Wireesp
Wireesp
Wireesp
3.3.0 versión
Prefacio
Prefacio
Wireshark es analizador de protocolos de red más importante del mundo, pero el rico conjunto de características puede ser desalentador para el
desconocido. Este documento es parte de un esfuerzo por parte del equipo de Wireshark para mejorar la usabilidad de Wireshark. Esperamos que
Este libro explica la totalidad de la base y algunas características avanzadas de Wireshark. Como Wireshark se ha convertido en un programa muy
Este libro no pretende explicar el espionaje en red en general y no proporcionará detalles sobre los protocolos de red específicos. Una gran
cantidad de información útil acerca de estos temas se puede encontrar en la wiki en Wireshark https://wiki.wireshark.org/ .
Al leer este libro, usted aprenderá cómo instalar Wireshark, cómo utilizar los elementos básicos de la interfaz gráfica de usuario (como el
menú) y lo que hay detrás de algunas de las características avanzadas que no siempre son evidentes a primera vista. Es de esperar que le
guiará en torno a algunos problemas comunes que aparecen con frecuencia para los nuevos (y, a veces, incluso avanzados) usuarios de
Wireshark.
Expresiones de gratitud
Los autores desean agradecer a todo el equipo por su ayuda Wireshark. En particular, los autores desean agradecer a:
• Gerald Combs, para iniciar el proyecto de Wireshark y financiación para hacer esta documentación.
• Guy Harris, durante muchos consejos útiles y una gran dosis de paciencia en la revisión de este documento.
Los autores también quisiera dar las gracias a las siguientes personas por sus útiles comentarios sobre este documento:
• Pat Eyler, por sus sugerencias para mejorar el ejemplo en la generación de una traza inversa.
Los autores desean reconocer los autores página hombre y README para el proyecto de la OMS Wireshark secciones de este documento
endeudarse fuertemente:
1
• Scott Renfro de cuyo mergecap página del manual mergecap: La fusión de varios archivos de captura en una sola
es derivado.
• Ashok Narayanan de cuyo text2pcap página del manual text2pcap: La conversión de ASCII a hexdumps capturas de red es derivado.
Este libro fue desarrollado originalmente por Richard Sharpe con fondos procedentes del Fondo de Wireshark. Fue actualizado por Ed
Warnicke y más recientemente rediseñado y actualizado por Ulf Lamping .
Fue escrito originalmente en DocBook / XML y se convierte en AsciiDoc por Gerald Combs.
Si tiene cualquier comentario acerca de este documento, por favor enviarlo a través de los autores
Wireshark-dev [AT] wireshark.org .
Convenciones tipográficas
La siguiente tabla muestra las convenciones tipográficas que se utilizan en esta guía.
Negrita Los comandos que se deben ejecutar por el usuario correr cmake -G Ninja .. .
monoespaciado
Llave Atajo de teclado prensa Ctrl + Abajo para pasar a la siguiente paquete.
Menú Opción del menú Seleccionar Ir > siguiente paquete para pasar a la siguiente
paquete.
2
admoniciones
Este es un consejo
PROPINA
Consejos son útiles para su trabajo diario usando Wireshark.
$ # Esto es un comentario
$ Git config --global log.abbrevcommit verdadera
# # Este es un comentario
# Ninja instalar
Potencia Shell
3
Código Fuente C
# incluir "config.hy"
dissect_foo_message (tvbuff_t * TVB, packet_info * pinfo _U_, proto_tree * _U_ árbol, nula
* datos _U_) {
4
Introducción
¿Cuál es Wireshark?
Wireshark es un analizador de paquetes de red. Una red presentes analizador de paquetes capturados de paquetes de datos con el mayor detalle
posible.
Se podría pensar en un analizador de paquetes de red como un dispositivo de medición para examinar lo que está sucediendo dentro de un cable
de red, al igual que un electricista utiliza un voltímetro para el examen de lo que está pasando en el interior de un cable eléctrico (pero a un nivel
En el pasado, este tipo de herramientas o bien eran muy caros, de propiedad, o ambos. Sin embargo, con el advenimiento de Wireshark, eso ha cambiado.
Wireshark está disponible de forma gratuita, es de código abierto, y es uno de los mejores analizadores de paquetes disponibles en la actualidad.
• Los ingenieros de seguridad de red utilizan para examinar los problemas de seguridad
• Los ingenieros de control de calidad utilizan para verificar las aplicaciones de red
Caracteristicas
Las siguientes son algunas de las muchas características de Wireshark dispone lo siguiente:
• Abierto ficheros que contienen datos de paquetes capturados con tcpdump / WinDump, Wireshark, y muchos otros programas de captura de
paquetes.
• Importar paquetes de archivos de texto que contienen hex vertederos de paquetes de datos.
• Exportar algunos o todos los paquetes en una serie de formatos de archivo de captura.
5
• Buscar para los paquetes en muchos criterios.
• …y ¡mucho más!
Wireshark captura paquetes y le permite examinar su contenido. Wireshark muestra después de haber capturado algunos paquetes y esperando para
Wireshark puede capturar tráfico de muchos tipos de medios de red diferentes, incluyendo Ethernet, LAN inalámbrica, Bluetooth, USB, y
más. Los tipos específicos de medios soportados pueden estar limitadas por varios factores, incluyendo el hardware y el sistema operativo.
Una visión general de los tipos de medios soportados puede encontrarse en https://wiki.wireshark.org/CaptureSetup/NetworkMedia .
Wireshark puede abrir capturas de paquetes de un gran número de programas de captura. Para obtener una lista de formatos de entrada, consultar Formatos de archivo de
entrada .
6
archivos de exportación para muchos otros programas de captura
Wireshark puede guardar los paquetes capturados en muchos formatos, incluyendo los utilizados por otros programas de captura. Para obtener una lista de formatos
Hay disectores de protocolo (o decodificadores, como se les conoce en otros productos) para un gran número de protocolos: ver Protocolos y el
Protocolo de campos .
Wireshark es un proyecto de software de código abierto, y es liberado bajo la Licencia Pública General de GNU (GPL). Se puede utilizar
libremente Wireshark en cualquier número de ordenadores que te gusta, sin tener que preocuparse acerca de las claves de licencia u honorarios
o tales. Además, todo el código fuente está disponible libremente bajo la GPL. Debido a eso, es muy fácil para la gente para añadir nuevos
protocolos para Wireshark, ya sea como plugins, o integrado en la fuente, y que a menudo hacer!
Lo que no es Wireshark
• Wireshark no es un sistema de detección de intrusos. Que no le avisará cuando alguien hace cosas extrañas de la red que él / ella no
se le permite hacer. Sin embargo, si suceden cosas extrañas, Wireshark podría ayudar a determinar lo que realmente está pasando.
• Wireshark no manipular las cosas en la red, sólo se “medir” las cosas de la misma. Wireshark no envía paquetes en la red o hacer otras
cosas activos (excepto la resolución de nombres de dominio, pero que puede ser desactivado).
valores por debajo debería estar bien para pequeñas y archivos de captura de tamaño medio no más de unos pocos cientos de MB. archivos de
Una red ocupada puede producir enormes archivos de captura. La captura de incluso una red de 100 megabits puede producir
NOTA cientos de megabytes de datos de captura en un corto período de tiempo. Un equipo con un procesador rápido y una gran
Si Wireshark se queda sin memoria que se colgará. Ver https://wiki.wireshark.org/KnownBugs/ OutOfMemory para obtener más información y
soluciones.
7
Aunque Wireshark utiliza un proceso separado para capturar paquetes, el análisis de paquetes se singlethreaded y no se beneficiará mucho
de sistemas de múltiples núcleos.
Microsoft Windows
Wireshark debe apoyar cualquier versión de Windows que todavía está dentro de su tiempo de vida de soporte extendido . En el momento de
escribir esto incluye Windows 10, 8, 7, Servidor 2019, servidor 2016, Server 2012 R2, Server 2012 y Server 2008 R2. También se requiere la
siguiente:
• El tiempo de ejecución C universal. Esto se incluye con Windows 10 y Windows Server 2019 y se instala automáticamente en las
versiones anteriores si Microsoft Windows Update está activada. De lo contrario, debe instalar KB2999226 o KB3118401 .
• 500 MB de RAM. archivos de captura más grandes requieren más memoria RAM.
• 500 MB de espacio disponible en disco. archivos de captura requieren espacio adicional en disco.
• Cualquier muestra moderna. Se recomienda 1280 × 1024 o una resolución más alta. Wireshark hará uso de HiDPI o la retina resoluciones
si están disponibles. Los usuarios avanzados encontrarán varios monitores útil.
◦ Ethernet. Cualquier tarjeta compatible con Windows debería funcionar. Ver las páginas wiki en captura de Ethernet y la descarga de
los problemas que pueden afectar a su entorno.
◦ 802.11. ver el Wireshark página wiki . La captura de la información en bruto 802.11 puede ser difícil sin un equipo especial.
Las versiones más antiguas de Windows que están fuera de la ventana de soporte del ciclo de vida prolongado de Microsoft ya no son
compatibles. A menudo es difícil o imposible de soportar estos sistemas debido a circunstancias fuera de nuestro control, tales como bibliotecas
de terceros de los que dependemos o debido a características necesarias que sólo están presentes en las versiones más recientes de Windows,
• Wireshark 2.2 fue la última versión compatible con Windows Vista y Windows Server 2008 (nonR2)
• Wireshark 1.12 fue la última rama de lanzamiento compatible con Windows Server 2003.
• Wireshark 1.10 fue la última rama de lanzamiento para apoyar oficialmente Windows XP.
UNIX / Linux
Wireshark se ejecuta en la mayoría de UNIX y UNIX-como plataformas, incluyendo MacOS y Linux. Los requisitos del sistema deben ser
8
Los paquetes binarios están disponibles para la mayoría de las distribuciones de Linux y Unices incluyendo las siguientes plataformas:
• Alpine Linux
• apple macOS
• Canonical Ubuntu
• FreeBSD
• Gentoo Linux
• HP-UX
• Mandriva Linux
• NetBSD
• OpenPKG
• Oracle Solaris
Si un paquete binario no está disponible para su plataforma se puede descargar el código fuente y tratar de construirlo. Por favor, informe a
sus experiencias Wireshark-dev [AT] wireshark.org .
Una nueva versión de Wireshark normalmente vuelve a estar disponible cada mes o dos.
Si desea ser notificado sobre los nuevos lanzamientos de Wireshark debe suscribirse a la lista de correo wiresharkannounce. Encontrará
más detalles en Listas de correo .
A finales de 1997 Gerald Peines necesitaba una herramienta para la localización de problemas de red y quería aprender más acerca de las redes de
modo que empezó a escribir etéreo (el nombre original del proyecto Wireshark) como una manera de resolver ambos problemas.
Etérea fue lanzado inicialmente después de varias pausas en desarrollo en julio de 1998 como la versión 0.2.0. En pocos días parches,
informes de errores, y palabras de aliento comenzaron a llegar y etérea se en su camino hacia el éxito.
9
No mucho tiempo después de que Gilbert Ramírez vio su potencial y contribuyó con un disector de bajo nivel a la misma.
En octubre de 1998 Guy Harris estaba buscando algo mejor que tcpview por lo que comenzó la aplicación de parches y contribuyendo a
disectores etéreo.
A finales de 1998 Richard Sharpe, que estaba dando cursos de TCP / IP, vio su potencial en este tipo de cursos y comenzó a mirarlo para ver
si se admite los protocolos que necesitaba. A pesar de que no lo hizo en ese punto nuevos protocolos podrían añadirse fácilmente. Así que
empezó a contribuir disectores y contribuir parches.
La lista de personas que han contribuido al proyecto ha llegado a ser muy larga desde entonces, y casi todos ellos comenzó con un
protocolo que necesitaban que Wireshark o no tuviera ya manejar. Por lo que copian un disector existente y la parte posterior contribuyeron
código para el equipo.
En 2008, después de años de desarrollo de diez, Wireshark finalmente llegó a la versión 1.0. Este comunicado fue la primera considera
completa, con el mínimo características implementadas. Su lanzamiento coincidió con el primer desarrollador y usuario Conferencia
Wireshark, llamado Sharkfest.
En 2015 Wireshark 2.0 fue lanzado, que contó con un nuevo interfaz de usuario.
También ha habido un gran número de personas que han contribuido a disectores de protocolo Wireshark, y se espera que esta tendencia
continuará. Puede encontrar una lista de las personas que han contribuido código para Wireshark marcando la casilla de diálogo acerca de
Wireshark, o en el autores
página en el sitio web de Wireshark.
Wireshark es un proyecto de software de código abierto, y es liberado bajo la Licencia Pública General de GNU (GPL) versión 2. Todo el
código fuente está disponible libremente bajo la GPL. Usted es bienvenido a modificar Wireshark para satisfacer sus propias necesidades, y
se agradecería si usted contribuir con sus mejoras al equipo de Wireshark.
1. Otras personas que se encuentran sus contribuciones útiles apreciarán ellos, y usted sabrá que ha ayudado a la gente de la misma
manera que los desarrolladores de Wireshark le han ayudado.
2. Los desarrolladores de Wireshark pueden mejorar aún más sus cambios o implementar funciones adicionales en la parte superior de su
3. Los mantenedores y desarrolladores de Wireshark mantendrán su código, fijándola cuando se realizan cambios en la API u otros
cambios, y en general mantener en sintonía con lo que está sucediendo con Wireshark. Así que cuando se actualiza Wireshark (que es
a menudo), se puede obtener una nueva Wireshark
10
versión del sitio web y de los cambios que ya se incluirá sin ningún esfuerzo adicional de su parte.
Los kits de código fuente Wireshark y binarias para algunas plataformas están disponibles en la página de descarga de la página web de
Wireshark: https://www.wireshark.org/download.html .
Sitio web
wiki
El Wireshark en Wiki https://wiki.wireshark.org/ proporciona una amplia gama de información relacionada con Wireshark y captura de paquetes en
general. Usted encontrará una gran cantidad de información no forma parte de esta guía del usuario. Por ejemplo, contiene una explicación de
cómo la captura en una red conmutada, un esfuerzo continuo para construir una referencia de protocolo, la información específica del protocolo, y
mucho más.
Y lo mejor de todo, si usted desea contribuir con sus conocimientos sobre un tema específico (tal vez un protocolo de red conoces bien),
puede editar las páginas wiki con su navegador web.
El Wireshark Q y un sitio en el https://ask.wireshark.org/ ofrece un recurso donde las preguntas y respuestas se unen. Puede buscar
preguntas hechas antes y ver qué respuestas fueron dadas por personas que sabían sobre el tema. Las respuestas se clasifican, para que
pueda elegir fácilmente los mejores. Si su pregunta no ha sido discutido antes de enviar uno usted mismo.
Las listas de Preguntas frecuentes menudo las preguntas y sus respuestas correspondientes.
Antes de enviar cualquier correo a las listas de correo a continuación, asegúrese de leer las preguntas frecuentes. A menudo
NOTA
responder a cualquier pregunta que pueda tener. Esto ahorrará usted y los demás mucho tiempo. Tenga en cuenta que mucha
Usted encontrará las preguntas más frecuentes en el interior de Wireshark haciendo clic en la opción de menú Ayuda / Contenido y seleccionando la página de preguntas frecuentes en el
11
podrían preferir esta versión en línea, ya que es típicamente más hasta la fecha y el formato HTML es más fácil de usar.
Listas de correo
Wireshark-announce
Esta lista de correo le informará sobre las nuevas versiones del programa, que por lo general aparecen sobre cada 4-8 semanas.
Wireshark usuarios
Esta lista es para usuarios de Wireshark. La gente publica preguntas acerca de la construcción y el uso de Wireshark, otros (con suerte)
proporcionan respuestas.
Wireshark-dev
Esta lista es para desarrolladores de Wireshark. Si desea iniciar el desarrollo de un protocolo de disección, unirse a esta lista.
Usted puede suscribirse a cada una de estas listas desde la página web de Wireshark: https://www.wireshark.org/ listas / . A partir de ahí,
puede elegir qué lista de correo que desee suscribirse haciendo clic en el botón Suscribirse / Darse de baja / Opciones bajo el título de la
lista correspondiente. Los enlaces a los archivos están incluidos en esa página también.
Puede buscar en los archivos de la lista para ver si alguien hizo la misma pregunta algún tiempo antes y tal vez ya tiene
PROPINA
una respuesta. De esa manera usted no tiene que esperar hasta que alguien responda a su pregunta.
Informar de problemas
Antes de informar de cualquier problema, por favor asegúrese de que ha instalado la última versión de Wireshark.
NOTA
1. El número de versión de Wireshark y las bibliotecas dependientes vinculados con ella, tales como Qt o GLib. Puede obtenerlo en cuadro
sobre Wireshark o el comando Wireshark -v.
2. Información sobre la plataforma de ejecutar Wireshark en (Windows, Linux, etc., y de 32 bits, 64 bits, etc.).
4. Si recibe un mensaje de error / advertencia, copiar el texto del mensaje (y también unas pocas líneas antes y después de que, si hay alguna)
para que otros puedan encontrar el lugar donde las cosas van mal. Por favor, no dar algo así como: “recibo una advertencia al hacer x” ya
12
No enviar archivos de gran tamaño
No enviar archivos de gran tamaño (> 1 MB) a las listas de correo. En su lugar, proporcionar un enlace de descarga.
NOTA
Por errores y peticiones, puede crear un problema de Bugzilla y cargar el archivo allí.
Si envía archivos de captura a las listas de correo de asegurarse de que no contienen ninguna información
ADVERTENCIA
sensible o confidencial, como contraseñas o información de identificación personal (PII).
Al informar sobre accidentes con Wireshark es útil si se suministra la información de rastreo junto con la información mencionada en
“Informar de fallos”.
Puede obtener esta información de rastreo con los siguientes comandos en UNIX o Linux (tenga en cuenta los acentos abiertos):
$ Gdb `whereis Wireshark | cortar f2 -d: | cut -d'' -f2` núcleo> & backtrace.txt traza D ^
Si tu no tienes gDB disponible, tendrá que echa un vistazo a depurador de su sistema operativo.
Las distribuciones de Windows no contienen los archivos de símbolos (.pdb), ya que son muy grandes. Se puede descargar por separado en https://www.w
y
https://www.wireshark.org/download/win64/all-versions/ .
13
La construcción e instalación de Wireshark
Introducción
Al igual que con todas las cosas tiene que haber un principio y lo mismo ocurre con Wireshark. Para utilizar Wireshark debe instalar por primera
vez. Si está ejecutando Windows o MacOS se puede descargar una versión oficial en
Si está ejecutando otro sistema operativo como Linux o FreeBSD es posible que desee instalar desde el código fuente. Varias distribuciones
de Linux ofrecen paquetes de Wireshark pero suelen proporcionar versiones actualizadas outof. No hay otras versiones de UNIX envían
Wireshark hasta ahora. Por esa razón, usted tendrá que saber dónde obtener la última versión del Wireshark y cómo instalarlo.
Este capítulo le muestra cómo obtener paquetes fuente y binario y cómo construir Wireshark de la fuente si decide hacerlo.
1. Descargar el paquete relevante para sus necesidades, por ejemplo, de origen o distribución binaria.
2. Para distribuciones de código fuente, compilar la fuente en un binario. Esto puede implicar la construcción y / o la instalación de otros
paquetes necesarios.
NOTA Si usted está construyendo Wireshark de la fuente es probable que necesite descargar varias otras dependencias. Esto
se trata en detalle a continuación.
Basta con descargar el instalador de Wireshark https://www.wireshark.org/download.html y ejecutarlo. paquetes oficiales son firmados por el Fundación
Wireshark. Puede elegir instalar varios componentes opcionales y seleccione la ubicación del paquete instalado. Se recomiendan los ajustes
por defecto para la mayoría de usuarios.
14
componentes de la instalación
Sobre el Seleccionar los componentes página del instalador puede seleccionar entre las siguientes:
• Wireshark - El analizador de protocolos de red que todo lo que sabemos y sobre todo amor.
◦ Mate - Meta Análisis y Seguimiento de motor - extensión de usuario configurable (s) del motor de filtro de pantalla, consulte COMPAÑERO para
detalles.
◦ SNMP MIB - MIB SNMP para una disección más detallado de SNMP.
• Herramientas - Las herramientas adicionales de línea de comandos para trabajar con archivos de captura
◦ editcap - Lee un archivo de captura y escribe parte o la totalidad de los paquetes en otro archivo de captura.
◦ Text2Pcap - Lee en un volcado hexadecimal ASCII y escribe los datos en un archivo de captura PCAP.
• Guía de usuario - instalación local de la Guía del usuario. Los botones de ayuda en la mayoría de los diálogos requieren una conexión a Internet
para mostrar páginas de ayuda si la Guía del usuario no está instalado localmente.
Tareas adicionales
• Iniciar accesos directos del menú - Añadir algunos accesos directos del menú inicio.
• Icono de inicio rápido - añadir un icono de Wireshark para la barra de inicio rápido Explorer.
• extensiones de archivo asociadas a Wireshark - traza de red estándar Asociado presenta a Wireshark.
Ubicación de instalación
Instalación Npcap
15
Si no tiene instalado Npcap usted no será capaz de capturar el tráfico de red en vivo, pero usted todavía será capaz de abrir archivos de
captura guardados. Por defecto se instalará la versión más reciente de Npcap. Si no desea hacer esto, o si desea volver a instalar Npcap se
puede comprobar la instalar Npcap caja, según sea necesario.
Para obtener más información acerca de Npcap Ver https://nmap.org/npcap/ y https://wiki.wireshark.org/ Npcap .
• / S corre el instalador o el desinstalador en silencio con los valores predeterminados. El instalador silencioso no lo hará
instalar Npcap.
• /icono de escritorio instalación del icono en el escritorio, = sí - la instalación de fuerza, = no - no instale, de lo contrario utilizar la configuración predeterminada.
Esta opción puede ser útil para un instalador silencioso.
• /icono de inicio rápido instalación del icono de inicio rápido, = sí - la instalación de fuerza, = no - no instale, de lo contrario utilizar la configuración
predeterminada.
• /RE Establece el directorio de instalación por defecto ($ INSTDIR), anulando InstallDir y InstallDirRegKey. Debe ser el último parámetro
utilizado en la línea de comandos y no debe contener ningún cotizaciones incluso si la ruta contiene espacios.
Ejemplo:
Como se mencionó anteriormente, el instalador Wireshark también instala Npcap. Si prefiere instalar Npcap manualmente o si desea utilizar
una versión diferente del que viene incluido en el instalador Wireshark, se puede descargar desde el sitio Npcap principal en Npcap https://nmap.org/npcap
.
actualización de Wireshark
El paquete de Windows Wireshark oficial comprobará si hay nuevas versiones y le notificará cuando estén disponibles. Si usted tiene la Comprobar
si hay actualizaciones preferencia deshabilitado o si ejecuta Wireshark en un entorno aislado que debe subscribirse a la Wireshark-announce lista
de correo para recibir notificaciones de nuevas versiones. Ver Listas de correo para más detalles sobre suscripción a esta lista.
Las nuevas versiones de Wireshark suelen ser liberados cada cuatro a seis semanas. Wireshark es actualizando
dieciséis
hecho del mismo modo que instalarlo. Sólo tiene que descargar e iniciar el instalador exe. Un reinicio por lo general no es necesario y todos los
actualización Npcap
Wireshark actualizaciones también pueden incluir una nueva versión de Npcap. Manual de instrucciones Npcap actualizaciones se pueden
encontrar en el sitio web en Npcap https://nmap.org/npcap/ . Es posible que tenga que reiniciar el equipo después de instalar una nueva versión
Npcap.
desinstalación Wireshark
Puede desinstalar utilizando el Wireshark Programas y características panel de control. Seleccione la entrada “Wireshark” para iniciar el
proceso de desinstalación.
El desinstalador Wireshark ofrece varias opciones para su eliminación. El valor predeterminado es eliminar los componentes de la base, pero mantener su
configuración personal y Npcap. Npcap se mantiene en el caso de otros programas que necesitan.
desinstalación Npcap
Puede desinstalar Npcap independientemente de Wireshark con el Npcap entrada en el Programas y características panel de control.
Recuerde que si desinstala Npcap usted no será capaz de capturar cualquier cosa con Wireshark.
Recomendamos especialmente mediante el instalador binario para Windows a menos que desee iniciar el desarrollo de Wireshark en la
plataforma Windows.
Para más información de cómo construir Wireshark para Windows de las fuentes ver la Guía del desarrollador en https://www.wireshark.org/docs/wsdg_htm
.
También es posible que desee echar un vistazo a la Wiki de Desarrollo ( Desarrollo https://wiki.wireshark.org/ ) Para la documentación más
reciente desarrollo disponibles.
Wireshark simplemente abra la imagen de disco y arrastrar Wireshark para usted / aplicaciones
carpeta.
