sábado, 20 de diciembre de 2014

WIRESHARK

¿Qué es wireshark?


Wireshark (antes Ethereal es una herramienta multiplataforma utilizada para realizar análisis sobre paquetes de red y solucionar problemas en redes de comunicaciones. La utilización de esta herramienta puede parecer de gran complejidad en un principio, pero es de gran utilidad una vez conocida su interfaz y su forma de operar. Pertenece a lo que en el lenguaje IT se denominan analizadores de protocolos de red, analizadores de paquetes, packet sniffer o sniffer.

Wireshark se trata de un software gratuito disponible para varias plataformas (Unix, Windows y Mac OS).

Una de las ventajas que tiene Wireshark es que en un momento dado, podemos dejar capturando datos en una red el tiempo que queramos y, posteriormente almacenarlos, con el fin de poder realizar el análisis más adelante. Esto es algo totalmente necesario, porque son miles los paquetes que se capturan en una red y, si tratamos de hacer el análisis en el mismo instante, nos veríamos desbordados.

INSTALACIÓN DE WIRESHARK EN UBUNTU

La instalación de Wireshark es realmente sencillo, a continuación se indicará los pasos a seguir:
 1. En el terminal ingresamos el siguiente comando: sudo apt-get install wireshark
       que nos permitirá instalar wireshark de una manera sencilla.

   
 Para iniciarlo, lo haremos en modo administrador o superusuario, utilizando el comando sudo.


A continuación se desplegará la ventana inicial de wireshark.




¿Cómo elegir la interfaz a escuchar?

Para elegir la interfaz a escuchar, lo que se debe hacer es:
  • Clic en la opción Interface List

  • A continuación aparecerá una ventana con las interfaces existentes, activa la casilla de la interfaz que se desee escuchar.

  • Finalmente clic en la opción Start




¿Cómo realizar filtros?

Después de seleccionar una interfaz, una de las virtudes de Wireshark es el filtrado que podemos hacer de los datos capturados. Podemos filtrar protocolos, IP origen o destino, por un rango de direcciones IP, puertos o tráfico unicast, entre una larga lista de opciones. Podemos introducir nosotros manualmente los filtros en una casilla llamada filter.



A continuación pondré algunos ejemplos.
Para filtrar cada uno de ellos colocaré el nombre del protocolo en el filter, por ejemplo para http será de esta manera:


  • HTTP 

HTTP de HyperText Transfer Potocol (Protocolo de transferencia de hipertexto) es el método más común de intercambio de información en la world wide web, el método mediante el cual se transfieren las páginas web a un ordenador.



  • ICMP (filtro para mostrar sólo el protocolo ICMP)
Antes de empezar ha filtrar ICMP, lo primero que se debe hacer es conocer la dirección IP, para esto utilizaré el comando ifconfig, como se muestra en la gráfica siguiente:

Después de conocer nuestra dirección IP, ingresaremos el comando ping, el cual nos permitirá enviar paquetes a la dirección establecida, en este caso enviaré a mi misma dirección IP, como se muestra en la gráfica siguiente:


Para comenzar a filtrar ICMP, pondremos a escuchar todos las interfaces, para esto se debe ir a el icono Capture Options


Se desplegará una ventana en la cual se debe activar la casilla Capture on all interfaces, la cual permite escuchar todas la interfaces



Finalmente en la barra Filtrer se colocará el nombre del protocolo a filtrar ICMP y podremos observar los paquetes filtrados.





  • IP
IP es un protocolo no orientado a conexión usado por el origen y el destino para la comunicación de datos a través de una red de paquetes conmutados.
  •       IP ORIGEN

  •   IP DESTINO

  • TCP
TCP es uno de los principales protocolos de la capa de transporte del modelo TCP/IP. En el nivel de aplicación, posibilita la administración de datos que vienen o van al nivel inferior del modelo OSI (IP). 
Las principales características del protocolo TCP son las siguientes:
TCP permite colocar los datagramas nuevamente en orden cuando vienen del protocolo IP.
TCP permite que el monitoreo del flujo de los datos y así evita la saturación de la red.
TCP permite que los datos se formen en segmentos de longitud variada para "entregarlos" al protocolo IP.
TCP permite multiplexar los datos, es decir, que la información que viene de diferentes fuentes (por ejemplo, aplicaciones) en la misma línea pueda circular simultáneamente.
  • UDP
UDP son las siglas de Protocolo de Datagrama de Usuario (en inglés User Datagram Protocol) un protocolo sin conexión que, como TCP, funciona en redes IP.


Fuentes:



Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)