.11.

WinPCap

WinPcap es un software que permite a la tarjeta interfaz de red funcionar en un modo híbrido. No obstante, este también puede ser considerado como “aplicación potencialmente no deseada” que debería ser desinstalada si la tienes en tu ordenador desde la nada.

WinPcap ha sido discutido en varios foros de seguridad, y parece que la razón principal por la que los usuarios lo consideran “virus” es por sus métodos de distribución. Justo como otras muchas aplicaciones similares, la distribución de este programa depende de algunos freeware y shareware

Analizar Los Protocolos de Una Red LAN

Protocolo.- En redes informáticas, un protocolo es el lenguaje (conjunto de reglas formales) que permite comunicar nodos (computadoras) entre sí. Al encontrar un lenguaje común no existen problemas de compatibilidad entre ellas. Analizador de protocolos.- "Analizador de red" (también llamado rastreador de puertos o analizador de trafico de red, o sniffer), es un programa que permite supervisar el tráfico de red, es decir, capturar la información que circula por la red. 

Funcionamiento: 
• En una red no conmutada, los datos se envían a todos los equipos de la red. Pero en uso normal, los equipos ignoran los paquetes que se les envían. Así, al usar la interfaz de red en un modo específico, es posible supervisar todo el tráfico que pasa a través de una tarjeta de red (una tarjeta de red Ethernet, una tarjeta de red inalámbrica, etc.). 


Aplicaciones: 
• Analizador de protocolos con una poderosa interface gráfica que le permite rápidamente diagnosticar problemas y anormalidades en su red. 
• Monitorea el ancho de banda de una red LAN (Quien la está usando y para que) 
• Análisis de fallos para descubrir problemas en la red. 
• Detección de intrusos

Programas Para Analizar Los Protocolos de Una Red LAN

WhatsUp GOLD 

Es la solución confiable de gestión. Diseñado sobre una arquitectura ampliable y escalable, con WhatsUp GOLD puede descubrir, crear mapas y gestionar toda su infraestructura (sus dispositivos de red, servidor, aplicaciones, recursos virtuales, parámetros de configuración y tráfico de red) en cuestión de minutos, y desde una sola consola. 



Características:

• Monitoreo en ambos entornos de infraestructuras físicas y virtuales. 
• Reduce el tiempo caído de red que suele ser costoso.
• Envía notificaciones cuando surgen problemas.  
• Reúne información periódica sobre la red y genera reportes.  
• Rápida solución de problemas.

Nagios

Es un sistema de monitorización de redes ampliamente utilizado, de código

abierto, que vigila los equipos (hardware) y servicios (software) que se

especifiquen, alertando cuando el comportamiento de los mismos no sea el

deseado.

Características:

• Herramienta libre de monitorización (de servicios y recursos)
• Envío de notificaciones mediante múltiples métodos cuando los problemas aparecen y cuando se resuelven ( vía e-mail, SMS, alertas sonoras, etc.)
• Consola web para la visualización del estado actual de todos los servicios, generación de estadísticas, historial de alarmas, etc.
• Monitorización de equipos remotos a través de túneles.

NetFlow Analyzer

Es principalmente una herramienta de monitorización del ancho de banda y

análisis de tráfico de la red completa que brinda una visión en tiempo real del

rendimiento del ancho de banda de la red.

Características:

• Optimiza el ancho de banda
• Detecta tráfico WAN no autorizado en la red
• Informes programados y perfiles de alerta
• Solución más rápida de los problemas de la red
• Identifica que usuarios, aplicaciones y protocolos están consumiendo el ancho de banda de la red

GFI Web monitor

Es una herramienta que le permite monitorear los sitios que están examinando sus

usuarios y que archivos están descargando -en TIEMPO REAL. Además puede

bloquear el acceso a sitios para adultos así como realizar análisis ANTI-VIRUS detodas las descargas.

Características:

• Control de aplicaciones: Bloquear aplicaciones web por nombre y categoría utilizando una avanzada tecnología de inspección.
• Controles sociales: Bloquear aplicaciones, juegos y otras funciones de Facebook, permitiendo controlar el acceso sin bloquear completamente el sitio.
• Base de datos con cobertura de 160 millones de URLs
• Monitoreo del ancho de banda por usuario/sitio
• Monitorea y bloquea mensajes MSN y MS live Messenger entrantes y salientes así como transferencias de archivos.
• Políticas de control de descarga basadas en usuario/grupo/ip

Capsa Network Analyzer

Capsa Free es un analizador de red del freeware imprescindible para

monitorización de Ethernet, solución de problemas y el análisis. Proporciona a los

usuarios con gran experiencia para aprender a controlar las actividades de la red, a identificar problemas de red , mejorar la seguridad de la red.

Características:

• Analizador de red portátil para LAN y WLAN que se realiza en tiempo real de captura de paquetes
• Análisis de protocolos avanzados
• Proporciona una visibilidad completa y de alto nivel para toda la red
• Ayuda a identificar y resolver rápidamente los diversos problemas de aplicación.

Wireshark

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca.

La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.

Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.

Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux
, Solaris, FreeBSD,NetBSD, OpenBSD, Android, y Mac OS X, así como en Microsoft Windows.