Con el fin de capturar paquetes, debe instalar el “ChmodBPF” demonio de lanzamiento. Puede hacerlo abriendo el instalar ChmodBPF.pkg archivo
Wireshark > Acerca de Wireshark seleccionando la pestaña “carpetas”, y haciendo doble clic “macOS Extras”.
17
El paquete de instalación incluye Wireshark junto con ChmodBPF y paquetes de ruta del sistema. Ver los incluidos Léeme first.html presentar
para obtener más detalles.
Utilice los siguientes pasos generales para construir Wireshark desde el código en UNIX o Linux:
1. Desempaquetar la fuente de su comprimido alquitrán archivo. Si está usando Linux o su versión de UNIX
usa GNU alquitrán se puede utilizar el siguiente comando:
xz -d Wireshark-2.9.0.tar.xz tar xf
Wireshark-2.9.0.tar
mkdir build cd
build
3. Configurar la fuente de lo que se va a construir correctamente para su versión de UNIX. Usted puede hacer esto con el siguiente comando:
cmake ../wireshark-2.9.0
Si este paso falla, tendrá que buscar en los registros y rectificar los problemas, vuelva a ejecutar cmake .
de soluciones de problemas se proporcionan en Solución de problemas durante la construcción e instalación en Unix .
hacer
Una vez que tenga construir con Wireshark hacer anteriormente, usted debe ser capaz de ejecutarlo mediante la introducción de
marcha / Wireshark .
18
5. Instalar el software en su destino final.
make install
Una vez que haya instalado Wireshark con make install anteriormente, usted debe ser capaz de ejecutarlo mediante la introducción de Wireshark .
Construir RPMs de los resultados de código fuente de Wireshark en varios paquetes (la mayoría de las distribuciones siguen el mismo sistema):
• los Wireshark paquete contiene el núcleo de Wireshark bibliotecas y herramientas de línea de comandos.
• los Wireshark o Wireshark-qt paquete contiene la interfaz gráfica de usuario basada en Qt.
Muchas distribuciones de uso yum o una herramienta de gestión de paquetes similares para hacer la instalación del software (incluyendo sus
dependencias) más fácil. Si sus usos de distribución yum , utilice el siguiente comando para instalar Wireshark junto con la interfaz gráfica de usuario Qt:
Si ha creado sus propios RPMs de las fuentes de Wireshark puede instalar mediante la ejecución, por ejemplo:
Si el comando anterior falla debido a las dependencias que faltan, instalar las dependencias primero, y luego vuelva a intentar el paso
anterior.
19
Apt debe hacerse cargo de todos los problemas de dependencia para usted.
Mediante la instalación de paquetes de Wireshark usuarios no root no obtendrán derechos automáticamente a capturar
NOTA
paquetes. Para que los usuarios no root a capturar paquetes siga el procedimiento descrito en el /usr/share/doc/wireshark-common/READM
Utilice el siguiente comando para instalar Wireshark bajo Gentoo Linux con todas las características adicionales:
USE = "c-ares ipv6 SNMP ssl Kerberos hilos selinux" emerge Wireshark
pkg_add -r Wireshark
pkg_add debe hacerse cargo de todos los problemas de dependencia para usted.
Una serie de errores puede ocurrir durante el proceso de construcción e instalación. Algunos consejos sobre la solución de estos se proporcionan aquí.
Si el cmake fase no tendrá que averiguar por qué. Puede comprobar el archivo CMakeOutput.log y
CMakeError.log en el directorio de construcción para averiguar qué falló. Las últimas líneas de este archivo deberían ayudar a determinar el
problema.
Los problemas estándar son que usted no tiene un paquete de desarrollo requerido en el sistema o que el paquete de desarrollo no es nuevo
lo suficiente. Tenga en cuenta que la instalación de un paquete de biblioteca no es suficiente. Es necesario instalar el paquete de desarrollo
también. cmake También se producirá un error si no tiene libpcap (al menos la requerida incluyen archivos) en su sistema.
Si no puede determinar cuáles son los problemas, envíe un correo electrónico a la Wireshark-dev lista de correo explicando su problema.
Incluya la salida del cmake y cualquier cosa que considere relevante, como un rastro de la hacer escenario.
20
Interfaz de usuario
Introducción
A estas alturas ya ha instalado Wireshark y es probable que esté preparado para empezar a capturar sus primeros paquetes. En los próximos capítulos
vamos a explorar:
Inicio Wireshark
Puede iniciar Wireshark de su concha o gestor de ventanas.
PROPINA Al iniciar Wireshark es posible especificar valores opcionales utilizando la línea de comandos. Ver Wireshark inicio de la
línea de comandos para detalles.
En los siguientes capítulos se mostrará una gran cantidad de capturas de pantalla de Wireshark. Como Wireshark se ejecuta en muchas plataformas
diferentes con diferentes gestores de ventanas, diferentes estilos aplicados y hay diferentes versiones del conjunto de herramientas GUI subyacente
utilizado, la pantalla puede tener un aspecto diferente de las imágenes proporcionadas. Pero ya que no existen diferencias reales en la funcionalidad
La ventana principal
Echemos un vistazo a la interfaz de usuario de Wireshark. La ventana principal Wireshark muestra como lo haría normalmente después de ver que algunos
paquetes son capturados o cargados (cómo hacer esto se describirá más adelante).
21
ventana de la Figura 2. La principal
La ventana principal de Wireshark consiste en partes que son conocidos comúnmente de muchos otros programas de interfaz gráfica de usuario.
2. El barra de herramientas principal ( ver El “principal” Barra de herramientas ) Proporciona acceso rápido a los artículos de uso frecuente en el menú.
3. La barra de herramientas de filtro ( ver El “filtro” Barra de herramientas ) Permite a los usuarios configurar filtros de visualización para filtro que
4. La panel de lista de paquetes ( ver La “Lista de paquetes” Panel ) Muestra un resumen de cada paquete capturado. Haciendo click en paquetes de
este panel permite controlar lo que se muestra en los otros dos paneles.
5. El los detalles del paquete panel ( ver El “Paquete de Datos” Panel ) Muestra el paquete seleccionado en el panel de lista de paquetes en más detalle.
6. El paquete bytes panel ( ver El “Bytes del paquete” Panel ) muestra los datos de los paquetes seleccionados en el panel de lista de paquetes, y pone de
7. El barra de estado ( ver la barra de estado ) Muestra información detallada sobre el estado del programa actual y los datos capturados.
El diseño de la ventana principal se puede personalizar cambiando la configuración de preferencias. Ver preferencias ¡para
PROPINA
detalles!
22
La ventana principal de navegación
lista de paquetes y el detalle de navegación se puede hacer por completo desde el teclado. navegación mediante el teclado
muestra una lista de las pulsaciones de teclado que le permitirá desplazarse con rapidez por un archivo de captura. Ver elementos de menú Go
Acelerador Descripción
Lengüeta o Cambio + Lengüeta Mueva entre elementos de la pantalla, por ejemplo de las barras de herramientas a la lista de paquetes a los detalles de paquetes.
(Mac OS)
nodo padre.
Cambio + → En el detalle de paquetes, se abre el elemento de árbol seleccionado y todos sus sub-estructuras.
Ayuda > Acerca de Wireshark > Atajos de teclado mostrará una lista de todos los accesos directos en la ventana principal. Además, al escribir en
El menú
El menú principal del Wireshark se encuentra ya sea en la parte superior de la ventana principal (Windows, Linux) o en la parte superior de la pantalla
23
Algunos elementos del menú serán desactivados (en gris) si la función correspondiente no está disponible. Por ejemplo,
NOTA no se puede guardar un archivo de captura si no se ha capturado o cargado ningún paquete.
Figura 3. El menú
Archivo
Este menú contiene elementos a los archivos abiertos y de combinación de capturar, guardar, imprimir o exportar archivos de captura en su totalidad o en
Editar
Este menú contiene opciones para encontrar un único paquete, referencia de tiempo o marca o más paquetes, perfiles de configuración
de mango, y establecer sus preferencias; (Cortar, copiar y pegar no se implementan en la actualidad). Ver El menú “Editar” .
Ver
Este menú controla la visualización de los datos capturados, incluyendo la coloración de los paquetes, el zoom de la fuente, mostrando
un paquete en una ventana separada, expandir y contraer los árboles en los detalles del paquete, .... Ver El menú “Ver” .
Ir
Este menú contiene opciones para ir a un paquete específico. Ver El menú “Ir” .
Capturar
Este menú le permite iniciar y capturas de parada y para editar los filtros de captura. Ver El menú de “captura” .
Analizar
Este menú contiene elementos para manipular los filtros de visualización, activar o desactivar la disección de protocolos especificados
por el usuario decodifica configurar y seguir un flujo TCP. Ver El “Analizar” Menú .
Estadística
Este menú contiene elementos para mostrar varias ventanas estadísticos, incluyendo un resumen de los paquetes que han sido
capturados, estadísticas jerarquía de protocolos pantalla y mucho más. Ver El menú “Estadística” .
Telefonía
Este menú contiene elementos para mostrar varias ventanas de estadísticas relacionadas con la telefonía, incluyendo un análisis de los
medios, diagramas de flujo, estadísticas jerarquía de protocolos pantalla y mucho más. Ver El menú “Telefonía” .
24
Inalámbrico
Este menú contiene elementos para mostrar Bluetooth e IEEE 802.11 estadísticas inalámbricas.
Herramientas
Este menú contiene varias herramientas disponibles en Wireshark, como la creación de cortafuegos Reglas ACL. Ver El menú “Herramientas” .
Ayuda
Este menú contiene elementos para ayudar al usuario, por ejemplo, el acceso a un poco de ayuda básica, páginas del manual de las distintas herramientas de
línea de comandos, el acceso en línea a algunas de las páginas web, y el habitual diálogo Acerca de. Ver El menú “Ayuda” .
Cada uno de estos elementos de menú se describe con más detalle en las secciones que siguen.
La mayoría de los elementos de menú comunes tienen atajos de teclado. Por ejemplo, puede pulsar el control (o Ctrl en
PROPINA
alemán) y las teclas K juntos para abrir el cuadro de diálogo “Opciones de captura”.
El menú “Archivo”
El menú de archivo Wireshark contiene los campos que se muestran en elementos del menú Archivo .
25
Tabla 3. elementos del menú Archivo
Abierto… Ctrl + O Esto muestra el cuadro de diálogo Abrir archivo que le permite cargar un
Recientemente abierto Esto le permite abrir archivos de captura abiertos recientemente. Al hacer clic
correspondiente directamente.
archivos de captura .
Importar de volcado hexadecimal ... Este elemento de menú muestra el cuadro de diálogo de archivo de importación
volcado hexadecimal .
nombre de archivo de captura por defecto (quizás con la <capfile> opción -w),
cuadro de diálogo ).
Guardar como… Cambio + Ctrl + S Este elemento de menú le permite guardar el archivo de captura actual a
26
Opción del menú Acelerador Descripción
Conjunto de archivos > archivos de la lista Este elemento de menú le permite mostrar una lista de archivos en un conjunto de archivos.
Conjunto de archivos > Siguiente archivo Si el archivo cargado actualmente forma parte de un conjunto de archivos, saltar al
Conjunto de archivos > archivo anterior Si el archivo cargado actualmente forma parte de un conjunto de archivos, salta al
Los paquetes de exportación especificado ... Este elemento de menú le permite exportar todos (o algunos) de los paquetes
Las disecciones de Ctrl + H Estos elementos de menú que le permiten exportar los bytes
más adelante en
Objetos de exportación Estos elementos de menú que le permiten exportar capturado DICOM,
Impresión… Ctrl + PAGS Este elemento de menú le permite imprimir todos (o algunos) de los
preferencia).
El menú “Editar”
El menú Editar Wireshark contiene los campos que se muestran en elementos del menú Editar .
27
Figura 5. La “Edición” Menú
portapapeles.
Buscar Paquete ... Ctrl + F Este elemento de menú aparece una barra de herramientas que le permite
encontrar un paquete por muchos criterios. Hay más información sobre cómo
Búsqueda de paquetes .
Buscar siguiente Ctrl + norte Este elemento de menú trata de encontrar el siguiente paquete coinciden
Buscar anterior Ctrl + si Este elemento de menú intenta encontrar el paquete anterior coinciden con
Desmarcar marca de paquetes / Ctrl + METRO Este elemento de menú marcas del paquete seleccionado en ese momento.
Los paquetes marca indicadas no Ctrl + Cambio + METRO Estas marcas de todos los elementos de menú que aparecen paquetes.
Los paquetes no marcar todo Ctrl + alt + METRO Este elemento de menú desmarca todos los paquetes que se muestran.
mostrados
28
Opción del menú Acelerador Descripción
Ignorar / Desactivar paquetes Ctrl + re Este elemento de menú se cumple el paquete seleccionado según lo ignoró.
Ignorar todo visualiza Ctrl + Cambio + re Estas marcas de todos los elementos de menú que aparecen los paquetes a medida
ignorado.
Desactivar todos exhibidos Ctrl + alt + re Este elemento de menú desmarca todos los paquetes ignorados.
Armar / desarmar Tiempo de referencia Ctrl + T Este elemento de menú establece una referencia de tiempo en el paquete
Referencias desarmar All Time Ctrl + alt + T Este elemento de menú elimina todas las referencias de tiempo en los paquetes.
La próxima vez Referencia Ctrl + alt + norte Este elemento de menú trata de encontrar la próxima vez paquete de
referencia.
Anterior tiempo de referencia Ctrl + alt + si Este elemento de menú intenta encontrar el tiempo anterior de paquetes se hace
referencia.
Cambio de hora… Ctrl + Cambio + T Abre el diálogo “Time Shift”, que le permite ajustar las marcas de
tiempo de algunos o todos los paquetes.
Comentario de paquetes ... Ctrl + alt + do Abre el diálogo “Paquete comentario”, que le permite agregar un comentario a
Eliminar todos los paquetes Esto eliminará todos los comentarios de todos los paquetes. Tenga en cuenta
De perfiles de configuración ... Ctrl + Cambio + UNA Este elemento de menú abre un cuadro de diálogo para el manejo de
configuración .
Preferencias ... Ctrl + Cambio + PAGS o Este elemento de menú abre un cuadro de diálogo que le permite
cmd + , ( Mac OS) establecer preferencias para muchos parámetros que controlan
en preferencias .
29
El menú “Ver”
El menú Wireshark Ver contiene los campos que se muestran en Ver artículos del menú .
Barra de herramientas principal Este menú oculta o muestra la barra de herramientas de elementos, consulte El “principal”
Barra de herramientas .
Barra de herramientas de filtro Este menú cueros de artículos o programas de la barra de herramientas de filtro, consulte El
Barra de herramientas inalámbrica Este menú cueros de artículos o programas de la barra de herramientas sin cable. no
Barra de estado Este menú cueros de artículos o programas de la barra de estado, ver la barra
de estado .
Lista de paquetes Este elemento de menú oculta o muestra el panel de lista de paquetes, consulte La
Detalles del paquete Este menú cueros artículo o muestra el panel de detalles de
30
Opción del menú Acelerador Descripción
Bytes del paquete Este menú cueros artículo o muestra el paquete de bytes panel, ver El
El tiempo de visualización de formato > La selección de este dice Wireshark para mostrar las marcas de tiempo en la
Fecha y Hora del día: 1970-01-01 01: fecha y hora del formato de día, ver Formatos de hora de visualización y las
Los campos “Hora del día”, “Fecha y hora del día”, “segundos
desde el inicio de la captura”, “segundos desde el anterior
paquete capturado” y “segundos desde el anterior mostrada
paquetes” son mutuamente excluyentes.
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de visualización en
Hora del día: 01: 02: tiempo de formato de día, ver Formatos de hora de visualización y las referencias de
03,123456 tiempo .
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de pantalla en
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de
Segundos desde el inicio de la visualización en segundos desde el inicio del formato de captura, véase Formatos
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de
Segundos desde el paquete visualización en segundos desde el formato de paquete capturado anterior, ver Formatos
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de visualización
Desde segundos paquetes producidas en segundos desde el formato de paquete se muestra anterior, ver Formatos
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de visualización con
Automático (Formato de archivo de la precisión propuesta por el formato de archivo de captura utilizado, ver Formatos
El tiempo de visualización de formato > La selección de este dice Wireshark para las marcas de tiempo de visualización
Segundos: 0 con una precisión de un segundo, ver Formatos de hora de visualización y las
referencias de tiempo .
31
Opción del menú Acelerador Descripción
El tiempo de visualización de formato > ... La selección de este dice Wireshark para las marcas de tiempo de
El tiempo de visualización de formato > La selección de este dice Wireshark para mostrar las marcas de
Resolución de nombres > resolver el nombre Este elemento le permite activar un nombre determinación de sólo el
Resolución de nombres > Habilitar para la Este elemento le permite controlar si o no Wireshark traduce las
Resolución de nombres > Habilitar para Este elemento le permite controlar si o no Wireshark traduce las
Resolución de nombres > Habilitar para la Este elemento le permite controlar si o no Wireshark traduce las
Desplazamiento automático de captura en vivo Este elemento le permite especificar que Wireshark debe desplazar el
Disminuir el zoom Ctrl + - Alejamiento de los paquetes de datos (disminuir el tamaño de la fuente).
Talla normal Ctrl + = Conjunto de vuelta nivel de zoom a 100% (de vuelta conjunto tamaño de la fuente a la
normalidad).
32
Opción del menú Acelerador Descripción
Cambiar el tamaño de todas las columnas Cambio + Ctrl + R Cambiar el tamaño de todos los anchos de columna para que el contenido se ajusta a
ella.
Las columnas que se muestran Este menú se pliega con una lista de todas las columnas configuradas.
paquetes.
ampliar subárboles Cambio + → Este elemento de menú se expande el subárbol seleccionado actualmente en el
subárboles colapso Cambio + ← Este elemento de menú se derrumba el subárbol seleccionado actualmente en el
Expandir todo Ctrl + → Wireshark mantiene una lista de todos los subárboles de protocolo que se
Desplegar todo Ctrl + ← Este elemento de menú se derrumba la vista de árbol de todos los paquetes
en la lista de captura.
Conversación Colorear Este elemento de menú le muestra un submenú que permite a los paquetes
paquete seleccionado en ese momento. Esto hace que sea fácil distinguir los
paquetes .
Conversación Colorear > Estos elementos de menú permiten a uno de los filtros de color
momento.
Conversación Colorear > Este elemento de menú borra todas las reglas para colorear temporales.
coloración de reposición
Conversación Colorear > Este elemento de menú abre una ventana de diálogo en la que una nueva regla
Nueva Regla para colorear ... de coloración permanente puede ser creado en base a la conversación
Reglas para colorear ... Este elemento de menú abre un cuadro de diálogo que le permite a los
expresiones de filtro que decide. Puede ser muy útil para detectar
33
Opción del menú Acelerador Descripción
elementos internos Información sobre varias estructuras de datos internas. Ver Internals
Mostrar paquetes en una ventana Muestra el paquete seleccionado en una ventana separada. La ventana
nueva muestra separados sólo los detalles de paquetes y bytes. Ver Visualización
Recargar Ctrl + R Este elemento de menú permite volver a cargar el archivo de captura actual.
Las tablas hash conversación Muestra las tuplas (dirección y puerto de combinaciones) utilizados para identificar
cada conversación.
El menú “Ir”
El menú Ir Wireshark contiene los campos que se muestran en elementos de menú Go .
34
Figura 7. El menú “Go”
Ir a paquetes ... Ctrl + sol Abrir un marco de ventana que le permite especificar un número
de paquete, y luego se va a ese paquete. Ver Ir a un paquete
específico para detalles.
paquete anterior Ctrl + ↑ Mover al paquete anterior de la lista. Esto se puede utilizar para
pasar al paquete anterior, incluso si la lista de paquetes no tiene el
foco del teclado.
35
Opción del menú Acelerador Descripción
siguiente paquete Ctrl + ↓ Pasar a la siguiente paquete en la lista. Esto se puede utilizar para
pasar al paquete anterior, incluso si la lista de paquetes no tiene el
foco del teclado.
primer paquete Ctrl + Casa Saltar al primer paquete del archivo de captura.
último paquete Ctrl + Fin Saltar al último paquete del archivo de captura.
El menú de “captura”
El menú Captura Wireshark contiene los campos que se muestran en elementos del menú de captura .
36
Opción del menú Acelerador Descripción
Opciones ... Ctrl + K Muestra las opciones de captura de cuadros de diálogo, que le permite a
Reiniciar Ctrl + R Detiene la captura actualmente en ejecución e inicia de nuevo con las
mismas opciones.
Filtros de captura ... Muestra un cuadro de diálogo que le permite crear y editar filtros de
captura. Se puede nombrar a los filtros y guardarlos para uso futuro.
Ver Definir y guardar los filtros .
El “Analizar” Menú
El Wireshark menú Analizar contiene los campos que se muestran en Analizar los elementos del menú .
37
Tabla 9. Analizar los elementos del menú
Filtros de visualización ... Muestra un cuadro de diálogo que le permite crear y editar filtros de
visualización. Se puede nombrar a los filtros, y puede guardarlos
para uso futuro. Ver Definir y guardar los filtros .
Filtro de presentación Macros ... Muestra un cuadro de diálogo que le permite crear y editar macros de
ahorro .
Aplicar como Columna Cambio + Ctrl + yo Añade el elemento protocolo seleccionado en el panel de detalles de paquete
Protocolos permitido ... Cambio + Ctrl + mi Activar o desactivar diversos disectores de protocolo. Ver El cuadro
Decode como ... Decodificar ciertos paquetes como un protocolo particular. Ver Decodifica
Seguir > corriente del TCP Abra una ventana que muestra todos los segmentos TCP
Seguir > UDP corriente La misma funcionalidad que “Follow TCP Stream” pero para UDP
“corrientes”.
Seguir > TLS corriente La misma funcionalidad que “Follow TCP Stream” pero para TLS o
SSL corrientes. Ver la página wiki en TLS
para obtener instrucciones sobre proporcionando claves TLS.
Seguir > HTTP corriente La misma funcionalidad que “Follow TCP Stream”, pero para HTTP
arroyos.
38
Opción del menú Acelerador Descripción
Información de expertos Abrir una ventana que muestra la información de expertos que se encuentra
El menú “Estadística”
El menú Wireshark Estadísticas contiene los campos que se muestran en elementos de menú Estadísticas .
Todos los elementos de menú se abre una nueva ventana que muestra información estadística específica.
Propiedades de captura de archivos Mostrar información sobre el archivo de captura, véase La ventana
39
Opción del menú Acelerador Descripción
Los puntos finales Mostrar una lista de puntos finales (tráfico hacia / desde una
F5 Ver F5
40
Opción del menú Acelerador Descripción
El menú “Telefonía”
El menú Wireshark Telefonía contiene los campos que se muestran en elementos de menú de telefonía .
Todos los elementos de menú se abre una nueva ventana que muestra la telefonía específica relacionada con información estadística.
41
Opción del menú Acelerador Descripción
El menú “Herramientas”
El menú Herramientas Wireshark contiene los campos que se muestran en Herramientas elementos de menú .
42
Opción del menú Acelerador Descripción
Reglas ACL firewall Esto le permite crear reglas ACL de línea de comandos para muchos
Reglas para las direcciones MAC, direcciones IPv4, los puertos TCP y
Cartas credenciales Esto le permite extraer las credenciales desde el archivo de captura
actual. Algunos de los disectores se han instrumentado para
proporcionar el módulo con los nombres de usuario y contraseñas, y
más serán instrumentados en Te futuro. La ventana de diálogo le
proporciona el número de paquetes donde se han encontrado las
credenciales, el protocolo que les proporcionó, el nombre de usuario
y la contraseña.
El menú “Ayuda”
El menú Wireshark Ayuda contiene los campos que se muestran en elementos del menú Ayuda .
43
Figura 13. El menú “Ayuda”
Páginas manuales > ... Este elemento de menú se inicia un navegador web que muestra una de las
Sitio web Este elemento de menú se inicia un navegador Web que muestra la
Preguntas frecuentes Este elemento de menú se inicia un navegador web que muestra varias preguntas
frecuentes.
descargas Este elemento de menú se inicia un navegador Web que muestra las
descargas de: https://www.wireshark.org/ download.html .
Captura de muestras Este elemento de menú se inicia un navegador Web que muestra las
https://wiki.wireshark.org/SampleCaptures .
44
Opción del menú Acelerador Descripción
Acerca de Wireshark Este elemento de menú hace aparecer una ventana de información que
como la forma en que está construido, los plugins cargados, las carpetas de uso,
...
La apertura de un navegador Web podría ser compatible en su versión de Wireshark. Si este es el caso se ocultarán
los elementos de menú correspondientes.
