Wireshark

Uso de Wireshark para ver el tráfico de la red

Paso 1: Recuperar las direcciones de interfaz de la PC

recuperar la dirección IP de la PC y la dirección física de la tarjeta de interfaz de red (NIC), que también se conoce como “dirección MAC”.

a. Abra una ventana de comandos, escriba ipconfig /all y luego presione Entrar.

b. Observe la dirección IP y la dirección MAC (física) de la interfaz.

c. Solicite a un miembro del equipo la dirección IP de su PC y proporciónele la suya. En esta instancia, no proporcione su dirección MAC.

Paso 2: Iniciar Wireshark y comenzar a capturar datos a. En la PC, haga clic en el botón Inicio de Windows para ver Wireshark como uno de los programas en el menú emergente. Haga doble clic en Wireshark.

Iniciar Wireshark y comenzar a capturar datos

b. Una vez que se inicia Wireshark, haga clic en Interface List (Lista de interfaces).

 reseña: al hacer clic en el ícono de la primera interfaz de la fila de íconos, también se abre Interface List (Lista de interfaces).

c. En la ventana Wireshark: Capture Interfaces,se hizo clic en la casilla de verificación junto a la interfaz conectada a la LAN.

d. Después de activar la interfaz correcta, hacemos clic en Start (Comenzar) para comenzar la captura de datos.

nota: La información comienza a desplazar hacia abajo la sección superior de Wireshark. Las líneas de datos aparecen en diferentes colores según el protocolo.

e. Es posible desplazarse muy rápidamente por esta información según la comunicación que tiene lugar entre la PC y la LAN. Se puede aplicar un filtro para facilitar la vista y el trabajo con los datos que captura Wireshark. Para esta práctica de laboratorio, solo nos interesa mostrar las PDU de ICMP (ping). Escriba icmp en el cuadro Filter (Filtro) que se encuentra en la parte superior de Wireshark y presione Entrar o haga clic en el botón Apply (Aplicar) para ver solamente PDU de ICMP (ping).

f. Este filtro hace que desaparezcan todos los datos de la ventana superior, pero se sigue capturando el tráfico en la interfaz. Abra la ventana del símbolo del sistema que abrió antes y haga ping a la dirección IP que recibió del miembro del equipo. Comenzará a ver que aparecen datos en la ventana superior de Wireshark nuevamente.

g. Detenga la captura de datos haciendo clic en el ícono Stop Capture (Detener captura).

Paso 3: Examinar los datos capturados

En el paso 3, examine los datos que se generaron mediante las solicitudes de ping de la PC del miembro del equipo. Los datos de Wireshark se muestran en tres secciones: 1) la sección superior muestra la lista de tramas de PDU capturadas con un resumen de la información de paquetes IP enumerada, 2) la sección media indica información de la PDU para la trama seleccionada en la parte superior de la pantalla y separa una trama de PDU capturada por las capas de protocolo, y 3) la sección inferior muestra los datos sin procesar de cada capa. Los datos sin procesar se muestran en formatos hexadecimal y decimal.

 a. Haga clic en las primeras tramas de PDU de la solicitud de ICMP en la sección superior de Wireshark. Observe que la columna Source (Origen) contiene la dirección IP de su PC y la columna Destination (Destino) contiene la dirección IP de la PC del compañero de equipo a la que hizo ping.

 b. Con esta trama de PDU aún seleccionada en la sección superior, navegue hasta la sección media. Haga clic en el signo más que está a la izquierda de la fila de Ethernet II para ver las direcciones MAC de origen y destino.

¿La dirección MAC de origen coincide con la interfaz de su PC?    Sí

¿La dirección MAC de destino en Wireshark coincide con la dirección MAC del miembro del equipo?

Sí

¿De qué manera su PC obtiene la dirección MAC de la PC a la que hizo ping?

   Los datos ICMP se encapsulan dentro de una PDU del paquete IPV4 (encabezado de IPv4), que luego se encapsula en una PDU de trama de Ethernet II (encabezado de Ethernet II) para la transmisión en la LAN.

Nota: en el ejemplo anterior de una solicitud de ICMP capturada, los datos ICMP se encapsulan dentro de una PDU del paquete IPV4 (encabezado de IPv4), que luego se encapsula en una PDU de trama de Ethernet II (encabezado de Ethernet II) para la transmisión en la LAN. 

Universidad Tecnológica de Panamá 

Lic. en Electrónica y Sistemas de Comunicaciones 

Comunicaciones de Datos

Autores 

Yisel Vergara 

Vicente Henriquez 

Augusto Olmos 
Jose cerrud 

materia 

comunicación de datos 

grupo 

1SC231 B

Manejo De Un Analizador De Protocolos

Introducción

El analizador de protocolos que veremos a continuación nos permitirá conocer qué tipo de tráfico está presente en nuestra red. A demás como administradores de una red, debemos saber siempre que está pasando en la misma. Con esta aplicación también podemos detectar tormentas de broadcast que en algunos casos son provocadas por virus.

Objetivos:

ü  Manejar un programa de análisis de protocolos de red común

ü  Afianzar los conceptos de: Paquete, Tarjeta de Red, Dirección IP, Arquitectura de protocolos, Arquitectura TCP/IP.