NOTA
Si llama a un navegador Web falla en su máquina, no pasa nada, o en el navegador se inicia pero no se muestra la
página, echar un vistazo a la configuración del navegador web en el diálogo de preferencias.
La barra de herramientas principal proporciona acceso rápido a los artículos de uso frecuente en el menú. Esta barra de herramientas no puede ser
personalizado por el usuario, pero se puede ocultar utilizando el menú Ver si se necesita el espacio en la pantalla para mostrar más paquetes de datos.
Los elementos de la barra de herramientas se pueden activar o desactivar (en gris) similares a sus correspondientes elementos de menú. Por ejemplo, en la
imagen de abajo muestra se ha abierto la barra de herramientas de la ventana principal después de un archivo. Varios botones relacionados con archivos están
habilitadas, pero el botón de captura de parada se desactiva debido a una captura no está en curso.
[ Comienzo ] Capturar > comienzo Comienza a capturar paquetes con las mismas opciones que la
[ Detener ] Capturar > Detener Detiene la captura actualmente en ejecución ( iniciar la captura ).
[Opciones ...] Capturar > Opciones ... Abre el cuadro de diálogo “Opciones de captura”.
Ver iniciar la captura para detalles.
45
Barra de Barra de herramientas de artículos Opción del menú Descripción
herramientas de icono
[ Abierto… ] Archivo > Abierto… Abre el cuadro de diálogo de apertura de archivo, lo que le
[ Guardar como… ] Archivo > Guardar como… Guarde el archivo de captura actual a cualquier archivo que
lugar.
[Buscar Paquete ...] Editar > Buscar Paquete ... Encontrar un paquete en función de diferentes criterios.
[ Regresa ] Ir > Regresa Saltar de nuevo en la historia de paquetes. Mantenga pulsada la alt
selección.
[Go Forward] Ir > Avanzar Saltar hacia adelante en la historia de paquetes. Mantenga
historia de selección.
[Ir a la primera de Ir > primer paquete Saltar al primer paquete del archivo de captura.
paquetes]
[Ir al último Ir > último paquete Saltar al último paquete del archivo de captura.
paquete]
[Desplazamiento automático de Ver > Desplazamiento automático Desplazamiento automático de lista de paquetes mientras se hace una
[ Acercarse ] Ver > Acercarse Zoom en los paquetes de datos (aumentar el tamaño de la fuente).
[ Disminuir el zoom ] Ver > Disminuir el zoom Alejamiento de los paquetes de datos (disminuir el tamaño de la fuente).
[ Talla normal ] Ver > Talla normal Conjunto de vuelta nivel de zoom a 100%.
46
Barra de Barra de herramientas de artículos Opción del menú Descripción
herramientas de icono
[Columnas Redimensionar] Ver > Redimensionar Cambiar el tamaño de las columnas, por lo que los ajustes de contenido
columnas en ellos.
La barra de herramientas de filtro que permite rápida de editar y aplicar filtros de visualización. Más información sobre los filtros de presentación está disponible en Filtrado de
filtro de entrada El área para introducir o editar una cadena de filtros de visualización, ver
visualización.
bastante largo.
47
Barra de Nombre Descripción
herramientas de icono
[ Expresión… ] Expresión de filtro Abre un cuadro de diálogo que le permite editar un filtro de presentación de una lista
cuadro de diálogo
[Ls squirre] Botón de expresión Ejemplo botón expresión de filtro llamado “Ardillas”.
El panel de lista de paquetes muestra todos los paquetes en el archivo de captura actual.
Cada línea de la lista de paquetes corresponde a un paquete en el archivo de captura. Si selecciona una línea en este panel, más detalles se
Mientras que la disección de un paquete, Wireshark colocará la información de los disectores de protocolo en las columnas. Como
protocolos de nivel superior pueden sobrescribir información de los niveles más bajos, normalmente verá la información de sólo el nivel más
alto posible.
Por ejemplo, Echemos un vistazo a un paquete que contiene internamente TCP IP dentro de un paquete de Ethernet. El disector Ethernet
escribirá sus datos (como las direcciones Ethernet), el disector IP se sobreponen a este por su propia (como las direcciones IP), el disector
Hay un montón de diferentes columnas disponibles. Las columnas que se muestran pueden ser seleccionados por los ajustes de preferencias,
consulte preferencias .
• [ No. ] El número del paquete en el archivo de captura. Este número no va a cambiar, incluso si se utiliza un filtro de presentación.
• [ Hora ] La marca de tiempo del paquete. El formato de presentación de esta marca de tiempo se puede cambiar, ver Formatos de hora de
visualización y las referencias de tiempo .
48
• [Destino] La dirección donde este paquete va a.
La primera muestra de columna cómo cada paquete está relacionado con el paquete seleccionado. Por ejemplo, en la imagen de arriba el primer
paquete se selecciona, que es una solicitud DNS. Wireshark muestra una flecha hacia la derecha para la propia solicitud, seguido de una flecha
hacia la izquierda para la respuesta en el paquete 2. ¿Por qué hay una línea discontinua? Hay más paquetes DNS más abajo que utilizan los
mismos números de puerto. Wireshark los trata como pertenecientes a la misma conversación y dibuja una línea que los conecta.
Solicitud.
Respuesta.
49
El paquete seleccionado se relaciona con este paquete de alguna otra manera, por ejemplo como parte de reensamblaje.
La lista de paquetes tiene una Barra de desplazamiento inteligente el cual muestra un mapa en miniatura de paquetes cercanas. Cada
línea de trama de las barras de desplazamiento corresponde a un solo paquete, por lo que el número de paquetes que se muestran en el mapa depende de
su despliegue físico y la altura de la lista de paquetes. Una lista de paquetes de alta en una de alta resolución ( “Retina”) pantalla le mostrará un buen
número de paquetes. En la imagen por encima de la barra de desplazamiento muestra el estado de más de 500 paquetes junto con el 15 se muestra en la
hacer clic derecho mostrará un menú contextual, se describe en En el menú emergente del panel “Lista de paquetes” .
El paquete de detalles muestra el panel de paquete actual (seleccionada en el panel “Lista de paquetes”) en una forma más detallada.
Este panel muestra los protocolos y de protocolo campos del paquete seleccionado en el panel “Lista de paquetes”. Los protocolos y los
campos del paquete que se muestran en un árbol que se puede expandir y contraer.
Hay un menú contextual (botón derecho del ratón) disponibles. Ver detalles en En el menú emergente del panel “Detalles del paquete” .
• campos generados. sí Wireshark generará información de protocolo adicional que no está presente en los datos capturados. Esta
información está encerrado entre corchetes ( “[” y “]”). información generada incluye los tiempos de respuesta, análisis de TCP, la
información de geolocalización IP, y la suma de comprobación de validación.
• Campo de golf. Si Wireshark detecta una relación a otra de paquetes en el archivo de captura se generará un enlace a ese paquete.
Enlaces están subrayados y se muestran en azul. Si hace doble clic en un enlace Wireshark saltará al paquete correspondiente.
50
El “Bytes del paquete” Panel
El paquete de bytes muestra el panel de datos del paquete actual (seleccionado en el panel “Lista de paquetes”) en un estilo hexdump.
Los “Bytes del paquete” muestra un panel canónicas volcado hexadecimal de los paquetes de datos. Cada línea contiene compensan los datos,
dieciséis bytes hexadecimales, y dieciséis bytes ASCII. bytes no printalbe se sustituyen con un punto ( “”).
Dependiendo de los datos en paquetes, a veces más de una página está disponible, por ejemplo, cuando Wireshark ha vuelto a montar algunos
paquetes en un solo trozo de datos. (Ver reensamblaje de paquetes para detalles). En este caso se puede ver cada fuente de datos haciendo clic en
Las páginas adicionales típicamente contienen datos reensambladas a partir de múltiples paquetes o datos descifrados.
El menú contextual (botón derecho del ratón) de las etiquetas de las solapas mostrará una lista de todas las páginas disponibles. Esto puede ser útil si el tamaño del panel es
la barra de estado
En general, el lado izquierdo se mostrará la información relacionada con el contexto, la parte central mostrará información sobre el archivo
de captura actual, y el lado derecho muestra el perfil de configuración seleccionado. Arrastre los controles entre las áreas de texto para
cambiar el tamaño.
Esta barra de estado se muestra mientras se carga ningún archivo de captura, por ejemplo, cuando se inicia Wireshark.
51
Figura 21. La barra de estado con un archivo de captura cargado
• La bala coloreada de la izquierda muestra el más alto nivel de información de expertos encontró en el archivo de captura cargado en ese momento. Al
pasar el ratón sobre este icono se mostrará una descripción textual del nivel de información de expertos, y haciendo clic en el icono se abre el cuadro de
diálogo Informaciones experto. Para una descripción detallada de la información de expertos, véase Información de expertos .
• El lado izquierdo Muestra información sobre el archivo de captura, su nombre, su tamaño y el tiempo transcurrido mientras estaba siendo capturado. Al
pasar por encima de un nombre de archivo mostrará su ruta completa y el tamaño.
• La parte media muestra el número actual de paquetes en el archivo de captura. Los siguientes valores se muestran:
◦ Marcado: El número de paquetes marcados (sólo se muestra si los paquetes están marcados).
◦ Caído: El número de paquetes perdidos (sólo aparece si Wireshark no fue capaz de capturar todos los paquetes).
◦ Tiempo de carga: El tiempo que tardó en cargar la captura (pared del tiempo del reloj).
• El lado correcto muestra el perfil de configuración seleccionado. Al hacer clic en esta parte de la barra de estado aparecerá un menú
con todos los perfiles de configuración disponibles, y la selección de esta lista va a cambiar el perfil de configuración.
Para una descripción detallada de los perfiles de configuración, ver Los perfiles de configuración .
El valor entre paréntesis (en este ejemplo “ipv6.src”) puede ser utilizado como un filtro de presentación, lo que representa
PROPINA
el campo de protocolo seleccionado.
Esto aparece si usted está tratando de utilizar un filtro de presentación que puede tener resultados inesperados. Para
52
Descripción detallada, consulte Un error común con! = .
53
La captura de datos de red en vivo
Introducción
La captura de datos de la red en vivo es una de las principales características de Wireshark.
• Detener la captura de diferentes factores desencadenantes tales como la cantidad de datos capturados, tiempo transcurrido, o el número de paquetes.
• Al mismo tiempo mostrar los paquetes decodificados mientras Wireshark está capturando.
• paquetes de filtro, reduciendo la cantidad de datos a ser capturados. Ver Filtrando durante la captura .
• Guardar los paquetes en varios archivos mientras se hace una captura de largo plazo, que giran opcionalmente a través de un número fijo de archivos (un
“buffer circular”). Ver archivos de captura y modos de archivo .
• Detener la captura (o realizar alguna otra acción) en función de los datos capturados.
Requisitos previos
Configurar Wireshark para capturar paquetes por primera vez puede ser complicado. Una guía completa “Cómo configurar una captura” está
disponible en https://wiki.wireshark.org/CaptureSetup .
• Es posible que tenga privilegios especiales para iniciar una captura en vivo.
• Usted tiene que elegir la interfaz de red de paquetes de datos a la derecha de la captura.
• Es necesario para la captura en el lugar correcto en la red para ver el tráfico que desea ver.
Si tiene alguna problemas para configurar su entorno de captura debe echar un vistazo a la guía mencionada anteriormente.
iniciar la captura
Los siguientes métodos se pueden utilizar para iniciar la captura de paquetes con Wireshark:
• Usted puede obtener una visión general de las interfaces disponibles utilizando las interfaces de captura “” cuadro de diálogo
54
( Capturar > Opciones ...). Ver Las interfaces de captura “” cuadro de diálogo en Microsoft Windows o El cuadro de diálogo “interfaces de
captura” en Unix / Linux para más información. Puede iniciar una captura de este cuadro de diálogo con los botones [ Comienzo ] botón.
• Usted puede comenzar de inmediato una captura con la configuración actual seleccionando Capturar > comienzo o haciendo clic en el primer botón de la barra de
herramientas.
• Si ya conoce el nombre de la interfaz de captura de Wireshark puede empezar desde la línea de comandos:
$ Wireshark -i eth0 -k
Esto iniciará la captura de Wireshark en la interfaz eth0. Más detalles se pueden encontrar en Wireshark inicio de la línea de comandos .
Al seleccionar Capturar > Opciones ... desde el menú principal de Wireshark aparece los “interfaces de captura” cuadro de diálogo como se
muestra en Las interfaces de captura “” cuadro de diálogo en Microsoft Windows o
El cuadro de diálogo “interfaces de captura” en Unix / Linux .
Este cuadro de diálogo sólo mostrará las interfaces locales Wireshark puede acceder. Será también interfaces de ocultar
NOTA marcado como oculto en Opciones de interfaz . Como Wireshark podría no ser capaz de detectar todas las interfaces locales y
que no puede detectar las interfaces remotas disponibles que podría haber más interfaces de captura disponibles de la lista.
55
Figura 26. La “Interfaces captura” cuadro de diálogo en Unix / Linux
Descripción
La descripción de la interfaz proporcionada por el sistema operativo, o el comentario definido por el usuario añadido en Opciones de interfaz .
IP
La primera dirección IP Wireshark pudo encontrar para esta interfaz. Puede hacer clic en la dirección para desplazarse por otras direcciones
asignadas a la misma, si está disponible. Si hay una dirección podría ser encontrado se mostrará “ninguna”.
Los paquetes
El número de paquetes capturados de esta interfaz, desde que se abrió este diálogo. No estarán disponibles, si ningún paquete fue
capturado en el último segundo.
Paquetes / s
Número de paquetes capturados en el último segundo. No estarán disponibles, si ningún paquete fue capturado en el último segundo.
Detener
comienzo
Iniciar una captura en todas las interfaces seleccionadas de inmediato, utilizando la configuración de la última captura o la configuración por defecto, si no hay
opciones
Abrir el diálogo Opciones de captura con las interfaces marcados seleccionados. Ver El cuadro de diálogo “Opciones de captura” .
56
Abre un cuadro de diálogo con información detallada acerca de la interfaz. Ver El cuadro de diálogo “Interfaz de Datos” .
Ayuda
Cerca
Al seleccionar Capturar > Opciones ... ( o utilice el elemento correspondiente en la barra de herramientas principal), Wireshark aparece el cuadro de diálogo
57
Si no está seguro qué opciones para elegir en este cuadro de diálogo sólo tratar de mantener los valores por defecto ya que esto debería
PROPINA
funcionar bien en muchos casos.
marco de captura
• El nombre de la interfaz y sus direcciones IP. Si hay una dirección podría resolverse desde el sistema, se mostrará “ninguna”.
• La cantidad máxima de datos que se va a capturar para cada paquete. El valor predeterminado se establece en los 262144 bytes.
• El tamaño del búfer del núcleo que está reservada para mantener los paquetes capturados.
• La información si los paquetes serán capturadas en modo monitor (sólo Unix / Linux).
Marcando las casillas de verificación en la primera columna las interfaces son seleccionados para ser capturado de. Haciendo doble clic en una interfaz
“Configuración de interfaz de edición” cuadro de diálogo, como se muestra en El cuadro de diálogo “Editar la configuración de la interfaz” será abierta.
Como Wireshark puede capturar en múltiples interfaces es posible optar por la captura en todas las interfaces disponibles.
Esta casilla le permite especificar que Wireshark debe poner todas las interfaces en modo promiscuo en la captura.
Filtro de captura
Este campo le permite especificar un filtro de captura para todas las interfaces que están seleccionados actualmente. Una vez que un filtro se ha
introducido en este campo, las interfaces recién seleccionados heredarán el filtro. filtros de captura se discuten con más detalle en Filtrando durante
También puede hacer clic en el [ Filtro capturar] botón y Wireshark abrir el cuadro de diálogo de los filtros de captura y permitirá crear y
/ o seleccionar un filtro. Por favor mira Definir y guardar los filtros
Este botón le permite compilar el filtro de captura en código BPF y aparecerá una ventana de proyección
58
que el pseudo código resultante. Esta ayuda puede en la comprensión del funcionamiento del filtro de captura que ha creado. Los [ Compilar
BPF seleccionados] botón que lleva a El cuadro de diálogo “compilar los resultados” .
La ejecución de BPF se puede acelerar en Linux mediante la activación de BPF JIT mediante la ejecución
si no está activada ya. Para hacer el cambio persistente puede utilizar sysfsutils .
Manejo de Interfaces
Los [ Manejo Interfaces] botón abre la El cuadro de diálogo “Agregar nuevo Interfaces” donde se pueden definir tuberías, interfaces
locales escaneados o ocultos, o interfaces remotas añaden (sólo Windows).
Una explicación sobre el uso del archivo de captura se puede encontrar en archivos de captura y modos de archivo .
Archivo
Este campo le permite especificar el nombre del archivo que se utilizará para el archivo de captura. Este campo se deja en blanco de forma predeterminada. Si
el campo se deja en blanco, los datos de captura serán almacenados en un archivo temporal. Ver archivos de captura y modos de archivo para detalles.
También puede hacer clic en el botón situado a la derecha de este campo para navegar a través del sistema de archivos.
En lugar de utilizar un solo archivo Wireshark cambiará automáticamente a una nueva si se alcanza una condición específica gatillo.
Esta casilla le permite especificar que Wireshark guarda los paquetes capturados en formato pcapng. Este formato de archivo de
captura de próxima generación está actualmente en desarrollo. Si se elige más de una interfaz para la captura, esta casilla de
verificación está configurado por defecto. Ver https://wiki.wireshark.org/ Desarrollo / PcapNg para más detalles sobre pcapng.
59
segundo (s) / minutos (s) / hora (s) / (s) han transcurrido días.
Sólo los archivos múltiples: Forma un búfer de anillo de los archivos de captura con el número dado de archivos.
Varios archivos solamente: detener la captura después de cambiar al siguiente archivo el número determinado de veces.
Detener la captura después de que el número dado de paquetes han sido capturados.
Detener la captura después de que el número dado de byte (s) / kilobytes (s) / megabyte (s) / gigabyte (s) han sido capturados. Esta opción aparece
Detener la captura después de que el número dado de segundo (s) / minuto (s) / hora (s) / (s) han transcurrido días.
Esta opción le permite especificar que Wireshark debe actualizar el panel de lista de paquetes en tiempo real. Si no se especifica este,
Wireshark no muestra los paquetes hasta que detenga la captura. Cuando se marca esta opción, las capturas de Wireshark en un
proceso separado y se alimenta de las capturas en el proceso de visualización.
Esta opción le permite especificar que Wireshark debe desplazar el panel de lista de paquetes como nuevos paquetes entran, por lo que
siempre está buscando en el último paquete. Si no se especifica este Wireshark simplemente añade nuevos paquetes en el extremo de la
lista, pero no se desplaza el panel de lista de paquetes. Esta opción está en gris si “Actualizar lista de paquetes en tiempo real” está
deshabilitado.
Esta opción le permite controlar si o no Wireshark traduce las direcciones MAC en nombres. Ver Resolución de nombres .
Esta opción le permite controlar si o no Wireshark traduce las direcciones de red en nombres. Ver Resolución de nombres .
60
Habilitar la resolución de nombres de transporte
Esta opción le permite controlar si o no Wireshark traduce las direcciones de transporte en los protocolos. Ver Resolución de nombres .
Botones
Una vez que haya establecido los valores que desee y ha seleccionado las opciones que necesita, simplemente haga clic en
Si hace doble clic en una interfaz de El cuadro de diálogo “Opciones de captura” el siguiente cuadro de diálogo aparece.
dirección IP
La dirección (es) IP de la interfaz seleccionada. Si hay una dirección podría resolverse desde el sistema se mostrará “ninguna”.
A menos que usted está en la situación poco frecuente que requiere este mantenga el valor predeterminado. Para una descripción detallada. Ver Tipo de
Aquí puede ajustar la configuración de captura inalámbrica mediante el adaptador de AirPcap. Para una descripción detallada ver los
usuarios AirPcap Guía.
61
Aquí puede ajustar la configuración de captura remota. Para una descripción detallada, véase El cuadro de diálogo “Interfaces de captura
remota”
Esta casilla le permite especificar que Wireshark debe poner la interfaz en modo promiscuo en la captura. Si no se especifica este
Wireshark sólo se capturará los paquetes que van o desde el ordenador (no todos los paquetes en el segmento de la LAN).
Si algún otro proceso ha puesto a la interfaz en modo promiscuo es posible que la captura en modo promiscuo, incluso
si desactiva esta opción.
NOTA
Incluso en modo promiscuo que todavía no necesariamente ver todos los paquetes en el segmento de LAN. Ver Preguntas
Este campo le permite especificar la cantidad máxima de datos que se van a capturar para cada paquete, y se refiere a veces como el snaplen.
Si está desactivada, el valor se establece en la mayor 65535 que será suficiente para la mayoría de los protocolos. Algunas reglas de
oro:
• Si usted no necesita o no desea que todos los datos en un paquete - por ejemplo, si sólo se necesita la capa de enlace, IP y cabeceras TCP
- es posible que desee elegir una pequeña longitud instantánea, ya que menos de la CPU se requiere se requiere tiempo para copiar los
paquetes, menos espacio para amortiguar los paquetes, y por lo tanto tal vez menos paquetes se eliminará si el tráfico es muy pesado.
• Si no capturar todos los datos en un paquete puede encontrarse con que el paquete de datos que desea utilizar es en la parte que
cae o de que el reensamblaje no es posible ya que los datos necesarios para el rearmado no se encuentra.
Introduzca el tamaño del búfer que se utilizará durante la captura. Este es el tamaño del búfer del núcleo que mantendrá los paquetes
capturados, hasta que se escriben en el disco. Si se encuentra con gotas de paquetes, intente aumentar este valor.
Esta casilla de verificación le permite configurar la interfaz inalámbrica para capturar todo el tráfico que puede recibir, no sólo el tráfico en
el BSS a la que está asociada, lo que puede ocurrir incluso cuando se establece el modo promiscuo. También podría ser necesario para
activar esta opción con el fin de ver IEEE 802.11 cabeceras y / o información de radio a partir de los fotogramas capturados.
Filtro de captura
Este campo le permite especificar un filtro de captura. filtros de captura se pueden utilizar para limitar qué paquetes
62
son capturados a partir de la interfaz (s). filtros de captura se discuten con más detalle en Filtrando durante la captura . Su valor predeterminado es
También puede hacer clic en el [ Filtro capturar] botón y Wireshark mostrar el cuadro de diálogo “Filtros de captura” y permitirá crear y /
o seleccionar un filtro. Por favor mira Definir y guardar los filtros
Compilar BPF
Este botón le permite compilar el filtro de captura en código BPF y aparecerá una ventana que muestra el pseudo código resultante.
Esta ayuda puede en la comprensión del funcionamiento del filtro de captura que ha creado.
En la ventana izquierda se enumeran los nombres de interfaz. Los resultados de una interfaz individuales se muestran en la ventana de la derecha
cuando se selecciona.
Como un punto central para gestionar las interfaces de este cuadro de diálogo se compone de tres pestañas para añadir o eliminar interfaces.
63
Figura 30. El “Add New Interfaces” cuadro de diálogo
Para añadir con éxito una tubería, ya debe haberse creado esta tubería. Haga clic en el [ nuevo] botón y escriba el nombre de la tubería
incluyendo su paso. Alternativamente, el [ Examinar] botón se puede utilizar para localizar la tubería. Con el [ Salvar ] botón de la tubería se
añade a la lista de interfaces disponibles. Después, se pueden añadir otros tubos.
Para retirar un tubo de la lista de interfaces que primero tiene que ser seleccionado. A continuación, haga clic en el [ Borrar ]
botón.
64
Añadir u ocultar las interfaces locales
La pestaña “Local Interfaces” contiene una lista de las interfaces locales disponibles, incluyendo los escondidos, que no se muestran en las
otras listas.
Si se añade una nueva interfaz local, por ejemplo, una interfaz inalámbrica se ha activado, no se agrega automáticamente a la lista para
evitar el escaneo constante para un cambio en la lista de interfaces disponibles. Para renovar la lista a volver a examinar se puede hacer.
Una manera de ocultar una interfaz es cambiar las preferencias. Si la casilla de verificación “Ocultar” se activa y el [ Aplicar ] botón pulsado,
la interfaz no se verá en las listas de las “interfaces de captura” cuadro de diálogo más. Los cambios también se guardan en la preferencias archivo.
sesenta y cinco
Figura 33. El “Add New Interfaces - interfaces remotas” cuadro de diálogo
En esta pestaña se pueden agregar interfaces en hosts remotos. Una o más de estas interfaces se pueden ocultar. En contraste con las
Para eliminar un host incluyendo todas sus interfaces de la lista, tiene que ser seleccionado. A continuación, haga clic en el
[ Borrar ] botón.
Para una descripción detallada, véase El cuadro de diálogo “Interfaces de captura remota”
Además de hacer la captura en las interfaces locales Wireshark es capaz de alcanzar hacia fuera a través de la red a uno de los llamados procesos
NOTA Este cuadro de diálogo y capacidad sólo está disponible en Microsoft Windows. En Linux / Unix se puede lograr el
mismo efecto (con seguridad) a través de un túnel SSH.
El servicio de protocolo de captura remota de paquetes primero debe estar ejecutándose en la plataforma de destino antes de Wireshark puede
conectarse a él. La forma más sencilla es instalar Npcap de {npcap-download-url} en el objetivo. Una vez completada la instalación es ir al panel
de control de servicios, busque el servicio Protocolo de paquetes captura remota y ponerlo en marcha.
NOTA Asegúrese de que tiene acceso desde el exterior al puerto 2002 en la plataforma de destino. Este es el
puerto donde el servicio de protocolo de captura remota de paquetes puede ser alcanzado de manera predeterminada.
Para acceder a las interfaces de captura remota de diálogo utilizan el “Add New Interfaces - remoto” de diálogo. Ver
66
Interfaces de captura remota
Usted tiene que establecer los siguientes parámetros en este cuadro de diálogo:
Anfitrión
Introduzca la dirección IP o nombre de servidor de la plataforma de destino, donde el servicio de protocolo de paquetes captura remota
está escuchando. La lista desplegable contiene los anfitriones que han sido previamente contactados con éxito. La lista puede ser vaciado
por la elección de “Borrar lista” de la lista desplegable.
Puerto
Establecer el número de puerto en el que el servicio de protocolo de paquetes captura remota está escuchando. Deja abierta para utilizar el puerto por
defecto (2002).
autenticación nula
Seleccione esta opción si no necesita la autenticación a tener lugar una captura remota para ser iniciado. Esto depende de la plataforma de
destino. Configuración de la plataforma de destino como esto hace que sea inseguro.
autenticación de contraseña
Esta es la forma normal de la conexión a una plataforma de destino. Establecer las credenciales necesarias para conectarse al servicio de protocolo
La captura remota puede ser más ajustado para que coincida con su situación. Los [ Configuración remota ]
botón de El cuadro de diálogo “Editar la configuración de la interfaz” le da esta opción. Se aparece el cuadro de diálogo se muestra en la El cuadro de diálogo
67
Figura 35. La “Configuración de captura remotos” cuadro de diálogo
Esta opción establece un filtro de captura para que el tráfico fluya de vuelta desde el servicio de protocolo de paquetes de Wireshark
captura remota no es capturado, así y también enviar de vuelta. La recursividad en este satura el enlace con el tráfico duplicado.
Sólo se debe desactivar esto al capturar en una interfaz distinta de la interfaz de conexión de nuevo a Wireshark.
el control remoto y la captura de flujos de datos a través de una conexión TCP. Esta opción le permite elegir un flujo UDP para la transferencia
de datos.
Esta opción indica el servicio de protocolo de paquetes captura remota para devolver todos los paquetes capturados que han pasado el
filtro de captura. Esto no suele ser un problema en una sesión de captura remota con suficiente ancho de banda.
Esta opción limita el servicio de protocolo de paquetes captura remota para enviar sólo a un subconjunto de muestreo de los datos capturados, en términos
del número de paquetes. Esto permite la captura a través de una estrecha distancia sesión de captura de banda de una interfaz de mayor ancho de banda.
Esta opción limita el servicio de protocolo de paquetes captura remota para enviar sólo una muestra de sub de los datos capturados en términos de
tiempo. Esto permite la captura a través de una estrecha banda de sesión de captura de una interfaz de mayor ancho de banda.
Al seleccionar detalles en el menú de interfaz de captura, Wireshark aparece el “Detalles Interface” cuadro de diálogo como se muestra en El
cuadro de diálogo “Interfaz de Datos” . Aquí se muestran de diálogo diferentes características y estadísticas para la interfaz seleccionada.
68
NOTA Sólo Microsoft Windows
Este cuadro de diálogo sólo está disponible en Microsoft Windows
Mientras captura el motor captura libpcap subyacente se agarra los paquetes de la tarjeta de red y mantener los datos de paquete en un
(relativamente) pequeña tampón kernel. Estos datos se leen por Wireshark y se guarda en un archivo de captura.
Por defecto Wireshark guarda los paquetes en un archivo temporal. También puede decirle Wireshark para salvar a una específica ( “permanente”) y el
interruptor de archivo a un archivo diferente después de que haya transcurrido un tiempo determinado o un determinado número de paquetes han sido
69
Figura 37. Captura de opciones de salida
Trabajar con archivos de gran tamaño (varios cientos de MB) puede ser bastante lento. Si va a hacer una captura de largo
plazo o la captura de una red de tráfico de alta, pensar en usar una de las opciones “Archivos Múltiples”. Esto difundir los
PROPINA
paquetes capturados durante varios archivos más pequeños que pueden ser mucho más agradable para trabajar.
El uso de la opción “Varios archivos” puede cortar contexto la información relacionada. Wireshark mantiene información de contexto de los datos del
paquete cargado, por lo que puede informar de problemas relacionados con el contexto (como un error de corriente) y mantiene información acerca de los
protocolos relacionados con el contexto (por ejemplo, donde los datos se intercambian en la fase de establecimiento y sólo se hace referencia en los
paquetes posteriores). Ya que mantiene esta información sólo para el archivo cargado, usando uno de los modos de archivo múltiples pueden cortar estos
contextos. Si la fase de establecimiento se guarda en un archivo y las cosas que le gustaría ver es en otro, puede que no vea algunos de los datos
Información sobre las carpetas utilizadas para los archivos de captura se puede encontrar en Archivos y carpetas .
Tabla 16. modo de archivo de captura seleccionada por las opciones de captura
Nombre del archivo “Crear un nuevo “Usar una memoria Modo Resultando nombre de archivo (s) utilizado
70
archivo temporal único
Un archivo temporal será creado y utilizado (este es el valor por defecto). Después se detiene la captura de este archivo se puede guardar más tarde bajo un
Se utilizará un solo archivo de captura. Si desea colocar el nuevo archivo de captura en una carpeta específica elegir este modo.
Al igual que el modo “Single archivo con el nombre”, pero un nuevo archivo se crea y se utiliza después de alcanzar una de las múltiples condiciones de
Al igual que “varios archivos continuos”, llegando a uno de los varios archivos de cambiar las condiciones (uno de los “Archivo siguiente cada
...” valores), se pasa al siguiente archivo. Este será un archivo recién creado si el valor de “Ring buffer con n archivos” no se alcanza, de lo
contrario sustituir el más antiguo de los archivos utilizados anteriormente (formando así un “anillo”). + Este modo limitará el uso máximo de
disco, incluso para una cantidad ilimitada de datos de entrada de captura, sólo el mantenimiento de los últimos datos capturados.
En la mayoría de los casos usted no tendrá que modificar el tipo de cabecera de capa de enlace. Algunas excepciones son las siguientes:
Si va a capturar en un dispositivo Ethernet es posible que se le ofrece una selección de “Ethernet” o “DOCSIS”. Si va a capturar el tráfico de un
sistema de cable de Cisco Modem terminación que está poniendo el tráfico DOCSIS sobre la Ethernet para ser capturado, seleccione
Si va a capturar en un dispositivo 802.11 en algunas versiones de BSD es posible que se le ofrece una selección de “Ethernet” o “802.11”.
“Ethernet” hará que los paquetes capturados para tener falso ( “cocido”) Ethernet cabeceras. “802.11” hará que se encuentre en pleno IEEE
802.11 cabeceras. A menos que la captura necesita ser leído por una aplicación que no es compatible 802.11 cabeceras hay que
seleccionar “802.11”.
Si va a capturar en una tarjeta Endace DAG conectado a una línea serie síncrona es posible que se le ofrece una selección de “PPP a través
de serie” o “Cisco HDLC”. Si el protocolo en la línea serie es PPP, seleccione “PPP a través de serie” y si el protocolo en la línea serie es
HDLC de Cisco, seleccione “Cisco HDLC”.
Si va a capturar en una tarjeta Endace DAG conectado a una red ATM es posible que se le ofrece una selección de “RFC 1483 IP sobre
ATM” o “prima ATM Sun”. Si el único tráfico de ser capturado es el RFC 1483-LLC encapsulado IP, o si las necesidades de captura para ser
leído por una aplicación que no admite encabezados SunATM, seleccione “RFC 1483 IP sobre ATM”, de lo contrario seleccione “prima ATM
Sun ”.
soportes de Wireshark que limitan la captura de paquetes a los paquetes que coinciden con una filtro de captura. filtros de captura de Wireshark están escritos en
lenguaje de filtrado de libpcap. A continuación se muestra una descripción breve del filtro libpcap
71
La sintaxis del lenguaje. La documentación completa se puede encontrar en la página del manual pcap filtro . Usted puede encontrar muchos ejemplos
Usted entra en el filtro de captura en el campo “Filtro” del cuadro de diálogo Opciones de captura de Wireshark “”, como se muestra en El cuadro de diálogo
“Opciones de captura” .
Un filtro de captura toma la forma de una serie de expresiones primitivas conectadas por conjunciones ( y / o) y opcionalmente precedido por no:
Un ejemplo se muestra en Un filtro de captura para telnet que el tráfico capturas hacia y desde un host en particular .
Ejemplo 1. Un filtro de captura para telnet que el tráfico capturas hacia y desde un huésped particular
Un filtro de captura para telnet que el tráfico capturas hacia y desde un host en particular
Este tráfico telnet ejemplo se capturan a y desde el host 10.0.0.5, y muestra cómo usar dos primitivas y la y conjunción. Otro ejemplo se
muestra en Capturar todo el tráfico telnet no desde 10.0.0.5 Y muestra cómo capturar todo el tráfico telnet, excepto que a partir de 10.0.0.5.
Una primitiva es simplemente uno de los siguientes: [ src | dst] host <host>
Esta primitiva permite filtrar en una dirección IP o nombre de host. Puede preceder a la primitiva opcionalmente con la palabra clave src |
dst para especificar que usted está interesado únicamente en las direcciones de origen o de destino. Si estos no están presentes, serán
seleccionados los paquetes donde la dirección especificada aparece como el origen o la dirección de destino.
Esta primitiva que permite al filtro de direcciones de host Ethernet. Se puede incluir opcionalmente la palabra clave src | dst entre las
palabras clave éter y anfitrión para especificar que usted está interesado únicamente en las direcciones de origen o de destino. Si estos
no están presentes, serán seleccionados los paquetes donde la dirección especificada aparece en el origen o dirección de destino.
72
gateway host <host>
Esta primitiva que permite al filtro de paquetes que usa anfitrión como una puerta de enlace. Es decir, ¿dónde estaba la fuente o el
destino de Ethernet anfitrión pero ni la dirección de origen IP de destino ni era
anfitrión.
Esta primitiva permite filtrar por números de red. Puede preceder opcionalmente esta primitiva con la palabra clave src | dst para
especificar que usted está interesado sólo en una red de origen o destino. Si ninguno de estos están presentes, los paquetes serán
seleccionados que tienen la red especificada en el origen o dirección de destino. Además, puede especificar la máscara de red o el
prefijo CIDR para la red si son diferentes a las suyas.
Esta primitiva permite filtrar en números de puerto TCP y UDP. Puede preceder opcionalmente esta primitiva con las palabras clave src |
dst y TCP | UDP los cuales le permiten especificar que usted está interesado únicamente en los puertos de origen o destino y los
paquetes TCP o UDP, respectivamente. las palabras clave
TCP | UDP debe presentarse ante src | dst.
Si no se especifican, se seleccionarán los paquetes tanto para los protocolos TCP y UDP y cuando la dirección especificada aparece ya
sea en el campo de puerto de origen o destino.
Esta primitiva que permite a filtro en paquetes cuya longitud era de menos de o igual a la longitud especificada, o mayor que o igual a la
longitud especificada, respectivamente.
Esta primitiva que permite al filtro en el protocolo especificado, ya sea en la capa Ethernet o la capa IP.
Esta primitiva permite crear expresiones de filtro complejos que seleccionan bytes o rangos de bytes en los paquetes. Por favor,
consulte la página del PCAP-filtro en https://www.tcpdump.org/manpages/pcapfilter.7.html para más detalles.
Si Wireshark se está ejecutando de forma remota (por ejemplo, usando SSH, una ventana X11 exportado, un servidor de terminales, ...), el contenido remoto
tiene que ser transportados por la red, añadiendo una gran cantidad de paquetes (por lo general poco importantes) para el tráfico realmente interesante.
Para evitar esto, Wireshark trata de averiguar si está conectado de forma remota (examinado algunas variables de entorno específico) y crea
automáticamente un filtro de captura que coincide con los aspectos de la
73
conexión.
SSH_CONNECTION ( ssh)
SSH_CLIENT ( ssh)
<Nombre remoto>
MONITOR ( x11)
<Nombre remoto>
En Windows le pide al sistema operativo si se está ejecutando en un entorno de Servicios de Escritorio remoto.
Es posible que aparezca el siguiente cuadro de diálogo, mientras que una captura está ejecutando:
Este cuadro de diálogo muestra una lista de protocolos y de su actividad con el tiempo. Se puede activar a través de la “capture.show_info”
Una sesión de captura de ejecución será parado en una de las siguientes maneras:
4. Al presionar Ctrl + mi .
74
5. La captura se detendrá automáticamente si una de las Condiciones de parada se cumple, por ejemplo, el máximo
Una sesión de captura de funcionamiento se puede reiniciar con las mismas opciones de captura como la última vez, esto eliminará todos los
paquetes capturados previamente. Esto puede ser útil, si se capturan algunos paquetes interesante y no hay necesidad de mantenerlos.
Reinicio es una función de conveniencia y equivalente a una parada de captura tras un comienzo por la captura inmediata. Un reinicio puede
ser activado en una de las siguientes maneras:
75
Archivo de entrada, de salida, y prensa
Introducción
En este capítulo se describirá la entrada y salida de los datos de captura.
• paquetes de impresión
Wireshark puede leer en los archivos de captura previamente guardados. Para leerlos, sólo tiene que seleccionar el Archivo > Abierto
menú o barra de herramientas. Wireshark continuación, aparecerá el cuadro de diálogo “Abrir archivo”, que se discute con más detalle en El cuadro de
Puede abrir un archivo, simplemente arrastrando en su gestor de archivos y soltándolo en la ventana principal de
PROPINA
Wireshark. Sin embargo, arrastrar y soltar pueden no estar disponibles en todos los entornos de escritorio.
Si no ha guardado previamente el archivo de captura actual se le pide que lo haga para evitar la pérdida de datos. Esta advertencia se
puede desactivar en las preferencias.
Además de su formato de archivo nativo (pcapng), Wireshark puede leer y escribir archivos de captura de un gran número de otros
programas de captura de paquetes también. Ver Formatos de archivo de entrada para la lista de formatos de captura de Wireshark entiende.
El cuadro de diálogo “Abrir archivo de captura” le permite buscar un archivo de captura que contiene paquetes previamente capturados para
su visualización en Wireshark. Las siguientes secciones muestran algunos ejemplos del cuadro de diálogo Wireshark “Abrir archivo”. La
aparición de este cuadro de diálogo depende del sistema. Sin embargo, la funcionalidad debe ser la misma en los sistemas.
• Haga clic en el [ Abierto ] o [ OKAY ] botón para aceptar el archivo deseado y abrirlo.
• Haga clic en el [ Cancelar] botón para volver a Wireshark y se carga un archivo de captura.
76
extensiones Wireshark para el comportamiento estándar de estos cuadros de diálogo:
• Ver archivo de información de vista previa, como el tamaño del archivo y el número de paquetes en un un archivo de captura seleccionado.
• Especificar un filtro de pantalla con la [ filtro] botón y campo de filtro. Este filtro se utiliza al abrir el nuevo archivo. El fondo del campo de
texto se convierte en verde para una cadena de filtro válido y uno rojo para un inválido. Al hacer clic en el [ filtro] botón hace que
Wireshark para que aparezca el cuadro de diálogo “Filtros” (que se discute más adelante en Filtrado de paquetes mientras se visualiza ).
• Especifique qué tipo de resolución de nombres se va a realizar para todos los paquetes haciendo clic en uno de los “...” botones de resolución de nombres
de verificación. Los detalles sobre la resolución de nombres se pueden encontrar en Resolución de nombres .
Puede cambiar la configuración del filtro de visualización y resolución de nombres más adelante durante la visualización de los paquetes. Sin
PROPINA embargo, la carga de archivos de gran tamaño de captura puede tomar una cantidad significativa de tiempo extra si estos ajustes se cambian más
tarde, por lo que en tales situaciones, puede ser una buena idea establecer al menos el filtro para la exposición aquí.
77
Figura 39. “abierto” en Microsoft Windows
Este es el abierto de diálogo de archivos comunes de Windows - además de algunas extensiones de Wireshark.
• Los [ Ayuda ] botón le llevará a esta sección de esta “Guía del usuario”.
78
Figura 40. “Open” - Linux y UNIX
Este es el archivo de Gimp / GNOME diálogo abierto común además de algunas extensiones de Wireshark.
• Los [ +] botón le permite añadir un directorio seleccionado en el panel de la derecha a la lista de favoritos a la izquierda. Estos cambios
son persistentes.
• Los [ -] botón le permite eliminar un directorio seleccionado de la lista. Algunos artículos (como “Escritorio”) no pueden ser retirados de la
lista de favoritos.
• Si Wireshark no reconoce el archivo seleccionado como un archivo de captura que se atenuará la [ Abierto ]
botón.
Los siguientes formatos de archivo de otras herramientas de captura pueden ser abiertos por Wireshark:
• pcapng. Un flexible y extensible para el sucesor del formato libpcap. Wireshark 1.8 y posteriormente guardar archivos como pcapng por defecto.
Versiones anteriores a 1,8 libpcap usado.
• libpcap. El formato predeterminado utilizado por el libpcap biblioteca de captura de paquetes. Usado por tcpdump, _Snort, Nmap, ntop, y muchas otras
herramientas.
79
• microsoft monitor de red capturas
• La red general / Network Associates DOS-basada Sniffer captura (comprimido o sin comprimir)
• Nettl de HP-UX
• Gammu generada salida de texto de los teléfonos Nokia DCT3 en modo Netmonitor
80
• capturas de Apple PacketLogger
Puede que no sea posible leer algunos formatos que dependen de los tipos de paquetes capturados. capturas Ethernet suelen estar apoyados por la
mayoría de los formatos de archivo, pero puede que no sea posible leer otros tipos de paquetes, tales como PPP o IEEE 802.11 de todos los formatos de
archivo.
Puede guardar los paquetes capturados simplemente usando el Archivo > Guardar como… opción del menú. Se puede elegir qué paquetes para ahorrar y qué
No toda la información se guarda en un archivo de captura. Por ejemplo, la mayoría de los formatos de archivo no registran el número de paquetes perdidos.
El “Guardar Fichero de captura como” cuadro de diálogo le permite guardar la captura actual en un archivo. Las siguientes secciones muestran
algunos ejemplos de este cuadro de diálogo. La aparición de este cuadro de diálogo depende del sistema. Sin embargo, la funcionalidad debe ser
81
Figura 41. “Guardar” en Microsoft Windows
Este es el archivo comunes de Windows Guardar de diálogo con algunas extensiones adicionales de Wireshark.
• Si está disponible, el botón de “ayuda” le llevará a esta sección de esta “Guía del usuario”.
• Si usted no proporciona una extensión de archivo al nombre de archivo (por ejemplo, . PCAP ) Wireshark añadir la extensión de archivo estándar para
ese formato de archivo.
82
Figura 42. “Guardar” en Linux y UNIX
Este es el archivo común Gimp / GNOME diálogo Guardar con extensiones adicionales de Wireshark.
• Al hacer clic en el signo + en “Navegar por otras carpetas” le permitirá navegar por los archivos y carpetas del sistema de archivos.
1. Escriba el nombre del archivo que desea guardar los paquetes capturados en, como un nombre de archivo estándar en el sistema de archivos.
3. Seleccione el rango de los paquetes que desea guardar. Ver El marco de “paquetes Rango” .
83
4. Especificar el formato del archivo de captura guardada haciendo clic en la caída de Tipo de archivo cuadro de abajo. Puede elegir entre los tipos
Algunos formatos de captura pueden no estar disponibles dependiendo de los tipos de paquetes capturados.
PROPINA Puede convertir archivos de captura de un formato a otro mediante la lectura de un archivo de captura y la escritura a cabo
1. Haga clic en el [ Salvar ] o [ OKAY ] botón para aceptar el archivo seleccionado y guardar en ella. Si Wireshark tiene una
guardar los paquetes capturados en el archivo especificado se mostrará un cuadro de diálogo de error problema. Después de hacer clic en [ OKAY ] en ese
2. Haga clic en el [ Cancelar] botón para volver a Wireshark sin guardar los paquetes.
Wireshark puede guardar los datos de paquete en su formato de archivo nativo (pcapng) y en los formatos de archivos de otros analizadores de protocolo para que otras
ADVERTENCIA El ahorro del formato de archivo utilizado actualmente a un formato diferente puede reducir la precisión de fecha y
Los siguientes formatos de archivo se pueden guardar por Wireshark (con las extensiones de archivo conocidos):
• pcapng (* .pcapng). Un flexible y extensible para el sucesor del formato libpcap. Wireshark 1.8 y posteriormente guardar archivos como pcapng
por defecto. Versiones anteriores a 1,8 libpcap usado.
• libpcap, tcpdump y varias otras herramientas utilizando el formato de captura de tcpdump (* .pcap, *. cap, *. dmp)
Si o no las herramientas anteriores serán más útiles que Wireshark es una cuestión diferente ;-)
84
Analizadores de protocolo terceros fabricantes pueden requerir extensiones de archivo específicas
Wireshark examina el contenido de un archivo para determinar su tipo. Algunos otros analizadores de protocolo sólo miran
NOTA
a las extensiones de archivos. Por ejemplo, puede que tenga que utilizar el . gorra extensión con el fin de abrir un archivo
utilizando Oledor.
A veces es necesario combinar varios archivos de captura en una sola. Por ejemplo, esto puede ser útil si se ha capturado simultáneamente
desde múltiples interfaces a la vez (por ejemplo, utilizando múltiples instancias de Wireshark).
• Utilizar el Archivo > Unir Menú para abrir el cuadro de diálogo “Combinar”. Ver La “combinación con la captura de archivo” cuadro de diálogo . Este elemento de
• Utilizar arrastrar y soltar a soltar múltiples archivos en la ventana principal. Wireshark intentará fusionar los paquetes en orden
cronológico desde los archivos se redujo en un archivo temporal recién creado. Si se le cae un solo archivo que simplemente
reemplazará la captura existente.
• Utilizar el mergecap herramienta, una herramienta de línea de comandos para archivos de captura de mezcla. Esta herramienta proporciona la mayor cantidad de opciones a los
archivos de captura de mezcla. Ver mergecap: La fusión de varios archivos de captura en una sola para detalles.
Este cuadro de diálogo le permite seleccionar un archivo que se fusionan en el archivo cargado actualmente. Si los datos actuales no se ha guardado, se
La mayoría de los controles de este cuadro de diálogo funcionarán de la misma manera como se describe en el cuadro de diálogo “Abrir archivo de captura”, ver El cuadro de
Anteponer los paquetes desde el archivo seleccionado antes de que los paquetes cargados actualmente.
Combinar ambos los paquetes desde el archivo seleccionado y cargado actualmente en orden cronológico.
Añadir los paquetes desde el archivo seleccionado después de que los paquetes cargados actualmente.
85
Figura 43. “combinación” en Microsoft Windows
Este es el diálogo para abrir archivos de Windows común con extensiones adicionales de Wireshark.
86
Figura 44. “combinación” en Linux y UNIX
Este es el archivo de diálogo abierto Gimp / GNOME común con extensiones adicionales de Wireshark.
Wireshark puede leer en un volcado hexadecimal ASCII y escribir los datos que se describen en un archivo de captura libpcap temporal. Se
puede leer vertederos hexagonales con múltiples paquetes en ellos, y construir un archivo de captura de varios paquetes. También es capaz de
generar ficticia Ethernet, IP y UDP, TCP o SCTP cabeceras, con el fin de construir totalmente procesable paquete de vertederos de hexdumps
Wireshark entiende un hexdump de la forma generada por desde -ax -tx1 -v . En otras palabras, cada byte se muestra de forma individual y rodeado
de un espacio. Cada línea comienza con un desplazamiento que describe la posición en el paquete, cada paquete nuevo se inicia con un
desplazamiento de 0 y hay un espacio que separa el desplazamiento desde los siguientes bytes. El desplazamiento es un número hexadecimal
(también puede ser octal o decimal), de más de dos dígitos hexadecimales. A continuación se muestra un vertedero que se pueden importar:
87
000000 00 e0 6f 1e A7 05 00 10 ........ 000008 5a a0
B9 12 08 00 46 00 03 68 ........ 000010 00 00 00 00 2e
0a ....... . 000018 ee 33 0f 19 08 7f 0f 19 ........