ü  Realizar análisis de tráfico en una red para determinar: los protocolos empleados en la red, la cantidad de tráfico generada por cada protocolo, las direcciones de origen y destino de los paquetes, etc.

Procedimiento

1.   Primero debe instalarse el paquete WireShark, para lo que debe ejecutarse el programa instalador.

2.   Abrir el programa Wireshark haciendo doble click sobre el icono del programa en Windows.

 figura 1. Ventana principal del programa WireShark.

a)      Un primer análisis puede realizarse sencillamente observando la ventana principal del WireShark (ver figura 1). En la parte superior aparecen los datos principales de cada paquete: El número de orden en que se capturó, el tiempo en que se capturó a partir del inicio de la captura, la dirección IP fuente, la dirección IP destino, el tipo de protocolo que transporta (según la información de la capa más alta que contenga) y una breve descripción de la función de este paquete. En la parte intermedia de la ventana principal, aparecen todos los protocolos que utilizan este paquete para enviar su información. Finalmente, en la parte más baja de la ventana principal aparece la información útil que transporta el paquete. Esta información útil es mostrada en forma de caracteres ASCII, por lo que, dependiendo de la aplicación, si esta transporta texto claro, se podrá ver la información claramente, mientras que si transporta otro tipo de información (vídeo, voz, imágenes, texto encriptado) ésta ya no podrá ser legible.

b)      Un segundo tipo de análisis utiliza la descripción en forma de árbol que muestra todos los protocolos utilizados en todos los paquetes muestreados. Para observar esta herramienta de análisis, haga click en el menú “Statistics” y en la opción “Protocol Hierarchy”. Aparecerá una ventana que se observa en la figura 5.

Figura 2. Herramienta de análisis de la Jerarquía de Protocolos en la muestra total de paquetes.

observación:

Puede observarse que en el árbol de protocolos, se inicia la raíz con el protocolo Ethernet. De este nace una rama con el protocolo IP y luego se abren dos ramas con los protocolos de transporte TCP y UDP. De estos protocolos se desprenden los protocolos de las aplicaciones. Finalmente, hay dos protocolos cuyas ramas no nacen del protocolo IP, estos son ARP y Descubrimiento PPP sobre Ethernet. para cada protocolo se especifica el porcentaje de paquetes que lo transportan, el número de paquetes, el número de bytes y la velocidad en Mbps, entre otros datos.

Una tercera herramienta muy útil para análisis del tráfico son las gráficas del tráfico de paquetes en función del tiempo. Para utilizar esta herramienta, haga click en el menú “Statistics” y luego haga click en la opción “I/O Graphs”.

Figura 3. Herramienta para graficar la variación del tráfico en el tiempo.

En la ventana inicial de la herramienta aparecerá una gráfica que muestra la variación del tráfico total durante el tiempo que duró el muestreo. Esta gráfica aparece en Negro. En la parte inferior derecha se observan los parámetros de la gráfica, tales como la escala (“Tick Interval”), el número de píxeles por marca, las unidades del Eje Y (puede ser en paquetes/marca, bytes/marca o bits/marca) y la escala del eje Y, que inicialmente se asigna automáticamente.

Esta gráfica puede complementarse agregando gráficos del comportamiento de algún protocolo en especial que se desee analizar. Esto puede lograrse escribiendo por ejemplo en la línea de la gráfica 2, en su casilla Filtro (“Filter”), el nombre del protocolo a graficar (p.ej. teclee “udp”). Luego se hace click en el botón “Graph 2” y aparecerá en color rojo la variación del tráfico, tal como se observa en la figura 7. En realidad, la forma del gráfico por defecto es como líneas. Sin embargo, para ver las dos gráficas es necesario cambiar una de ellas a “impulsos” en lugar de líneas (ya que la línea negra del tráfico total no deja ver las otras líneas algunas veces). En la figura 7, el tráfico total se observa como impulsos negros, mientras que el tráfico UDP se observa en forma de líneas rojas.

Figura 7. Gráfica del tráfico del protocolo UDP.

Los gráficos obtenidos pueden grabarse en archivos de tipo png, bmp, etc. Esto se logra haciendo click en el botón “Save”. Entonces aparecerá una ventana solicitando el nombre del archivo y el tipo de formato que tendrá.

conclusión

En este laboratorio pudimos comprender un poco sobre el uso de este programa que nos permite ver el tráfico de paquetes, direcciones IP, protocolos de destino, protocolo fuentes que entran en el modem.

Hicimos un experimento entramos al navegador y nos aparecían el trafico de paquetes que tenían esta página www.google.com donde nos aparecían los puntos que habíamos ya dico protocolos de esta página, direcciones IP etc; que esto nos presentaba la primera lista. La segunda nos muestra el total de paquetes y la última los paquetes en hexadecimal y decodificado en sistema ASCII.

Con este  programa podemos ordenar el tráfico de paquetes por orden numérico a medida que van entrando al abrir una página o cualquier otro trabajo donde utilicemos internet y también podemos buscar el numero de paquete que necesitemos.

También podemos graficar el tráfico de paquetes y también podemos buscar el tipo de  protocolo que necesitemos  por medio de la opción de filtro. 

Este programa nos permite tener muchas funciones para hacer más fácil el monitoreo del trafico paquetes que entran a nuestra red y muchos otras funciones más que nos permite este programa.