No hay límite de la anchura o el número de bytes por línea. También el volcado de texto al final de la línea se ignora. número de bytes y hexagonales pueden
ser mayúsculas o minúsculas. Cualquier texto antes de la compensación se ignora, incluidos los caracteres de reenvío de correo electrónico>. Cualquier
línea de texto entre las líneas de cadena de bytes son ignorados. Los desplazamientos se utilizan para realizar un seguimiento de los bytes, por lo que las
compensaciones deben ser correctos. Cualquier línea que sólo tiene los bytes sin un líder en offset es ignorado. Un desplazamiento es reconocido como un
número hexadecimal más de dos caracteres. Cualquier texto después de que los bytes se tiene en cuenta (por ejemplo, el volcado de caracteres). También
se tienen en cuenta todos los números hexadecimales en este texto. Un desplazamiento de cero es indicativo de iniciar un nuevo paquete, por lo que un
único archivo de texto con una serie de hexdumps se puede convertir en una captura de paquetes con varios paquetes. Los paquetes pueden estar
precedidas por una marca de tiempo. Estos se interpretan de acuerdo con el formato dado. Si no es el primer paquete está marcado con la fecha con la hora
actual la importación se lleva a cabo. Múltiples paquetes se escriben con marcas de tiempo que difieren en un microsegundo cada uno. En general, la altura
de estas restricciones, Wireshark es bastante liberal sobre la lectura en hexdumps y ha sido probado con una variedad de salidas destrozados (incluyendo
reenviarse a través de correo electrónico varias veces, con ajuste de línea limitado etc.)
Hay un par de otras características especiales a la nota. Cualquier línea en la que la primera no está en blanco es # será ignorado como un
comentario. Cualquier línea con el principio # TEXT2PCAP es una directiva y las opciones pueden ser insertados después de este comando para
ser procesada por Wireshark. Actualmente no existen directivas implementadas. En el futuro estos pueden ser utilizados para dar más de grano
fino de control en el vertedero y la manera que debe ser procesada por ejemplo, marcas de tiempo, tipo de encapsulación etc. Wireshark
también permite al usuario leer en vertederos de datos a nivel de aplicación, mediante la inserción de maniquí L2, cabeceras L3 y L4 antes de
cada paquete. El usuario puede optar por insertar encabezados Ethernet, Ethernet e IP o Ethernet, IP y UDP / TCP / SCTP cabeceras antes de
cada paquete. Esto permite Wireshark o cualquier otro decodificador-paquete completo para manejar estos vertederos.
Este cuadro de diálogo le permite seleccionar un archivo de texto, que contiene un volcado hexadecimal de paquetes de datos, que importarse y establecer los parámetros de importación.
88
Figura 45. El cuadro de diálogo “Importar de Hex Dump”
Importar de
Determinar qué archivo de entrada tiene que ser importado y cómo se ha de interpretar.
La encapsulación
89
Nombre del archivo / Navegar
Introduzca el nombre del archivo de texto de importación. Puedes usar Vistazo para buscar un archivo.
compensaciones
Seleccionar la base de las compensaciones dadas en el archivo de texto de importación. Esto suele ser hexadecimal, decimal y octal, pero
también son compatibles. Seleccionar Ninguna cuando sólo los bytes están presentes. Estos se importan como un solo paquete.
formato de hora
Este es el especificador de formato utilizado para analizar las marcas de tiempo en el archivo de texto de importación. Se utiliza una sintaxis
simple para describir el formato de los sellos de tiempo, utilizando% H durante horas,% M para minuto,% S para segundo, etc. El HH sencillo:
MM: SS está cubierto por% T. Para una definición completa de la sintaxis de mirada strptime (3) . Si no hay marcas de tiempo en el archivo de
texto para importar deje este campo vacío y marcas de tiempo se genera en función del momento de la importación.
indicación de la dirección
Marque esta casilla si el archivo de texto de importación tiene indicadores de dirección antes de cada marco. Estos se encuentran en una línea separada antes de
tipo de encapsulación
Aquí puede seleccionar el tipo de marcos que va a importar. Todo esto depende de qué tipo de medio se toma el volcado a la importación.
En él se enumeran todos los tipos que Wireshark entiende, de manera que pase el contenido del archivo de captura para el disector
derecha.
cabecera ficticia
Cuando se selecciona la encapsulación de Ethernet hay que anteponer opción de cabeceras ficticias a los marcos de importación. Estos
encabezados pueden proporcionar las cabeceras Ethernet artificial, IP, UDP, TCP o SCTP o fragmentos de datos SCTP. Al seleccionar un
tipo de cabecera ficticia aplicables las entradas están habilitados, los demás están en gris y se utilizan los valores por defecto. Cuando el Wireshark
El usuario no puede estar interesado en las imágenes completas del archivo de texto, sólo la primera parte. Aquí puede definir la cantidad
de datos desde el inicio de la trama que desea importar. Si deja esta abierta al máximo se establece en 256kiB.
Una vez que todos los parámetros de entrada y de importación son de configuración Haga clic en [ import] para iniciar la importación. Si los datos actuales no se salvó
Cuando se haya completado, habrá un nuevo archivo de captura cargado con los marcos importados desde el archivo de texto.
90
Conjuntos de archivos
Cuando se utiliza la opción “varios archivos” mientras se hace una captura (ver: archivos de captura y modos de archivo ), Los datos de captura se distribuye en varios
Ya que puede llegar a ser tedioso trabajar con un conjunto de archivos a mano, Wireshark ofrece algunas características para manejar estos conjuntos de archivos de
Un nombre de archivo en un conjunto de archivos utiliza el formato Prefix_Number_DateTimeSuffix que podría ser algo como test_00001_20190714183910.pcap
. Todos los archivos de un recurso compartido de conjunto de archivos el mismo prefijo (por ejemplo, “prueba”) y el sufijo (por ejemplo, “.pcap”) y una parte
Para encontrar los archivos de un conjunto de archivos, Wireshark explora el directorio en el que reside actualmente cargados de archivos y controles
para los archivos que coinciden con el patrón de nombres (prefijo y sufijo) del archivo cargado actualmente.
Este simple mecanismo por lo general funciona bien pero tiene sus inconvenientes. Si varios conjuntos de archivos fueron capturadas con el mismo
prefijo y sufijo, Wireshark detectará como un único conjunto de archivos. Si los archivos se cambió el nombre o se distribuyen en varios directorios
Las siguientes funciones de la Archivo > Conjunto de archivos submenú están disponibles para trabajar con conjuntos de archivos en una forma conveniente:
• El cuadro de diálogo “Lista de archivos” aparecerá una lista de los archivos de Wireshark ha reconocidas como parte del conjunto de archivos actual.
91
Figura 46. El cuadro de diálogo “Lista de archivos”
• Nombre del archivo el nombre del archivo. Si hace clic en el (el botón de radio a la izquierda o) el nombre de archivo, el archivo actual se
cerrará y se abrirá el archivo de captura correspondiente.
La última línea contendrá información sobre el directorio usado actualmente en todos los archivos del conjunto de archivos se pueden encontrar.
El contenido de este cuadro de diálogo se actualiza cada vez que un archivo de captura se abre / cierra.
92
La exportación de datos
Wireshark ofrece varias formas y formatos de datos del paquete de exportación. En esta sección se describen las formas generales para exportar
datos desde la aplicación principal de Wireshark. Hay funciones más especializadas para datos específicos de exportación que se describen en otros
lugares.
Exportación de paquetes de datos en un archivo de texto ASCII, al igual que el formato utilizado para imprimir los paquetes.
Si a usted le gustaría ser capaz de importar cualquier paquete previamente exportadas de un archivo de texto sin formato, se
• Deshabilitar Editar > preferencias > protocolos > Datos “No muestra datos sobre diseccionado nuevo panel de Bytes del
PROPINA
paquete” preferencia. Más detalles se proporcionan en preferencias
93
Figura 47. El “Exportar como archivo de texto llano” cuadro de diálogo
• El “Exportar a archivo:” marco elige el archivo para exportar los datos de paquete a.
94
Figura 48. El “Exportar como archivo PostScript” cuadro de diálogo
• Exportar a un archivo: marco elige el archivo para exportar los datos de paquete a.
El “Exportar como CSV (valores separados por comas) del archivo” cuadro de diálogo
Resumen de exportación paquete en CSV, que se utiliza por ejemplo en los programas de hojas de cálculo con los datos / exportación im-.
• Exportar a un archivo: marco elige el archivo para exportar los datos de paquete a.
Exportación de paquetes bytes en C matrices lo que puede importar los datos del flujo en su propio programa C.
• Exportar a un archivo: marco elige el archivo para exportar los datos de paquete a.
95
El cuadro de diálogo “Exportar como PSML Archivo”
Exportación de paquetes de datos en PSML. Este es un formato basado en XML que incluye solamente el resumen de paquetes. La
www.nbee.org/doku.php?id=netpdl:psml_specification .
• Exportar a un archivo: marco elige el archivo para exportar los datos de paquete a.
No hay tal cosa como un marco de detalles del paquete de PSML de exportación, como el formato de paquetes se define por la especificación PSML.
Exportación de paquetes de datos en PDML. Este es un formato basado en XML que incluye los detalles del paquete. La especificación de archivo
96
La especificación PDML no es lanzado oficialmente y ejecución de la misma de Wireshark se encuentra todavía en un estado
NOTA beta temprana, así que por favor esperar cambios en futuras versiones de Wireshark.
• Exportar a un archivo: marco elige el archivo para exportar los datos de paquete a.
No hay tal cosa como un marco de detalles del paquete de PDML de exportación, como el formato de paquetes se define por la especificación PDML.
Exportar los bytes seleccionados en el panel “Bytes del paquete” en un archivo binario.
97
Figura 51. El “Exportar seleccionados Bytes por paquetes” cuadro de diálogo
• los Guardar en la carpeta: campo le permite seleccionar la carpeta para guardar a (de algunas carpetas predefinidas).
• Buscar otras carpetas proporciona una manera flexible para seleccionar una carpeta.
Esta característica exploraciones a través de las corrientes del protocolo seleccionado en el archivo de captura actualmente abiertos o en
funcionamiento captura y permite al usuario exportar objetos vuelto a montar en el disco. Por ejemplo, si selecciona HTTP, puede exportar
documentos HTML, imágenes, archivos ejecutables y otros archivos transferidos a través de HTTP en el disco. Si usted tiene una captura
consecutivo, en esta lista se actualiza automáticamente cada pocos segundos con los nuevos objetos vistos. Los objetos guardados se pueden
98
Figura 52. El “Exportar Objetos” cuadro de diálogo
columnas:
• Paquete: El número de paquete en el que se encontró que este objeto. En algunos casos, puede haber múltiples objetos en el mismo
paquete.
• nombre de host: El nombre de host del servidor que envió este objeto.
• Nombre del archivo: El nombre de archivo para este objeto. Cada protocolo genera el nombre de archivo diferente. Por ejemplo, HTTP utiliza la
parte final de la URI y el FMI utiliza el asunto del correo electrónico.
entradas:
• Filtro de Texto: Sólo muestra los objetos que contengan la cadena de texto especificada.
• Salvar a todos: Guarda todos los objetos (incluidos los que no se muestra) usando el nombre de archivo de la columna de nombre de archivo. Se le
pedirá que directorio / carpeta para guardarlas en.
• Salvar: Guarda el objeto seleccionado actualmente como un nombre de archivo que especifique. El nombre de archivo predeterminado para guardar como se toma de la columna
99
Impresión de paquetes
Para imprimir los paquetes, seleccione la Archivo > Impresión… opción del menú. Al hacer esto Wireshark aparece el “Imprimir” cuadro de diálogo como se muestra
• Texto sin formato Especifica que la impresión del paquete debe ser en texto plano.
• Posdata especifica que el proceso de impresión PostScript paquete debe utilizar para generar una mejor salida de impresión en impresoras
PostScript conscientes.
• Salida al archivo: especifica que la impresión se realiza en un fichero, usando el nombre de fichero introducido en el campo o seleccionado con el
botón Examinar.
Este campo es donde se introduce la archivo de impresión para imprimir si se ha seleccionado a un archivo, o puede hacer clic en el botón para navegar
100
¡Nota!
NOTA
Estas comando de impresión campos no están disponibles en las plataformas Windows.
Este campo especifica el comando a utilizar para la impresión. Es típicamente lpr . Se podría cambiarlo para especificar una cola
particular si necesita imprimir en una cola distinta de la predeterminada. Un ejemplo podría ser:
$ Lpr -Pmypostscript
Rango de paquetes
Seleccione los paquetes que desea imprimir, consulte El marco de “paquetes Rango”
Formato de paquete
Seleccionar el formato de salida de los paquetes que se desea imprimir. Se puede elegir, cómo se imprime cada paquete, vea El marco de “formato de
paquetes”
El marco gama de paquetes es una parte de varios cuadros de diálogo relacionados con la producción. Proporciona opciones para seleccionar qué paquetes
Si el [ capturado] botón se establece (predeterminado), se procesarán todos los paquetes de la regla seleccionada. Si el
[Demostraciones] botón se establece, sólo los paquetes que se muestran actualmente se tienen en cuenta para la regla seleccionada.
101
• Sólo paquete seleccionado procesar sólo el paquete seleccionado.
• Desde el primero al último paquete marcado procesar los paquetes desde el primero hasta el último marcado.
• Especificar una gama de paquetes procesar una especificada por el usuario gama de paquetes, por ejemplo, especificando 5,10-15,20- procesará el
número de paquetes de cinco, los paquetes de número de paquete de diez a quince (ambos inclusive) y cada paquete de número veinte hasta el final
de la captura.
102
Figura 55. El marco “Packet Format”
• línea de resumen de paquetes habilitar la salida de la línea de resumen, al igual que en el panel “Lista de paquetes”.
• Todo ampliado la información en el panel “Detalles del paquete” en “todo expandida” estado.
• paquete de bytes habilitar la salida de los bytes de paquetes, al igual que en el panel de “Bytes del paquete”.
• Cada paquete en una nueva página puesto que cada paquete en una página separada (por ejemplo, al guardar / imprimir en una
103
archivo de texto, esto va a poner un carácter de avance de entre los paquetes).
104
Trabajando sobre los paquetes capturados
muestran en el panel de lista de paquetes simplemente haciendo clic en un paquete en el panel de lista de paquetes, lo que traerá el paquete
A continuación, puede ampliar cualquier parte del árbol para ver información detallada sobre cada protocolo en cada paquete. Al hacer clic en un
elemento en el árbol destacará los bytes correspondientes en la vista de byte. Un ejemplo con un paquete TCP seleccionado se muestra en Wireshark
con un paquete TCP seleccionada para su visualización . También cuenta con el número de confirmación en el encabezado TCP seleccionada, que
También puede seleccionar y ver los paquetes de la misma manera, mientras que Wireshark es la captura de si se ha seleccionado “Actualizar lista de paquetes
Además puede ver los paquetes individuales en una ventana separada como se muestra en Visualización de un paquete en una ventana separada .
Usted puede hacer esto haciendo doble clic sobre un elemento de la lista de paquetes o seleccionando el paquete en el que está interesado en el panel
de lista de paquetes y seleccionar Ver > Mostrar paquetes en una nueva ventana. Esto le permite comparar fácilmente dos o más paquetes, incluso a
105
Figura 57. Visualización de un paquete en una ventana separada
Junto con hacer doble clic en la lista de paquetes y usando el menú principal hay una serie de otras formas de abrir una nueva ventana de
paquetes:
• Mantenga pulsada la tecla de mayúsculas y haga doble clic en un enlace de marco en los detalles del paquete.
• Desde Los elementos de menú del menú pop-up “de Detalles del paquete” .
Menús emergentes
Puede abrir un menú emergente sobre la “Lista de paquetes”, el título de la columna, “los detalles del paquete”, o “bytes” de paquetes haciendo clic con el
106
menú de la cabecera de la columna “Lista de paquetes” Figura 58. Pop-up
La siguiente tabla proporciona una visión general de las funciones que están disponibles en esta cabecera, dónde encontrar la función
Tabla 17. Los elementos de menú del menú emergente encabezado de la columna “Lista de paquetes”
ít Descripción
Preferencias de las columnas ... Abrir el cuadro de diálogo “Preferencias” para esta columna.
Editar columna Abra la barra de herramientas de editor de columnas para esta columna.
Contenido cambio de tamaño para Cambiar el tamaño de la columna para adaptarse a sus valores.
No., hora, la fuente, et al. Mostrar u ocultar una columna seleccionando su artículo.
Eliminar columna Eliminar esta columna, similar a eliminarlo en el cuadro de diálogo “Preferencias”.
107
menú del panel “Lista de paquetes” Figura 59. Pop-up
La siguiente tabla proporciona una visión general de las funciones que están disponibles en este panel, dónde encontrar la función
Tabla 18. Los elementos de menú del menú pop-up “Lista de paquetes”
ít Corres Descripción
pondin g
elemento del
menú
principal
No haga caso de paquetes (conmutación) Editar Ignorar o inspeccionar este paquete, mientras que la disección del archivo de captura.
(conmutación)
Cambio de hora Editar Abre el diálogo “Time Shift”, que le permite ajustar las marcas de tiempo de
algunos o todos los paquetes.
Comentario de paquetes ... Editar Abre el diálogo “Paquete comentario”, que le permite agregar un comentario a un solo paquete.
108
ít Corres Descripción
pondin g
elemento del
menú
principal
Editar nombre Resuelta Permite introducir un nombre para resolver la dirección seleccionada.
Aplicar como filtro Analizar Inmediatamente sustituir o añadir el filtro de visualización actual
basado en la lista de paquetes más reciente o datos de paquetes elemento seleccionado. El
primer elemento de submenú muestra el filtro y los artículos subsiguientes muestran las
Preparar un filtro Analizar Cambiar el filtro de visualización actual basado en la más reciente
Lista de paquetes o datos de paquetes elemento seleccionado, pero no la aplican. El primer
elemento de submenú muestra el filtro y los artículos subsiguientes muestran las diferentes
Filtro conversación Aplicar un filtro de pantalla con la información de dirección del paquete
seleccionado. Por ejemplo, la entrada del menú IP será establecer un filtro para
mostrar el tráfico entre las dos direcciones IP del paquete actual.
Conversación Colorear Crear una nueva regla colorizing basado en información de la dirección del paquete
seleccionado.
Seguir > corriente del TCP Analizar Abrir una ventana que muestra todos los segmentos TCP
capturado que están en la misma conexión TCP como un paquete
Seguir > UDP corriente Analizar La misma funcionalidad que “Follow TCP Stream”, pero para UDP
“Arroyos”.
Seguir > TLS corriente Analizar La misma funcionalidad que “Follow TCP Stream” pero para TLS o
SSL arroyos. Ver la página wiki en SSL para obtener instrucciones sobre proporcionando
claves TLS.
Seguir > HTTP corriente Analizar La misma funcionalidad que “Follow TCP Stream”, pero para HTTP
arroyos.
Dupdo > Resumen como texto Copiar los campos de resumen como se muestra en el portapapeles como texto separado por
tabuladores.
Dupdo > ... como CSV Copiar los campos de resumen como se muestra en el portapapeles como texto separado
por comas.
109
ít Corres Descripción
pondin g
elemento del
menú
principal
Dupdo > ... como YAML Copiar los campos de resumen como se muestra en el portapapeles como datos YAML.
Dupdo > Como Filtro Preparar un filtro de presentación en función del elemento seleccionado en ese momento y de la
Dupdo > Bytes como Hex Dump + ASCII Copiar el paquete de bytes en el portapapeles en formato completo “hexdump”.
Dupdo > ... como volcado hexadecimal Copiar los bytes de paquetes en el portapapeles en formato “hexdump”
sin la parte ASCII.
Dupdo > ... como texto para imprimir Copiar los bytes de paquetes en el portapapeles como texto ASCII, sin
caracteres no imprimibles.
Dupdo > ... como una corriente Hex Copiar los bytes de paquetes en el portapapeles como una lista unpunctuated de dígitos
hexadecimales.
Dupdo > ... como Raw binario Copiar los bytes de paquetes en el portapapeles como binario. Los datos se
Decode como ... Analizar Cambiar o aplicar una nueva relación entre dos disectores.
Mostrar paquetes en una ventana Ver Muestra el paquete seleccionado en una ventana separada. La ventana muestra
nueva separados sólo los detalles de paquetes y bytes. Ver Visualización de un paquete en una
110
menú del panel “Detalles del paquete” Figura 60. Pop-up
La siguiente tabla proporciona una visión general de las funciones que están disponibles en este panel, dónde encontrar la función
Tabla 19. Los elementos de menú del menú pop-up “de Detalles del paquete”
ít Corres Descripción
pondin g
elemento del
menú
principal
Expandir todo Ver Expandir todos los subárboles en todos los paquetes en la captura.
Desplegar todo Ver Wireshark mantiene una lista de todos los subárboles de protocolo que se
ampliado, y lo utiliza para asegurar que los sub-estructuras correctas se expanden cuando
se muestra un paquete. Este elemento de menú se derrumba la vista de árbol de todos los
Aplicar como Columna Utilice el elemento de protocolo seleccionado para crear una nueva columna en la lista de paquetes.
111
ít Corres Descripción
pondin g
elemento del
menú
principal
Aplicar como filtro Analizar Inmediatamente sustituir o añadir el filtro de visualización actual
basado en la lista de paquetes más reciente o datos de paquetes elemento seleccionado. El
primer elemento de submenú muestra el filtro y los artículos subsiguientes muestran las
Preparar un filtro Analizar Cambiar el filtro de visualización actual basado en la más reciente
Lista de paquetes o datos de paquetes elemento seleccionado, pero no la aplican. El primer
elemento de submenú muestra el filtro y los artículos subsiguientes muestran las diferentes
Colorear con Filtro Este elemento de menú utiliza un filtro de pantalla con la información del artículo
Seguir > corriente del TCP Analizar Abrir una ventana que muestra todos los segmentos TCP
capturado que están en la misma conexión TCP como un paquete
Seguir > UDP corriente Analizar La misma funcionalidad que “Follow TCP Stream”, pero para UDP
“Arroyos”.
Seguir > TLS corriente Analizar La misma funcionalidad que “Follow TCP Stream” pero para TLS o
SSL arroyos. Ver la página wiki en SSL para obtener instrucciones sobre proporcionando
claves TLS.
Seguir > HTTP corriente Analizar La misma funcionalidad que “Follow TCP Stream”, pero para HTTP
arroyos.
Dupdo > Todos los elementos visibles Editar Copiar los detalles del paquete como se muestra.
Dupdo > Todos los elementos seleccionados Editar Copiar el detalle del paquete seleccionado y sus hijos como se muestra.
visibles
Dupdo > Descripción Editar Copia el texto que se muestra del campo seleccionado al portapapeles del sistema.
Dupdo > Nombre del campo Editar Copiar el nombre del campo seleccionado al portapapeles del sistema.
Dupdo > Valor Editar Copiar el valor del campo seleccionado al portapapeles del sistema.
Dupdo > Como Filtro Editar Preparar un filtro de visualización basado en el elemento seleccionado y
copiarlo en el portapapeles.
112
ít Corres Descripción
pondin g
elemento del
menú
principal
Dupdo > Bytes como Hex Dump + ASCII Copiar el paquete de bytes en el portapapeles en formato completo “hexdump”.
Dupdo > ... como volcado hexadecimal Copiar los bytes de paquetes en el portapapeles en formato “hexdump”
sin la parte ASCII.
Dupdo > ... como texto para imprimir Copiar los bytes de paquetes en el portapapeles como texto ASCII, sin
caracteres no imprimibles.
Dupdo > ... como una corriente Hex Copiar los bytes de paquetes en el portapapeles como una lista unpunctuated de dígitos
hexadecimales.
Dupdo > ... como Raw binario Copiar los bytes de paquetes en el portapapeles como binario. Los datos se
Dupdo > ... como escapado de cuerdas Copiar los bytes de paquetes en el portapapeles como secuencias de escape de estilo C.
Bytes del paquete de exportación ... Archivo Este elemento de menú es el mismo que el elemento de menú Archivo del mismo nombre. Se
Protocolo wiki Página Mostrar la página wiki correspondiente al protocolo seleccionado en ese
Campo del filtro de referencia Mostrar la página web de referencia de campo de filtro correspondiente al protocolo
Decode como ... Analizar Cambiar o aplicar una nueva relación entre dos disectores.
Ir a paquetes Vinculado Ir Si el campo seleccionado tiene un paquete correspondiente, tal como la solicitud de
Vinculado mostrar paquetes en una Ir Si el campo seleccionado tiene un paquete correspondiente, tal como la solicitud de juego
ventana nueva para una respuesta DNS, mostrar el paquete seleccionado en una ventana separada. Ver Visualización
113
Figura 61. Menú emergente de los “bytes de paquetes” panel
La siguiente tabla proporciona una visión general de las funciones que están disponibles en este panel junto con una breve descripción de cada
elemento.
Tabla 20. Los elementos de menú del menú pop-up “Bytes del paquete”
ít Descripción
Copiar Bytes como Hex Dump + ASCII Copiar el paquete de bytes en el portapapeles en formato completo “hexdump”.
... como volcado hexadecimal Copiar los bytes de paquetes en el portapapeles en formato “hexdump” sin la parte ASCII.
... como texto para imprimir Copiar los bytes de paquetes en el portapapeles como texto ASCII, sin caracteres no
imprimibles.
... como una corriente Hex Copiar los bytes de paquetes en el portapapeles como una lista unpunctuated de dígitos hexadecimales.
... como Raw binario Copiar los bytes de paquetes en el portapapeles como binario. Los datos se almacenan en el
... como escapado de cuerdas Copiar los bytes de paquetes en el portapapeles como secuencias de escape de estilo C.
Mostrar bytes como hexadecimal Mostrar los datos de byte como dígitos hexadecimales.
Mostrar bytes como bits Mostrar los datos de byte como dígitos binarios.
114
ít Descripción
Mostrar texto basado en paquetes Mostrar los datos “hexdump” con el texto.
... como ASCII El uso de codificación ASCII cuando se muestra “hexdump” texto.
... como EBCDIC Uso EBCDIC codificación cuando se muestra “hexdump” texto.
Wireshark tiene dos lenguas de filtrado: filtros de captura y filtros de visualización. filtros de captura se utilizan para filtrar los paquetes cuando
la captura y se discuten en Filtrando durante la captura . filtros de visualización se utilizan para filtrar los paquetes que se muestran y se
comentan a continuación.
filtros de visualización permiten al usuario concentrarse en los paquetes que están interesados en al tiempo que oculta los que actualmente poco
• Protocolo
• La presencia de un campo
• … ¡y mucho más!
Para sólo los paquetes de visualización que contienen un protocolo particular, escriba el nombre del protocolo en la barra de herramientas de filtros de
visualización de la ventana de Wireshark y presiona entrar para aplicar el filtro. Filtrado en el protocolo TCP
muestra un ejemplo de lo que ocurre cuando se escribe tcp en la barra de herramientas de filtros de visualización.
No se olvide de prensa ENTER o haga clic en el botón Aplicar filtro de pantalla después de introducir la expresión de filtro.
NOTA
115
Figura 62. Filtrado en el protocolo TCP
Como se habrán dado cuenta, sólo los paquetes que contienen el protocolo TCP se muestran ahora, por lo que los paquetes 110 están ocultos y el número
NOTA Cuando se utiliza un filtro de pantalla, todos los paquetes permanecen en el archivo de captura. El filtro de visualización
sólo cambia la visualización del archivo de captura, pero no su contenido!
Para quitar el filtro, haga clic en el [ Claro ] botón a la derecha del campo de filtro de visualización. Todos los paquetes se harán visibles de nuevo.
filtros de visualización pueden ser muy potente y se analiza con más detalle en La construcción de las expresiones de filtro de visualización
También es posible crear filtros de visualización con el Expresión pantalla Filter caja de diálogo. Más información sobre el Expresión pantalla
Filter cuadro de diálogo está disponible en La “Expresión de filtro de pantalla” cuadro de diálogo .
Wireshark proporciona un lenguaje de filtros de visualización que le permite controlar con precisión qué paquetes se muestran. Pueden ser
utilizados para comprobar la presencia de un protocolo o de campo, el valor de un campo, o incluso comparar dos campos entre sí. Estas
comparaciones se pueden combinar con operadores lógicos, como "y" y "o", y los paréntesis en las expresiones complejas.
116
En las siguientes secciones se irán a la funcionalidad de filtro de pantalla con más detalle.
Hay muchos ejemplos de filtros de visualización en el página Filtro de presentación Wireshark Wiki a:
PROPINA
https://wiki.wireshark.org/DisplayFilters .
El filtro de visualización más simple es uno que muestra un único protocolo. Para sólo los paquetes de visualización que contienen un protocolo particular, escriba el protocolo en
la barra de herramientas de filtros de visualización de Wireshark. Por ejemplo, sólo para mostrar los paquetes TCP, tipo tcp en la barra de herramientas de filtros de visualización
de Wireshark. Del mismo modo, a sólo los paquetes de visualización que contienen un campo particular, escriba el campo en la barra de herramientas de filtros de visualización
de Wireshark. Por ejemplo, únicamente las peticiones de visualización HTTP, el tipo de http.request en la barra de herramientas de filtros de visualización de Wireshark.
Se puede filtrar por cualquier protocolo que soporta Wireshark. También puede filtrar por cualquier campo que un disector se suma a la vista de
árbol, si el disector ha añadido una abreviatura para ese campo. Una lista completa de los protocolos y campos disponibles está disponible a través
Usted puede construir filtros de visualización que comparan los valores con un número de diferentes operadores de comparación. Por
ejemplo, sólo para mostrar los paquetes hacia o desde la dirección de IP 192.168.0.1, el uso
ip.addr == 192.168.0.1 .
Una lista completa de los operadores de comparación disponibles se muestra en la operadores de comparación Mostrar filtros .
Inglés y C-como operadores son intercambiables y pueden ser mezclados dentro de una cadena de filtro.
PROPINA
igual a
117
Inglés C-como Descripción Ejemplo
una rebanada
contiene un valor
campo de texto
expresión regular
Perlcompatible
es cero
Todos los campos de protocolo tienen un tipo. Tipos de Campos Mostrar filtros proporciona una lista de los tipos de ejemplos de cómo utilizarlos en los filtros de
visualización.
Puede ser de 8, 16, 24, 32, o 64 bits. Usted puede expresar números enteros en decimal, octal o hexadecimal. Los siguientes filtros de visualización
son equivalentes:
ip.len le 1500
ip.len le 02734
ip.len le 0x5dc
Puede ser de 8, 16, 24, 32, o 64 bits. Al igual que con enteros sin signo puede utilizar decimal, octal o hexadecimal.
Boole
campo booleano está presente si su valor es verdadero o falso. Por ejemplo, tcp.flags.syn está presente en todos los paquetes TCP que
contienen la bandera, si la bandera SYN es 0 o 1. Para coincidir sólo paquetes TCP con el flag SYN, es necesario el uso tcp.flags.syn
== 1 .
dirección Ethernet
6 bytes separados por dos puntos (:), punto (), o un guión (-) con uno o dos bytes entre separadores.:
eth.dst == FF-FF-FF-FF-FF-FF
118
eth.dst == ffff.ffff.ffff
dirección IPv4
ip.addr == 192.168.0.1
Sin clase InterDomain Routing (CIDR) notación puede ser utilizado para probar si una dirección IPv4 es en una cierta subred. Por
ejemplo, este filtro de la pantalla encontrará todos los paquetes en la red 129.111 Clase-B:
ip.addr == 129.111.0.0/16
dirección IPv6
ipv6.addr == :: 1
Al igual que con las direcciones IPv4, las direcciones IPv6 pueden igualar una subred.
cadena de texto
http.request.uri == "https://www.wireshark.org/"
El filtro de pantalla por encima de los paquetes de los partidos que contiene la secuencia 3-byte 0x81, 0x60, 0x03 en cualquier lugar en la
El filtro de pantalla por encima de los partidos paquetes donde el SIP-Para cabecera contiene la cadena "a1762" en cualquier parte de la cabecera.
El filtro de pantalla encima de partidos HTTP paquetes donde la cabecera HOST contiene acme.org, acme.com, o acme.net. Las
comparaciones son mayúsculas y minúsculas.
tcp.flags y 0x02
Ese filtro de presentación coincidirá con todos los paquetes que contienen el campo “tcp.flags” con el bit 0x02, es decir, el bit SYN, set.
Puede combinar expresiones de filtro en Wireshark utilizando los operadores lógicos que se muestran en Operaciones lógicas Mostrar filtros
119
Operaciones lógicas Tabla 22. Pantalla de filtro
xor ^^ lógica XOR tr.dst [0: 3] == 0.6.29 xor tr.src [0: 3] == 0.6.29
no ! NO lógico no LLC
operador” a continuación.
Wireshark permite seleccionar una subsecuencia de una secuencia de formas más elaboradas. Después de una etiqueta se puede colocar un par de corchetes []
que contienen una lista separada por comas de especificadores rango separado.
El ejemplo anterior utiliza el n: formato m para especificar un único intervalo. En este caso n es el desplazamiento inicial y m es la longitud
de la gama que se especifica.
El ejemplo anterior utiliza el formato nm para especificar un rango único. En este caso, n es el desplazamiento inicial y m es el final offset.
El ejemplo anterior utiliza el formato: m, que tiene de todo, desde el comienzo de una secuencia de m offset. Es equivalente a 0: m
El ejemplo anterior utiliza el n: formato, que lleva todo, desde n desplazamiento hasta el final de la secuencia.
eth.src [2] == 83
120
El ejemplo anterior utiliza el formato de n para especificar un único intervalo. En este caso se selecciona el elemento en la secuencia a n
offset. Esto es equivalente a n: 1.
eth.src [0: 3,1-2,: 4,4:, 2] == 00: 00: 83: 00: 83: 00:
00: 83: 00: 20: 20: 83
Wireshark le permite cadena rangos juntos individuales en una lista separada por comas para formar rangos de compuestos como se muestra arriba.
operador de miembros
Wireshark permite probar un campo para ser miembro de un conjunto de valores o campos. Después de que el nombre de campo, utilice el en operador
seguido por los elementos de ajuste entre llaves {}. Por ejemplo, para mostrar los paquetes con una fuente TCP o puerto de destino de 80, 443,
o 8080, puede utilizar tcp.port en {} 80 443 8080 . El conjunto de valores también pueden contener gamas: tcp.port en {} 443 4430..4434 .
El filtro de visualización
es equivalente a
NOTA
tcp.port en {} 443 4430..4434
No es equivalente a
Esto se debe a que los operadores de comparación son satisfechas cuando ninguna campo coincide con el filtro, por lo que
un paquete con un puerto de origen y puerto de destino 56789 del puerto 80 también se correspondería con el segundo filtro
ya 56789> = 4430 && 80 <= 4434 es verdad. En contraste, el operador de miembros prueba un solo campo contra la
condición gama.
Conjuntos no se limita sólo a los números, otros tipos pueden ser utilizados también:
121
http.request.method en { "CABEZA" "GET"}
ip.addr en {10.0.0.5 10.0.0.9 .. 192.168.1.1..192.168.1.9} frame.time_delta en {10}
10,5 ..
funciones
El lenguaje de filtrado de pantalla cuenta con una serie de funciones para campos convertir, ver Funciones Display Filtrar .
Función Descripción
los Superior y inferior funciones se utiliza para forzar partidos mayúsculas y minúsculas: inferior (http.server) contiene "Apache" .
Para encontrar las peticiones HTTP a la petición URI largos: len (http.request.uri)> 100 . Tenga en cuenta que la len
Por lo general, un marco de IP sólo tiene dos direcciones (origen y destino), pero en caso de errores ICMP o un túnel, un solo paquete
podría contener incluso más direcciones. Estos paquetes se pueden encontrar con
count (ip.addr)> 2 .
los cuerda función convierte un valor de campo en una cadena, adecuados para su uso con los operadores como "coincidencias" o "contiene".
campos enteros se convierten en su representación decimal. Se puede utilizar con direcciones IP / Ethernet (así como otros), pero no con los
campos de cadena o bytes.
Por ejemplo, para que coincida con los números impares del marco:
Para que coincida con las direcciones IP que termina en 255 en un bloque de subredes (172.16 a 172.31):
string (ip.dst) coincide "^ 172 \ (1 [6-9] | 2 [0-9] | 3 [0-1]).. \ .. {1,3} \ 255"
122
Un error común con! =
Usando el operador! = En expresiones combinadas como eth.addr , ip.addr , tcp.port , y el puerto UDP probablemente no funcionará como se
espera. Wireshark mostrará la advertencia “ '! =' Está en desuso o puede tener resultados inesperados” cuando lo utiliza.
La gente a menudo utilizan una cadena de filtro como ip.addr == 1.2.3.4 para mostrar todos los paquetes que contienen la dirección IP 1.2.3.4.
Luego, utilizan ip.addr! = 1.2.3.4 esperando ver todos los paquetes que no contiene la dirección IP 1.2.3.4 en ella. Por desgracia, esto hace no hacer
lo esperado.
En cambio, la expresión de que incluso será cierto para los paquetes, donde es igual el origen o el destino de la dirección IP 1.2.3.4. La
razón de esto es porque la expresión ip.addr! = 1.2.3.4 se lee como “el paquete contiene un campo denominado ip.addr con un valor diferente
de 1.2.3.4”. Como un datagrama IP contiene tanto una fuente y una dirección de destino, la expresión se evaluará como true siempre que al
menos una de las dos direcciones difiere de 1.2.3.4.
Si desea filtrar todos los paquetes que contienen los datagramas IP hacia o desde la dirección IP 1.2.3.4, a continuación, el filtro es correcta ! ( ip.addr
== 1.2.3.4) ya que se lee “me muestran todos los paquetes para los que no es cierto que un campo denominado ip.addr existe con un valor de
1.2.3.4”, o en otras palabras, “filtrar todos los paquetes para los cuales no hay ocurrencias de un campo denominado ip.addr con el valor 1.2.3.4”
A medida que evolucionan los protocolos que a veces cambian de nombre o se sustituya por las normas más recientes. Por ejemplo, DHCP se
extiende y se ha sustituido en gran medida BOOTP y TLS ha sustituido SSL. Si un disector protocolo utilizado originalmente los nombres de más
edad y los campos para un protocolo del equipo de desarrollo de Wireshark puede actualizarlo a usar los nombres y los campos más nuevos. En
tales casos se va a agregar un alias del antiguo nombre del protocolo a la nueva con el fin de hacer más fácil la transición.
Por ejemplo, el disector DHCP fue desarrollado originalmente para el protocolo BOOTP pero a partir de 3,0 Wireshark todos los campos de
filtro de visualización “BOOTP” han cambiado de nombre a sus equivalentes “DHCP”. Puede seguir utilizando los viejos nombres de filtro,
por el momento, por ejemplo, “bootp.type” es equivalente a “dhcp.type”, pero Wireshark se mostrará la advertencia “ 'bootp.type' está en
desuso o puede tener resultados inesperados cuando se utiliza” eso. El apoyo a los campos obsoletos se puede retirar en el futuro.
Cuando usted está acostumbrado a sistema de filtrado de Wireshark y saber qué etiquetas que desea utilizar en los filtros puede ser muy rápida
simplemente escribir una cadena de filtro. Sin embargo, si usted es nuevo en Wireshark o está trabajando con un protocolo ligeramente
desconocida que puede ser muy confuso para tratar de averiguar qué escribir. El cuadro de diálogo “Filtro de presentación expresión” ayuda con
esto.
123
El cuadro de diálogo “Filtro de visualización de expresión” es una excelente manera de aprender cómo escribir las cadenas de filtros de visualización
PROPINA
de Wireshark.
La primera vez que aparezca el cuadro de diálogo Expresión de filtro de pantalla se le muestra un árbol de nombres de campo, organizado por el
Seleccione un campo de protocolo del árbol campo de protocolo. Cada protocolo con campos que se pueden filtrar aparece en el nivel superior.
(Puede buscar una entrada protocolo específico al ingresar las primeras letras del nombre de protocolo). Con la ampliación de un nombre de protocolo
puede obtener una lista de los nombres de los campos disponibles para el filtrado para ese protocolo.
Relación
Seleccionar una relación de la lista de la relación disponibles. los está presente es una relación unaria que es cierto si el campo seleccionado está
presente en un paquete. Todas las demás relaciones enumeradas son relaciones binarias que requieren datos adicionales (por ejemplo, una Valor para
Cuando se selecciona un campo de la lista de nombres de campo y selecciona una relación binaria (por ejemplo, la relación de igualdad ==)
se le dará la oportunidad de introducir un valor, y posiblemente alguna información gama.
124
Valor
Puede introducir un valor apropiado en el Valor caja de texto. los Valor También se indicará el tipo de valor para el nombre del campo que haya
Algunos de los campos de protocolo han predefinido los valores disponibles, al igual que la enumeración de C. Si en el campo de protocolo
Distancia
Una gama de números enteros o un grupo de gamas, por ejemplo 1-12 o 39-42,98-2000 .
Okay
Cuando se han construido una expresión satisfactoria clic [ OKAY ] y una cadena de filtro se construirá para usted.
Cancelar
Puede dejar el “añadir expresión ...” cuadro de diálogo sin ningún efecto haciendo clic en el [ Cancelar]
botón.
Para definir un nuevo filtro o modificar una existente, seleccione Capturar > Filtros de captura ... o Analizar >
Mostrar filtros .... Wireshark continuación, aparecerá el cuadro de diálogo Filtros como se muestra en La “captura” y “Filtros de visualización Filtros” cuadros
de diálogo .
Los mecanismos para definir y guardar los filtros de captura y filtros de visualización son casi idénticos. Ambos se describirá aquí, pero las
diferencias entre estos dos serán marcados como tal.
Debes usar [ Salvar ] para guardar los filtros de forma permanente. [ OKAY ] o [ Aplicar ] no guardará los filtros y
ADVERTENCIA
se perderán cuando se cierra Wireshark.
125
Figura 64. la “captura Filtros” y “Mostrar filtros” cuadros de diálogo
Nuevo
Este botón añade un nuevo filtro a la lista de filtros. Se utilizarán los valores introducidos actualmente de Nombre del filtro y la cadena de filtro.
Borrar
Este botón elimina el filtro seleccionado. Se estará deshabilitado si se ha seleccionado ningún filtro.
Filtrar
Se puede seleccionar un filtro de esta lista (que se complete el nombre del filtro y el filtro de cadena en los campos de abajo en la parte inferior del
cuadro de diálogo).
Filtro:
El nombre del filtro sólo se utilizará en este cuadro de diálogo para identificar el filtro para su conveniencia, no va a ser utilizado en otros
lugares. Se pueden añadir varios filtros con el mismo nombre, pero esto no es muy útil.
126
cadena de filtro:
Puede cambiar la cadena de filtro del filtro seleccionado aquí. Filtro de presentación única: la cadena será comprobado la sintaxis
mientras escribe.
Sólo pantalla Filter: Este botón abre el cuadro de diálogo Expresión que ayuda en la construcción de cadenas de filtro. Puede encontrar
más información sobre el diálogo Añadir Expresión en La “Expresión de filtro de pantalla” cuadro de diálogo
Okay
Sólo pantalla Filter: Este botón se aplica el filtro seleccionado a la pantalla actual y cierra el diálogo.
Aplicar
Sólo pantalla Filter: Este botón se aplica el filtro seleccionado a la pantalla actual, y deja el diálogo abierto.
Salvar
Guardar la configuración actual en este diálogo. La ubicación y el formato de archivo se explica en Archivos y carpetas .
Cerca
Se pueden definir macros de filtro con Wireshark y dar a los etiqueta para su uso posterior. Esto puede ahorrar tiempo en recordar y volver a
Búsqueda de paquetes
Usted puede encontrar fácilmente los paquetes una vez que han capturado algunos paquetes o ha leído en un archivo de captura guardado previamente. Sólo tiene que
seleccionar Editar > Buscar Paquete ... en el menú principal. Wireshark se abrirá una barra de herramientas entre la barra de herramientas principal y la lista de paquetes se
127
Puede buscar utilizando los siguientes criterios:
filtro de visualización
Introduzca una cadena de filtros de visualización en el campo de entrada de texto y haga clic en el [ Encontrar ] botón. + Por ejemplo, para encontrar el
enlace de tres vías para una conexión desde el host 192.168.0.1, utilice la siguiente cadena de filtro:
El valor que se busca será comprobado la sintaxis mientras se escribe en. Si la comprobación de sintaxis del valor de su éxito, el fondo
del campo de entrada se pondrá verde, si falla, se vuelve rojo. Para más detalles ver Filtrado de paquetes mientras se visualiza
Valor hexadecimal
Por ejemplo, el uso de “ef: bb: bf” para encontrar el siguiente paquete que contiene el marca de orden de bytes UTF-8 .
Cuerda
Expresión regular
Buscar los datos del paquete usando expresiones regulares compatibles con Perl . PCRE patrones están más allá del alcance de este
documento, pero escribir “prueba pcre” en su motor de búsqueda favorito debería devolver un número de sitios que le ayudarán a probar y
explorar sus expresiones.
Ir a un paquete específico
Se puede saltar fácilmente a paquetes específicos con uno de los elementos de menú del Ir menú.
La “Retroceder” Comando
Volver atrás en la historia de paquetes, que funciona al igual que el historial de la página en la mayoría de los navegadores web.
El “Adelante” Comando
Ir hacia adelante en la historia de paquetes, que funciona al igual que el historial de la página en la mayoría de los navegadores web.
128
Figura 66. La barra de herramientas “ir a paquetes”
Esta barra de herramientas se puede abrir seleccionando Ir > Ir a paquetes ... en el menú principal. Al parecer, entre la barra de herramientas principal y la
Cuando se introduce un número de paquete y pulse [ Ir a paquetes] Wireshark saltará a ese paquete.
Si se selecciona un campo de protocolo que apunta a otro paquete en el archivo de captura, este comando saltará a ese paquete.
A medida que estos campos de protocolo ahora funcionan como enlaces (al igual que en el navegador web), que es más fácil simplemente hacer doble clic en el
Puede marcar los paquetes en el panel “Lista de paquetes”. Un paquete marcado se mostrará con el fondo negro, independientemente de las normas
establecidas para colorear. Marcando un paquete puede ser útil para encontrar más tarde, mientras que el análisis de un archivo de captura de gran tamaño.
información del paquete de marcado no se almacena en el archivo de captura o en cualquier otro lugar. Se pierde cuando el archivo de captura está cerrado.
Puede utilizar el marcado de paquetes para controlar la salida de los paquetes al guardar, exportar o imprimir. Para ello, una opción en la gama
Hay varias maneras de marcar y desmarcar los paquetes. Desde el Editar menú se puede seleccionar entre los siguientes:
• Desmarcar marca de paquetes / alterna el estado marcado de un solo paquete. Esta opción también está disponible en el menú contextual de lista de
paquetes.
• Marcar todo visualiza establecer el estado de señal de todos los paquetes que se muestran.
129
• Desmarcar todo visualiza restablecer el estado de señal de todos los paquetes.
También puede marcar y desmarcar un paquete haciendo clic en él en la lista de paquetes con el botón central del ratón.
Puede pasar por alto los paquetes en el panel “Lista de paquetes”. Wireshark luego pretender que no existen en el archivo de captura. Un paquete
ignorado se mostrará con el fondo blanco y gris en primer plano, independientemente de las normas establecidas para colorear.
información del paquete ignorado no se almacena en el archivo de captura o en cualquier otro lugar. Se pierde cuando el archivo de captura está cerrado.
Hay varias maneras de hacer caso omiso de los paquetes y Desactivar. Desde el Editar menú se puede seleccionar entre los siguientes:
• Ignorar / Desactivar paquetes alterna el estado ignorado de un único paquete. Esta opción también está disponible en el menú contextual de
lista de paquetes.
• Ignorar todo visualiza establecer el estado ignorado de todos los paquetes que se muestran.
Mientras que los paquetes son capturados, cada paquete está marcado con la fecha. Estas marcas de tiempo se guardarán en el archivo de captura, por lo que
Una descripción detallada de marcas de tiempo, zonas horarias y por igual se puede encontrar en: Las marcas de tiempo .
El formato de presentación de marca de tiempo y la precisión en la lista de paquetes puede ser elegido con el menú Ver, ver El menú “Ver” .
• Fecha y Hora del día: 1970-01-01 01: 02: 03,123456 La fecha y tiempo absolutos del día cuando fue capturado el paquete.
• Hora del día: 01: 02: 03,123456 El tiempo absoluto del día en que se capturó el paquete.
• Segundos desde el inicio de la captura: 123.123456 El tiempo en relación con el inicio del archivo de captura o el primer “Tiempo de
referencia” antes de este paquete (ver Tiempo de paquetes Referencing ).
• Segundos desde el paquete capturado Anterior: 1.123456 El tiempo en relación con el paquete capturado anterior.
• Desde segundos paquetes producidas Anterior: 1.123456 El tiempo en relación con el paquete que se muestra anterior.
130
• Segundos desde Epoch (1970-01-01): 1234567890.123456 El tiempo relativo de época (medianoche GMT del 1 de enero, 1970).
Las precisiones disponibles (. Alias el número de decimales que se muestran) son:
• Automático (de archivo de captura) Se utilizará la marca de tiempo de precisión del formato de archivo de captura cargado (el valor por defecto).
Precisión ejemplo: Si usted tiene una marca de tiempo y de que se muestre el uso de “segundos desde el paquete anterior” el valor podría
ser 1.123456. Esto se mostrará mediante el ajuste “automático” para los archivos de libpcap (que es microsegundos). Si utiliza segundos
sería una muestra de sólo 1 y si se utiliza nanosegundos se muestra 1,123456000.
El usuario puede establecer las referencias de tiempo a los paquetes. Una referencia de tiempo es el punto de partida para todos los cálculos de tiempo de
paquetes subsiguientes. Será de gran utilidad, si desea ver los valores de tiempo relativos a un paquete especial, por ejemplo, el inicio de una nueva solicitud. Es
Las referencias de tiempo no se guardarán de forma permanente y se perderán cuando se cierra el archivo de captura.
referenciación tiempo sólo será útil si el formato de visualización de la hora se establece en “segundos desde el inicio de la captura”. Si se utiliza uno
de los otros formatos de visualización de tiempo, el tiempo de referencia no tendrá ningún efecto (y no tendrá sentido tampoco).
Para trabajar con referencias de tiempo, seleccione una de las Referencia de tiempo artículos en el menú: Menú [Editar] o desde el menú
• Establecer tiempo de referencia (conmutación) Alterna el estado de referencia de tiempo del paquete actualmente seleccionado a encendido o apagado.
• Buscar siguiente Encuentra la próxima vez paquete de referencia en el panel “Lista de paquetes”.
• Buscar anterior Encontrar el tiempo anterior de paquetes que se hace referencia en el panel “Lista de paquetes”.
131
Figura 67. Wireshark que muestra un paquete de tiempo de referencia
Un paquete de tiempo de referencia será marcado con la cadena * * REF en la columna Tiempo (ver número de paquete 10). Todos los paquetes
132
Temas avanzados
Introducción
En este capítulo se describen algunas de las características avanzadas de Wireshark.
Puede ser muy útil para ver un protocolo en la forma en que la capa de aplicación lo ve. Tal vez que busca contraseñas en una corriente de
Telnet, o si está tratando de hacer sentido de un flujo de datos. Tal vez sólo necesita un filtro de presentación para mostrar sólo los paquetes
en un flujo de TLS o SSL. Si es así, la capacidad de Wireshark para flujos de protocolo de seguimiento será útil para usted.
Sólo tiene que seleccionar una red TCP, UDP, TLS o HTTP paquete en la lista de paquetes de la corriente / conexión que está interesado y luego
seleccionar la opción de menú Follow TCP corriente en el menú Herramientas Wireshark (o utilizar el menú contextual de la lista de paquetes) .
Wireshark establecer un filtro de pantalla apropiado y aparecerá un cuadro de diálogo con todos los datos del flujo TCP establecidos con el fin,
Después de una secuencia del protocolo se aplica un filtro de presentación que selecciona todos los paquetes en el flujo de
corriente. Algunas personas abren el diálogo “Follow TCP Stream” y cierre de inmediato como una forma rápida para aislar una
PROPINA
corriente particular. Cerrar el diálogo con el botón “Volver” se restablecerá el filtro de pantalla si no se desea este
comportamiento.
El contenido de flujo se muestra en la misma secuencia que apareció en la red. Tráfico de A a B está marcada en rojo, mientras que el
tráfico de B a A está marcado en azul. Si lo desea, puede cambiar estos colores en la página “fuente y los colores” en el diálogo
“Preferencias”.
133
Los caracteres no imprimibles serán reemplazados por puntos.
El contenido de la corriente no se actualizará mientras se hace una captura en vivo. Para obtener el contenido más reciente que tendrá que volver a abrir el
diálogo.
[ Ayuda ]
Aplicar un filtro de eliminación de pantalla los datos del flujo de corriente de la pantalla.
[ Impresión ]
[ Guardar como… ]
[ Atrás ]
[ Cerca ]
Cerrar este cuadro de diálogo, dejando el filtro de visualización vigente en ese momento.
Por defecto se muestran los datos de ambas direcciones. Se puede seleccionar el conversación entera Para cambiar entre ambos, el cliente al servidor,
ASCII
En esta vista se ven los datos de cada dirección en ASCII. Obviamente mejor para protocolos basados en ASCII, por ejemplo HTTP.
C matrices
EBCDIC
volcado hexadecimal
Esto le permite ver todos los datos. Esto requerirá una gran cantidad de espacio en la pantalla y se utiliza mejor con los protocolos binarios.
UTF-8
134
UTF-16
YAML
Crudo
Esto le permite cargar los datos del flujo inalterados en un programa diferente para un examen más detenido. La pantalla se verá el
mismo que el ajuste ASCII, pero “Guardar como” resultará en un archivo binario.
Puede buscar texto introduciéndolo en el cuadro de entrada “Buscar” y pulsando [ Buscar siguiente].
La ventana de HTTP / 2 Stream es similar al diálogo "Follow TCP Stream", a excepción de un campo de diálogo adicional "Substream".
HTTP / 2 están identificados por un / 2 Índice de corriente (nombre del campo HTTP
http2.streamid ) que son únicos dentro de una conexión TCP. El selector de “Stream” determina la conexión TCP mientras que el selector “Substream” se
El protocolo QUIC es similar, el primer número selecciona el índice de flujo de UDP mientras que los selecciona de campo "parcial" la QUIC de Identificación de
Corriente.
Si un campo de paquete seleccionado no muestra todos los bytes (es decir, que se truncan cuando se muestra) o si se muestran como bytes en
lugar de cadena o si se requieren más de formato, ya que contienen una imagen o HTML, entonces este cuadro de diálogo se puede utilizar.
Este diálogo también se puede utilizar para bytes de campo de decodificación de base64, Zlib comprimido o citado imprimible
135
y mostrar los bytes decodificados como salida configurable. También es posible seleccionar un subconjunto de bytes de ajuste del byte de inicio y
final de bytes.
[ Ayuda ]
[ Impresión ]
[ Dupdo ]
[ Guardar como ]
[ Cerca ]
Usted puede elegir para decodificar los datos de uno de los siguientes formatos:
Ninguna
base64
Comprimido
Entre comilla
ROT-13
ASCII
En esta vista se ve como los bytes ASCII. Todos los caracteres de control y bytes no ASCII se sustituyen por puntos.
ASCII y Control
En este ver todos los caracteres de control se muestran utilizando un símbolo UTF-8 y todos los bytes no ASCII se sustituyen por punto.
136
C matriz
EBCDIC
hex Dump
Esto le permite ver todos los datos. Esto requerirá una gran cantidad de espacio en la pantalla y se utiliza mejor con los protocolos binarios.
HTML
Esto le permite ver todos los datos formateados como un documento HTML. El HTML soportado es lo que está apoyado por la clase Qt
QTextEdit.
Imagen
Esto va a tratar de convertir los bytes en una imagen. La mayoría de los formatos más populares son soportados incluyendo PNG, JPEG, GIF y
BMP.
ISO 8859-1
Crudo
Esto le permite cargar los datos del flujo inalterados en un programa diferente para un examen más detenido. La pantalla mostrará los
datos HEX, pero “Guardar como” resultará en un archivo binario.
UTF-8
UTF-16
YAML
Puede buscar texto introduciéndolo en el cuadro de entrada “Buscar” y pulsando [ Buscar siguiente].
Información de expertos
Las informaciones de expertos es una especie de registro de las anomalías encontradas por Wireshark en un archivo de captura.
La idea general detrás de la siguiente “Información de expertos” es tener una mejor visualización del comportamiento de la red “raro” o simplemente
notable. De esta manera, los usuarios novatos como expertos se espera encontrar problemas en la red probables mucho más rápido, en comparación
137
Info expertos son sólo un indicio
ADVERTENCIA Tome informaciones de expertos como una pista de lo que vale la pena mirar, pero no más. Por ejemplo, la ausencia de
La cantidad de informaciones sobre expertos depende en gran medida del protocolo utilizado. Mientras que algunos protocolos comunes, como TCP / IP mostrarán
informaciones detalladas expertos, más otros protocolos actualmente no mostrarán ningún informaciones expertos en absoluto.
A continuación se describen en primer lugar los componentes de una única información de expertos, a continuación, la interfaz de usuario.
Cada experto información contendrá las siguientes cosas que se describirán en detalle más adelante.
(RST)
(se sospecha)
Gravedad
Cada información experto tiene un nivel de gravedad específica. Se utilizan los siguientes niveles de gravedad, entre paréntesis son los colores en los
• Chat (gris): información sobre el flujo de trabajo habitual, por ejemplo un paquete TCP con el indicador SYN
• Nota (cian): cosas notables, por ejemplo, una aplicación devuelve un código de error “habitual” como HTTP 404
• Advertir (amarillo): advertencia, por ejemplo, la aplicación devuelve un código de error “inusual” como un problema de conexión
Grupo
• Secuencia: secuencia de protocolo sospechoso, por ejemplo, secuencia no era continuo o se detectó una retransmisión o ...
138
• Código de respuesta: problema con el código de respuesta de la aplicación, por ejemplo HTTP 404 página no encontrada
• Código de solicitud: una solicitud de aplicación (por ejemplo, identificador de archivo == x), el nivel general de Chat
• no decodificado: disector incompletos o los datos no pueden ser decodificados por otras razones
• Vuelva a montar: mientras que los problemas de volver a montar, por ejemplo, no todos los fragmentos estaban disponibles o una excepción ocurrió mientras volver a
montar
• Protocolo: violación de las especificaciones de protocolo (por ejemplo, valores de campo no válido o longitudes ilegales), la disección de este paquete es probablemente
continuó
• Malformado: paquete mal formado o diseccionador tiene un error, la disección de este paquete abortada
Protocolo
Resumen
Cada información experto también tendrá un texto adicional corta con una explicación más detallada.
Puede abrir el diálogo de información de expertos seleccionando Analizar > Información de expertos.
Una manera fácil y rápida de encontrar las informaciones más interesantes (en lugar de utilizar la pestaña Detalles), es tener un vistazo a las pestañas separadas
para cada nivel de gravedad. A medida que la etiqueta de la pestaña también contiene el número de entradas existentes, es fácil de encontrar en la pestaña con
139
Por lo general hay una gran cantidad de informaciones expertos idénticas solamente difieren en el número de paquete. Estas informaciones idénticas serán combinadas
en una sola línea - con la proyección columna de recuento de la frecuencia con que aparecen en el fichero de captura. Al hacer clic en los espectáculos de signo más
pestaña detalles
La pestaña Detalles proporciona las informaciones de expertos en un “registro como” punto de vista, cada entrada en su propia línea (al igual que la lista de paquetes).
A medida que la cantidad de informaciones de expertos para un archivo de captura puede fácilmente llegar a ser muy grande, tener una idea de las informaciones
interesantes con este punto de vista puede tomar un buen tiempo. La ventaja de esta ficha es tener todas las entradas en el orden en el que aparecen, a veces esto es
El campo de protocolo causando una información de expertos está coloreada, por ejemplo, utiliza un fondo cian para un nivel de gravedad nota. Este color se
propaga al elemento de protocolo de nivel superior en el árbol, por lo que es fácil encontrar el campo que causó la información de expertos.
Para el ejemplo de captura de pantalla anterior, la IP “Tiempo de vivir” el valor es muy bajo (sólo 1), por lo que el campo de protocolo correspondiente
está marcado con un fondo cian. Para encontrar más fácil que un elemento del árbol de paquetes, el elemento de protocolo de nivel superior IP está
140
Figura 72. La columna de lista de paquetes “Expert”
Una columna de la lista de paquetes opcionales “Información de expertos Gravedad” está disponible que muestra la gravedad del más significativo de un
paquete o no, queda vacio si todo parece estar bien. Esta columna no se visualiza por defecto, pero se puede añadir fácilmente utilizando la página de
Análisis TCP
Por defecto, TCP disector de Wireshark seguimiento del estado de cada sesión TCP y proporciona información adicional cuando se detectan
problemas reales o potenciales. El análisis se realiza una vez por cada paquete TCP cuando primero se abre un archivo de captura. Los
paquetes se procesan en el orden en el que aparecen en la lista de paquetes. Puede activar o desactivar esta función a través de la “Analizar
los números de secuencia TCP” preferencia TCP de disección.
Para el análisis de los datos o protocolos en capas en la parte superior de TCP (por ejemplo, HTTP), ver TCP reensamblado .
banderas Análisis TCP se añaden al árbol protocolo TCP en “análisis SEQ / ACK”. Cada bandera se describe a continuación. Términos tales
como “número de secuencia esperado próximo” y “número de reconocimiento junto espera” se refieren a lo siguiente”:
141
El último visto número de secuencia más segmento de longitud. Establecen cuando no hay banderas de análisis y para las sondas de ventana
cero. Esto es inicialmente cero y calculado basado en el paquete anterior en el mismo flujo de TCP. Tenga en cuenta que esto puede no ser el
El último visto número de secuencia para segmentos. Establecen cuando no hay banderas de análisis y para las sondas de ventana cero.
Ajuste siempre. Tenga en cuenta que esto no es el mismo que el siguiente número de acuse de recibo esperado.
Siempre actualizado para cada paquete. Tenga en cuenta que esto no es el mismo que el siguiente número de acuse de recibo
esperado.
Set cuando el siguiente número de acuse de recibo esperado se establece para la dirección inversa y es menor que el número de acuse de
recibo actual.
• El número de secuencia siguiente esperado y el número-visto por última vez reconocimiento no son cero (es decir, se ha establecido la
conexión).
• En la dirección de avance, el tamaño de segmento es mayor que cero o el SYN o FIN es set.
142
TCP Keep-Alive
Set cuando el tamaño de segmento es cero o uno, es de un byte menos que el número de secuencia siguiente era de esperar, y cualquiera de SYN, FIN,
• El número de reconocimiento actual es el mismo que el número de reconocimiento visto por última vez.
TCP Out-Of-Order
• En la dirección hacia adelante, la longitud de segmento es mayor que cero o el SYN o FIN es set.
Set cuando se establece el indicador SYN (SYN + ACK no), tenemos una conversación existente utilizando las mismas direcciones y
puertos, y el número sequencue es diferente de número de secuencia inicial de la conversación existente.
Set cuando el número de secuencia actual es mayor que el siguiente número de secuencia esperado.
143
TCP retransmisión de señales espurias
Cheques para una retransmisión en base a los datos del análisis en la dirección inversa. Se establece cuando todos los siguientes son verdaderas:
• Los datos para este flujo ha sido reconocido. Es decir, el número de reconocimiento visto por última vez ha sido ajustada.
• El siguiente número de secuencia es menor o igual a este último visto número de acuse de recibo.
Reemplaza “retransmisión”.
TCP retransmisión
• En la dirección hacia adelante, la longitud de segmento es mayor que cero o el SYN o indicador FIN se establece.
Establece cuando el tamaño de segmento no es cero, sabemos que el tamaño de la ventana en la dirección inversa, y nuestro tamaño del segmento excede
• El tamaño de la ventana no es cero y no es igual al tamaño de la ventana, visto por última vez.
• El número de acuse de recibo es igual a la vista por última vez el número de acuse de recibo.
TCP ZeroWindow
TCP ZeroWindowProbe
144
Set cuando el número de secuencia es igual a la siguiente número de secuencia esperado, el tamaño de segmento es uno, y el tamaño-visto por última
Si el único byte de datos de una ventana de la sonda Zero se deja caer por el receptor (no ACK), a continuación, un segmento posterior no
debe ser marcado como retransmisión si todas las condiciones siguientes para ese segmento: - El tamaño de segmento es mayor que uno .
- El siguiente número de secuencia esperado es uno menos que el número de secuencia actual.
TCP ZeroWindowProbeAck
• El número de acuse de recibo es igual a la vista por última vez el número de acuse de recibo.
• El-visto por última vez de paquetes en la dirección inversa era una sonda de ventana cero.
Las marcas de tiempo, sus precisiones y todo lo que puede ser muy confuso. Esta sección le proporcionará información sobre lo que está
pasando mientras Wireshark procesa las marcas de tiempo.
Mientras que los paquetes son capturados, cada paquete es una marca de tiempo a medida que llega. Estas marcas de tiempo se guardarán en el archivo de captura,
Entonces, ¿dónde estas marcas de tiempo vienen? Mientras captura, Wireshark obtiene los sellos de tiempo de la biblioteca libpcap
(Npcap), que a su vez los obtiene del núcleo del sistema operativo. Si los datos de captura se carga desde un archivo de captura, Wireshark,
obviamente, obtiene los datos de ese archivo.
internos de Wireshark
El formato interno que utiliza Wireshark para mantener un sello de tiempo de paquetes consiste en la fecha (en días desde el 1.1.1970) y la hora
del día (en nanosegundos desde la medianoche). Se puede ajustar la forma en Wireshark muestra los datos de marca de tiempo en la lista de
Al leer o escribir archivos de captura, Wireshark convierte los datos de marca de tiempo entre el formato de archivo de captura y el formato
interno según sea necesario.
Mientras captura, Wireshark utiliza la biblioteca de captura de libpcap (Npcap) que soporta microsegundos
145
resolución. A menos que usted está trabajando con el hardware de captura especializada, esta resolución debe ser adecuada.
Cada formato de archivo de captura de Wireshark que sabe sellos soportes de tiempo. La precisión de indicación de la hora con el apoyo de una captura
específica de formato de archivo difiere ampliamente y varía de un segundo “0” a un nanosegundo “0.123456789”. La mayoría de los formatos de archivo de
almacén de las marcas de tiempo con una precisión fija (por ejemplo microsegundos), mientras que algunos formatos de archivo son aún capaces de
almacenar la precisión de fecha y hora en sí (sea cual sea el beneficio puede ser).
El formato de archivo de captura libpcap común que se utiliza por Wireshark (y muchas otras herramientas) soporta una resolución de
microsegundos fijo “0.123456” solamente.
La escritura de datos en un formato de archivo de captura que no proporciona la capacidad de almacenar la precisión real dará lugar a la
pérdida de información. Por ejemplo, si se carga un archivo de captura con la resolución de nanosegundos y almacenar los datos de captura en
un archivo libpcap (con una resolución de microsegundos) Wireshark, obviamente, debe reducir la precisión de nanosegundos a
microsegundos.
Exactitud
La gente suele preguntar “¿Qué tiempo exactitud sello es proporcionada por Wireshark?”. Bueno, Wireshark no crea ningún tiempo mismo
sellos sino que simplemente los recibe de “otro lugar” y los muestra. Lo que la precisión dependerá del sistema de captura (sistema,
rendimiento, etc. operativo) que se utiliza. Debido a esto, la pregunta anterior es difícil de responder de una manera general.
adaptadores de red USB conectados a menudo proporcionan una muy mala precisión de indicación de la hora. Los
paquetes entrantes tienen que tomar “un largo y sinuoso camino” para los viajes a través del cable USB hasta que se
llegue al núcleo. A medida que los paquetes entrantes son una marca de tiempo cuando son procesados por el núcleo,
NOTA esta vez estampación mecanismo se vuelve muy imprecisa.
No utilice tarjetas de red USB conectado cuando se necesita precisión de indicación de la hora exacta.
Zonas horarias
Si viaja por todo el planeta, las zonas de tiempo pueden ser confusos. Si se obtiene un archivo de captura de algún lugar en todo el mundo,
incluso las zonas de tiempo pueden ser mucho más confuso ;-)
En primer lugar, hay dos razones por las que puede que no necesite para pensar en las zonas de tiempo en absoluto:
• Usted está interesado solamente en las diferencias de tiempo entre las marcas de tiempo de paquetes y no es necesario conocer la fecha
y hora exacta de los paquetes capturados (que suele ser el caso).
• Usted no recibe archivos de captura de diferentes zonas de tiempo que no sea su propia, por lo que simplemente no existen problemas de zona
horaria. Por ejemplo, cada uno en su equipo está trabajando en la misma zona horaria que
146
usted mismo.
La gente espera que el tiempo refleja la puesta de sol. Amanecer debe ser en la mañana quizá torno a 06:00 y el crepúsculo de la
tarde tal vez a las 20:00. Estos tiempos variarán obviamente dependiendo de la temporada. Sería muy confuso si todo el mundo en
la tierra usaría el mismo tiempo global como esto correspondería a la puesta del sol sólo en una pequeña parte del mundo.
Por esa razón, la tierra se divide en varias zonas horarias diferentes, cada zona con un tiempo local que corresponde a la puesta del
sol local.
base de tiempo de la zona horaria es UTC (Tiempo Universal Coordinado) o la Hora Zulu (militares y de aviación). El término más
antiguo GMT (Greenwich Mean Time) no debe ser utilizado, ya que es ligeramente incorrecto (hasta 0,9 segundos de diferencia a
UTC). La base de tiempo UTC es igual a 0 (basado en Greenwich, Inglaterra) y todas las zonas horarias tener una diferencia respecto
Por ejemplo: Si usted vive en Berlín se encuentra en una zona de tiempo de una hora antes de lo GMT, por lo que está en la zona horaria
“1” (diferencia de tiempo en horas y el UTC). Si se trata de tres en Berlín son las 2 en punto de UTC “en el mismo momento”.
Tenga en cuenta que en unos pocos lugares en la tierra no utilizan zonas horarias con compensaciones incluso hora (por ejemplo, Nueva Delhi usa UTC + 05: 30)!
El horario de verano (DST), también conocido como el horario de verano está destinado a “Guardar” un poco de luz durante los meses de
verano. Para ello, una gran cantidad de países (pero no todos!) Añadir una hora el horario de verano a la ya existente UTC offset. Así que
puede que tenga que tomar otra hora (o en casos muy raros incluso dos horas!) De diferencia en sus cálculos “zona horaria”.
Por desgracia, la fecha en que entra en vigor el horario de verano realidad es diferente en todo el mundo. También es posible que tenga en
cuenta, que los hemisferios norte y sur tienen el horario de verano del contrario (por ejemplo, mientras que es verano en Europa es invierno en
Australia).
Tenga en cuenta: UTC sigue siendo el mismo durante todo el año, sin importar el horario de verano!
https://www.timeanddate.com/worldclock/ .
147
Establecer el tiempo de su ordenador correctamente!
Si se trabaja con personas en todo el mundo es muy útil para ajustar la hora y la zona horaria correcta de su ordenador.
De esta manera se le dirá a su equipo tanto en la hora local y también respecto al UTC el tiempo. Muchas organizaciones simplemente
establecer la zona horaria en sus servidores y equipos de redes a UTC con el fin de hacer que la coordinación y solución de problemas más
fácil.
Si viaja por todo el mundo, es un error frecuente para ajustar las horas de su reloj de la computadora a la hora local. No
ajuste las horas, pero establecer la zona horaria en su lugar! Para el equipo, el tiempo es esencialmente el mismo que
PROPINA
antes, simplemente estás en una zona horaria diferente, con una hora local diferente.
Se puede utilizar el protocolo de tiempo de red (NTP) para ajustar automáticamente el equipo a la hora correcta, la sincroniza con los
servidores del reloj NTP de Internet. clientes NTP están disponibles para todos los sistemas operativos que soporta Wireshark (y por mucho
más), para los ejemplos Véase http://www.ntp.org/ .
El formato del archivo de captura Wireshark nativa (formato libpcap), y algunos otros formatos de archivo de captura, como el de Windows Sniffer,
EtherPeek, AiroPeek y formatos Sun Snoop, ahorra el tiempo de llegada de los paquetes como valores UTC. UN * X sistemas, y “Windows NT
basan” sistemas representan internamente como el tiempo UTC. Cuando es la captura de Wireshark, no es necesaria la conversión. Sin embargo,
si la zona horaria del sistema no está configurado correctamente, la hora UTC del sistema podría no ajustarse correctamente, incluso si el reloj del
sistema aparece para mostrar la hora local correcta. Al capturar, Npcap tiene que convertir el tiempo a UTC antes de suministrarlo a Wireshark. Si
la zona horaria del sistema no está configurado correctamente, que la conversión no se realizará correctamente.
Otros formatos de archivo de captura, como el Microsoft Network Monitor, succionador basado en DOS y formatos Network Instruments Observer, ahorran
Internamente para Wireshark, marcas de tiempo están representados en UTC. Esto significa que cuando la lectura de archivos de captura que ahorran el
tiempo de llegada de los paquetes como los valores de la hora local, Wireshark debe convertir dichos valores de la hora local a los valores UTC.
Wireshark a su vez mostrará las marcas de tiempo siempre en hora local. El ordenador que muestra los convertirá a la UTC a la hora local y
muestra este tiempo (local). Para los archivos de captura de ahorro de la hora de llegada de los paquetes como valores UTC, esto significa
que el tiempo de llegada se muestra como el local de
148
tiempo en su zona horaria, que podría no ser la misma que la hora de llegada en la zona horaria en la que se capturó el paquete. Para los archivos de
captura de ahorro de la hora de llegada de los paquetes como los valores de la hora local, la conversión a UTC se hará uso de su zona horaria está
desplazada con respecto a las reglas UTC y horario de verano, lo que significa la conversión no se realiza correctamente; la parte posterior conversión
a la hora local para la visualización podría deshacer esta correctamente, en cuyo caso el tiempo de llegada se mostrará como la hora de llegada en la
ejemplos de zona Tabla 25. Tiempo para los tiempos de llegada UTC (sin DST)
Local diferencia -8 -5 -1 0 +1 +9
respecto al UTC
local)
Por ejemplo vamos a suponer que alguien en Los Ángeles capturado un paquete con Wireshark exactamente a las 2:00 hora local y le envía
este archivo de captura. marca de tiempo del archivo de captura estará representada en UTC como las 10 horas. Usted se encuentra en
Berlín y verá 11:00 en la pantalla Wireshark.
Ahora usted tiene una llamada telefónica, videoconferencia o una reunión de Internet con que uno hablar de ese archivo de captura. Como los
dos están buscando en el momento que se muestra en los equipos locales, el de Los Ángeles sigue viendo a dos pero en Berlín verá las 11
horas. Los indicadores de tiempo son diferentes ya que ambas pantallas Wireshark mostrará las (diferentes) veces locales en el mismo punto
en el tiempo.
Conclusión: El usuario no puede preocuparse por la fecha / hora de la marca de tiempo que actualmente miras a menos que usted debe asegurarse de que la
fecha / hora es la esperada. Por lo tanto, si se obtiene un archivo de captura de una zona horaria diferente y / o el horario de verano, que tendrá que
averiguar la diferencia de huso horario / horario de verano entre los dos tiempos locales y “mentalmente” ajustar las marcas de tiempo en consecuencia. En
cualquier caso, asegúrese de que todos los equipos en cuestión tiene la hora correcta y la configuración de zona horaria.
reensamblaje de paquetes
¿Qué es?
Los protocolos de red a menudo necesitan para transportar grandes cantidades de datos que son completos en sí mismos,
por ejemplo, cuando la transferencia de un archivo. El protocolo subyacente podría no ser capaz de manejar que tamaño de fragmento (por ejemplo, la limitación del
tamaño del paquete de red), o es como TCP, que no sabe fragmentos de datos en absoluto basado en la corriente.
En ese caso, el protocolo de red tiene que manejar los límites del pedazo del mismo y la extensión (si es necesario)
149
los datos a través de múltiples paquetes. Obviamente, también necesita un mecanismo para determinar los límites del pedazo en el lado
receptor.
Wireshark llama a este mecanismo de reensamblaje, si bien una especificación de protocolo específico podría usar un término diferente para este (por
Para algunos de los protocolos de red Wireshark conoce, un mecanismo se implementa para encontrar, decodificar y mostrar estos
fragmentos de datos. Wireshark tratará de encontrar los correspondientes paquetes de este trozo, y mostrará los datos combinados como
páginas adicionales en el panel “Bytes del paquete” (para más información sobre este panel. Véase El “Bytes del paquete” Panel ).
Reensamblaje podría tener lugar en varias capas de protocolo, por lo que es posible que varias pestañas en el panel “Bytes del paquete”
aparecen.
Por ejemplo, en una HTTP la respuesta GET, los datos solicitados (por ejemplo, una página HTML) se devuelve. Wireshark mostrará el volcado
hexadecimal de los datos en una nueva pestaña “cuerpo de la entidad sin comprimir” en el panel “Bytes del paquete”.
Reensamblaje está activado en las preferencias por defecto, pero se puede desactivar en las preferencias para el protocolo en cuestión. Activación o
desactivación de los ajustes de reensamblado para un protocolo normalmente requiere dos cosas:
1. El protocolo de nivel inferior (por ejemplo, TCP) debe ser compatible con el reensamblaje. A menudo, este nuevo montaje se puede activar o desactivar a través
2. El protocolo de nivel superior (por ejemplo, HTTP) debe utilizar el mecanismo de reensamblaje de datos de protocolo fragmentados vuelva a
montarla. Esto a menudo puede ser activado o desactivado a través de las preferencias de protocolo.
La descripción de la configuración del protocolo de nivel superior le notificará si y qué configuración de protocolo de nivel inferior también tiene que ser
considerado.
150
TCP reensamblado
Los protocolos como HTTP o TLS son propensos a abarcar varios segmentos TCP. El protocolo TCP preferencia “Permitir subdissector a
flujos TCP Vuelva a montar” (habilitado por defecto) hace posible que Wireshark para recoger una secuencia contigua de los segmentos
TCP y entregarlos al protocolo de nivel superior (por ejemplo, para reconstruir un mensaje HTTP completa) . Todos excepto el último
segmento será marcado con “[segmento TCP de una PDU vuelto a montar]” lista en el paquete.
Desactivar esta preferencia para reducir la memoria y el procesamiento de sobrecarga si sólo está interesado en el análisis de número de secuencia
TCP ( Análisis TCP ). Tenga en cuenta, sin embargo, que los protocolos de nivel superior pueden ser diseccionados erróneamente. Por ejemplo,
HTTP mensajes podrían ser mostrados como “continuación” y TLS registros podrían ser mostrados como “Desconocido Ignorado Record”. Tales
resultados también se pueden observar si se inicia la captura, mientras que una conexión TCP que ya se inició cuando los segmentos TCP o se
Para volver a montar de segmentos TCP fuera de orden, el protocolo TCP preferencia “Vuelva a montar segmentos fuera de orden”
(actualmente desactivado por defecto) deben estar habilitadas en adición a la preferencia anterior. Si todos los paquetes se reciben en orden,
esta preferencia no tendrá ningún efecto. En caso contrario (si los segmentos que faltan se encuentran al procesar secuencialmente una
captura de paquetes), se asume que los nuevos y faltan segmentos pertenecen a la misma PDU. advertencias:
• paquetes perdidos se asumen para ser recibido fuera de orden o retransmitida después. Aplicaciones suelen retransmitir segmentos
hasta que éstos son reconocidos, pero si la captura de paquetes descarta los paquetes, entonces Wireshark no serán capaces de
reconstruir el flujo TCP. En tales casos, se puede tratar de desactivar esta preferencia y es de esperar tener una disección parcial en
lugar de ver simplemente “[segmento TCP de una PDU vuelto a montar]” para cada segmento TCP.
• Al hacer una captura en modo monitor (IEEE 802.11), los paquetes son más propensos a perderse debido a problemas de recepción de
señal. En ese caso, se recomienda desactivar la opción.
• Si los nuevos segmentos que faltan y son de hecho parte de diferentes PDU, entonces el procesamiento está actualmente retrasa hasta
que no más segmentos faltan, incluso si el inicio de los segmentos que faltan completaron una PDU. Por ejemplo, supongamos seis
segmentos que forman dos PDU A B C y DEF . Cuando se recibe como ABECDF , una aplicación puede iniciar el procesamiento de la primera
Wireshark sin embargo requiere que el segmento faltante re para ser recibido así. Esta cuestión se abordará en el futuro.
• En el GUI y durante una disección de dos pasadas ( tshark -2 ), el escenario anterior se mostrará ambos PDU en el paquete con el último
segmento ( F ) en lugar de mostrar que en el primer paquete que tiene el segmento que falta final de una PDU. Esta cuestión se abordará
en el futuro.
• Cuando está activado, los campos tales como el SMB “El tiempo desde la solicitud” ( smb.time ) podría ser menor si la petición sigue a otros
segmentos fuera de orden (esto refleja el comportamiento de la aplicación). Si el escenario anterior, sin embargo se produce, entonces el
momento de la solicitud se basa en el marco donde se reciben todos los segmentos que faltan.
Independientemente de la configuración de estas dos preferencias reensamblaje-relacionados, siempre se puede utilizar la opción “Follow TCP
151
orden.
Resolución de nombres
La resolución de nombres trata de convertir algunos de los valores de las direcciones numéricas en un formato legible por humanos. Hay dos
posibles maneras de hacer estas conversiones, dependiendo de la resolución por hacer: llamar los servicios de sistema / red (como la función
gethostname ()) y / o resolución de los archivos de configuración específica de Wireshark. Para obtener detalles sobre la configuración de
archivos se utiliza Wireshark para la resolución de nombres y por igual, véase Archivos y carpetas .
La característica de resolución de nombres se puede activar de forma individual para las capas de protocolo que figuran en las siguientes secciones.
La resolución de nombres puede ser muy valiosa cuando se trabaja con Wireshark e incluso puede ahorrar horas de trabajo. Por desgracia, también
• La resolución de nombres a menudo fallar. El nombre que se resuelve simplemente podría ser desconocida por los servidores de nombres
preguntó, o los servidores no están disponibles y también el nombre no se encuentra en los archivos de configuración de Wireshark.
• Los nombres resueltos no se almacenan en el archivo de captura o en otro lugar. Por lo que los nombres resueltos pueden no estar
disponibles si se abre el archivo de captura de plazo o en una máquina diferente. Cada vez que se abre un archivo de captura de lo que
parece “un poco diferente”, simplemente porque no se puede conectar al servidor de nombres (que se podía conectar antes).
• DNS puede añadir paquetes adicionales a su archivo de captura. Usted puede ver los paquetes a / desde la máquina en su archivo de captura,
que son causados por los servicios de resolución de nombres de red de la máquina de las capturas de Wireshark.
• Los nombres DNS resueltos se almacenan en caché por Wireshark. Esto es necesario para un rendimiento aceptable. Sin embargo, si la información de
resolución de nombres debe cambiar mientras se está ejecutando Wireshark, Wireshark no notar un cambio en la información de resolución de nombres
una vez que se almacena en caché. Si esta información cambia, mientras que Wireshark se está ejecutando, por ejemplo, un nuevo contrato de
La resolución de nombres en la lista de paquetes se realiza mientras la lista está llena. Si un nombre se puede resolver después de añadir un paquete a la lista, su
antigua entrada no será cambiada. Como muestran los resultados de resolución de nombres se almacenan en caché, puede utilizar Ver > Recargar para
reconstruir la lista de paquetes con los nombres resueltos correctamente. Sin embargo, esto no es posible, mientras que la captura está en curso.
Tratar de resolver una dirección MAC de Ethernet (por ejemplo, 00: 09: 5b: 01: 02: 03) a algo más “legible”.
152
la resolución de nombres ARP (servicio de red): Wireshark pedirá al sistema operativo para convertir una dirección de Ethernet a la dirección
IP correspondiente (por ejemplo, 00: 09: 5b: 01: 02: 03 → 192.168.0.1).
códigos de Ethernet (archivo éteres): Si la resolución de nombres ARP falló, Wireshark trata de convertir la dirección de Ethernet a un nombre de
dispositivo conocido, el cual ha sido asignado por el usuario mediante una éteres archivo (por ejemplo, 00: 09: 5b: 01: 02: 03 → homerouter).
códigos de fabricantes de Ethernet (archivo): Fabrica Si ninguno de ARP o éteres devuelve un resultado, Wireshark trata de convertir los 3
primeros bytes de una dirección de Ethernet a un nombre abreviado fabricante, que ha sido asignado por el IEEE (por ejemplo, 00: 09: 5b: 01:
Tratar de resolver una dirección IP (por ejemplo, 216.239.37.99) a algo más “legible”.
la resolución de nombres DNS (sistema de servicio / biblioteca): Wireshark utilizará una resolución de nombres para convertir una dirección IP para el nombre
La resolución de nombres DNS en general, se puede realizar sincrónica o asincrónica. Ambos mecanismos se pueden utilizar para convertir
una dirección IP a un nombre legible por humanos (dominio). Una llamada al sistema como gethostname () tratará de convertir la dirección a un
nombre. Para ello, se le preguntará primero el archivo de sistemas anfitriones (por ejemplo / etc / hosts) si encuentra una entrada coincidente. Si
Así que la diferencia real entre DNS síncrona y asíncrona DNS viene cuando el sistema tiene que esperar a que el servidor DNS de una
resolución de nombres. El gethostname llamada al sistema () esperará hasta que se resuelva un nombre o se produce un error. Si el
servidor DNS no está disponible, esto puede tardar bastante tiempo (varios segundos).
Para proporcionar un rendimiento aceptable Wireshark depende de una biblioteca de DNS asíncrona de hacer la
ADVERTENCIA resolución de nombres. Si uno no está disponible durante la compilación de la función no estará disponible.
El servicio DNS asíncrono funciona un poco diferente. También le pedirá al servidor DNS, pero no va a esperar la respuesta. Se acaba de regresar a
Wireshark en un lapso muy corto de tiempo. El actual (y la siguiente) campos de dirección no se mostrará el nombre resuelto hasta que el servidor
DNS devuelve una respuesta. Como se mencionó anteriormente, los valores quedan almacenados en caché, por lo que puede utilizar Ver > Recargar para
resolución de nombres de anfitriones (hosts): Si resolución de nombres DNS falló, Wireshark tratará de convertir una dirección IP para el nombre de host
asociado a él, utilizando un archivo de hosts proporcionada por el usuario (por ejemplo, 216.239.37.99
→ www.google.com).
Tratar de resolver un puerto TCP / UDP (por ejemplo, 80) a algo más “legible”.
153
conversión de puerto TCP / UDP (servicio de red): Wireshark pedirá al sistema operativo para convertir un puerto TCP o UDP a su nombre bien
conocido (por ejemplo, 80 → http).
Resolución ID de VLAN
Para obtener un nombre de archivo descriptivo para una ID de una etiqueta VLAN VLAN se puede utilizar.
Para obtener un nombre de archivo de nodo para un código de punto SS7 un ss7pcs se puede utilizar.
sumas de comprobación
Varios protocolos de red utilizan sumas de comprobación para asegurar la integridad de datos. La aplicación de las sumas de comprobación como se describe aquí es también
154
¿Cuáles son las sumas de comprobación para?
Las sumas de comprobación se utilizan para asegurar la integridad de partes de datos para la transmisión o almacenamiento de datos. Una suma de control es
las transmisiones de datos de red a menudo producen errores, como alternada, desaparecidos o trozos duplicados. Como resultado,
los datos recibidos pueden no ser idénticos a los datos transmitidos, lo que obviamente es una mala cosa.
Debido a estos errores de transmisión, protocolos de red muy a menudo utilizan sumas de comprobación para detectar este tipo de
errores. El transmisor calculará una suma de comprobación de los datos y transmite los datos junto con la suma de comprobación. El
receptor calculará la suma de comprobación de los datos recibidos con el mismo algoritmo que el transmisor. Si las sumas de
Algunos algoritmos de suma de comprobación son capaces de recuperarse (simple) mediante el cálculo de los errores en que debe ser el error esperado y la
reparación de la misma.
Si hay errores que no pueden ser recuperados, el lado receptor desecha el paquete. Dependiendo del protocolo de red, esta pérdida
de datos es simplemente ignorado o las necesidades lado emisor para detectar esta pérdida de alguna manera y retransmite el
paquete requerido (s).
El uso de una suma de comprobación reduce drásticamente el número de errores de transmisión no detectados. Sin embargo, los algoritmos de suma
de comprobación usuales no pueden garantizar una detección de error del 100%, por lo que un número muy pequeño de los errores de transmisión
Hay varios tipos diferentes de algoritmos de suma de control; un ejemplo de un algoritmo de suma de control a menudo utilizado es
CRC32. El algoritmo de suma de comprobación en realidad elegido para un protocolo de red específico dependerá de la tasa de
error esperada del medio de red, la importancia de la detección de errores, la carga del procesador para realizar el cálculo, el
rendimiento necesario y muchas otras cosas.
Más información sobre las sumas de comprobación se puede encontrar en: https://en.wikipedia.org/wiki/ suma de comprobación .
Wireshark validará las sumas de comprobación de muchos protocolos, por ejemplo, IP, TCP, UDP, etc.
Se va a hacer el mismo cálculo como un “receptor normal” haría, y muestra los campos de suma de comprobación en los detalles del paquete con un
validación de suma de comprobación se puede desconectar para varios protocolos en las preferencias de protocolo Wireshark, por ejemplo, a (muy
Si la validación de la suma está activado y se detecta una suma de comprobación no válida, las características como paquete
155
reensamblaje no será procesado. Esto se evita que los datos de una conexión incorrecta podría “confundir” la base de datos interna.
suma de comprobación
El cálculo de comprobación puede ser realizada por el controlador de red, controlador de protocolo o incluso en hardware.
Por ejemplo: El hardware de transmisión de Ethernet Ethernet calcula la suma de comprobación CRC32 y el hardware de recepción valida
esta suma de comprobación. Si la suma de control recibida es incorrecta Wireshark ni siquiera ver el paquete, como el hardware Ethernet
interno lanza lejos el paquete.
sumas de comprobación de nivel superior son “tradicionalmente” calculado por la implementación del protocolo y el paquete completo es
entonces entregados al hardware.
hardware de red reciente puede realizar funciones avanzadas tales como el cálculo de la suma de comprobación IP, también conocida como la suma de
comprobación. El controlador de red no calculará la suma de control en sí, sino que simplemente hará entrega de un vacío (cero o basura lleno)
Suma de comprobación de descarga a menudo causa confusión como los paquetes de red a transmitir son entregados a
Wireshark antes de que las sumas de comprobación son en realidad calculan. Wireshark consigue estas sumas de
NOTA comprobación “vacías” y los muestra como no válido, a pesar de que los paquetes contendrán las sumas de comprobación
Suma de comprobación de descarga puede ser confuso y tener una gran cantidad de mensajes no válidos [] en la pantalla puede ser bastante molesto. Como se
mencionó anteriormente, las sumas de comprobación no válidas pueden conducir a paquetes unreassembled, haciendo que el análisis de los datos del paquete mucho
más difícil.
Puede hacer dos cosas para evitar este problema de suma de control de descarga:
• Desactivar la validación de suma de control del protocolo específico en las preferencias de Wireshark. las últimas versiones de
Wireshark desactivar la validación de la suma por defecto debido a la prevalance de la descarga en el hardware y sistemas operativos
modernos.
156
Estadística
Introducción
Wireshark ofrece una amplia gama de estadísticas de la red que se puede acceder a través de la Estadística
menú.
Estas estadísticas se extienden de información general sobre el archivo de captura cargado (como el número de paquetes capturados), a
estadísticas sobre los protocolos específicos (por ejemplo, estadísticas sobre el número de peticiones HTTP y las respuestas capturado).
• Estadísticas Generales:
◦ Los puntos finales por ejemplo, el tráfico hacia y desde una dirección IP.
Las estadísticas de protocolo específicas requieren un conocimiento detallado sobre el protocolo específico. A menos que
NOTA usted está familiarizado con ese protocolo, estadísticas sobre los que puede ser difícil de entender.
Wireshark tiene muchas ventanas otras estadísticas que muestran la información detallada acerca de los protocolos específicos y podrían
157
Figura 75. La ventana “Propiedades del archivo de captura”
• Hora: las marcas de tiempo cuando fueron capturados el primero y el último paquete (y el tiempo entre ellos).
• Capturar: información desde el momento en que se hizo (sólo disponible si el paquete de datos se capturan desde la red y no cargan
desde un archivo) la captura.
158
• Interfaz: información acerca de la interfaz de captura.
• Estadística: algunas estadísticas del tráfico de la red vistos. Si un filtro de visualización se establece, verá los valores en la columna
capturada, y si los paquetes están marcados, verá los valores en la columna marcada. Los valores de la capturado columna seguirá
siendo la misma que antes, mientras que los valores de la Desplegado columna reflejará los valores correspondientes a los paquetes
mostrados en la pantalla. Los valores de la Marcado la columna reflejará los valores correspondientes a los paquetes marcados.
Se trata de un árbol de todos los protocolos en la captura. Cada fila contiene los valores estadísticos de un protocolo. Dos de las columnas ( Los paquetes
por ciento y Porcentaje Bytes) servir una doble función como gráficos de barras. Si un filtro de visualización se establece que se mostrará en la parte inferior.
Los [ Dupdo ] botón le permitirá copiar los contenidos de la ventana como CSV o YAML.
Protocolo
Los paquetes
159
El número total de paquetes de este protocolo
bytes
Bits / s
El número absoluto de los paquetes de este protocolo en las que era la más alta de protocolo en la pila (última diseccionaron)
Fin Bytes
El número absoluto de bytes de este protocolo en las que era la más alta de protocolo en la pila (última diseccionaron)
Fin bits / s
El ancho de banda de este protocolo en relación con el tiempo de captura, donde fue el más alto en la pila de protocolo (última diseccionado)
Los paquetes normalmente contienen múltiples protocolos. Como resultado será contado más de un protocolo para cada paquete. Ejemplo:
En la captura de pantalla IP tiene 99,9% y TCP 98,5% (que es en conjunto mucho más que 100%).
capas de protocolo pueden consistir en paquetes que no contendrá ningún protocolo de capa superior, por lo que la suma de todos los paquetes de capa
superior no puede resumir para el recuento de los protocolos de paquetes. Ejemplo: En la captura de pantalla TCP tiene 98,5%, pero la suma de los
subprotocolos (TLS, HTTP, etc.) es mucho menor. Esto puede ser causado por los marcos de continuación, sobrecarga de protocolo TCP, y otros datos no
seccionada.
Un solo paquete puede contener el mismo protocolo más de una vez. En este caso, el protocolo se cuenta más de una vez. Por ejemplo las
respuestas ICMP y muchos protocolos de túnel va a llevar más de una cabecera IP.
conversaciones
Una conversación de la red es el tráfico entre dos puntos finales específicos. Por ejemplo, una conversación IP es todo el tráfico entre dos
direcciones IP. La descripción de los tipos de punto final conocidos se puede encontrar en Los puntos finales .
La ventana de “Conversaciones”
La ventana de conversaciones es similar a la ventana de punto final. Ver La ventana de “puntos finales” para
160
descripción de sus características comunes. Junto con las direcciones, contadores de paquetes y contadores de bytes de la ventana de
conversación añade cuatro columnas: la hora de inicio de la conversación ( “Rel Start”) o ( “Abs Inicio”), la duración de la conversación en
cuestión de segundos, y los bits promedio ( no bytes) por segundo en cada dirección. Un gráfico de línea de tiempo también se dibuja a través
Cada fila de la lista muestra los valores estadísticos de exactamente una conversación.
La resolución de nombres se hará si está seleccionado en la ventana y si está activo para la capa de protocolo específico (capa de MAC para la página de
criterios de valoración Ethernet seleccionado). Límite de filtro de visualización sólo mostrará las conversaciones que coinciden con el filtro de la pantalla
actual. el tiempo de inicio absoluto interruptores de la columna de la hora de inicio entre los tiempos relativa ( “Rel Start”) y absoluto ( “Abs Start”). horas de
inicio relativos coinciden con los “segundos desde el inicio de la captura” formato de visualización de la hora en la lista de paquetes y horas de inicio
Los [ Dupdo ] botón se copiarán los valores de lista en el portapapeles en formato CSV (valores separados por comas) o en formato YAML. Los [ Seguir
la corriente ...] botón mostrará el contenido de transmisión como se describe en El cuadro de diálogo “Follow TCP Stream” diálogo. Los [ Grafico…
La ventana de “I / O Graph” .
[Tipos de conversación] le permite elegir qué tipo de tráfico pestañas se muestran. Ver Los puntos finales para obtener una lista de tipos de punto final. Los
Esta ventana se actualizará con frecuencia por lo que será útil incluso si se abre antes (o tiempo) que está haciendo una
PROPINA
captura en vivo.
Un punto final de red es el punto final lógico de tráfico de protocolo separada de una capa de protocolo específico. Las estadísticas de punto final
161
Si está buscando una característica otras herramientas de red llaman una ListaCaliente, aquí es el lugar adecuado para buscar. La
PROPINA
lista de puntos finales Ethernet o IP es por lo general lo que estás buscando.
Bluetooth
Ethernet
Fibre Channel
IEEE 802.11
FDDI
IPv4
IPv6
IPX
Una concatenación de un número de red de 32 bits y la dirección de nodo de 48 bits, de forma predeterminada dirección de MAC-48 de la interfaz de
Ethernet.
JXTA
PNC
de RSVP
SCTP
Una combinación del huésped direcciones IP (plural) y el puerto SCTP utilizado. Así SCTP diferentes puertos en la misma dirección IP son
diferentes criterios de valoración SCTP, pero el mismo puerto SCTP en diferentes direcciones IP del mismo host siguen siendo el mismo
punto final.
TCP
162
Una combinación de la dirección IP y el puerto TCP utilizado. Diferentes puertos TCP en la misma dirección IP son diferentes puntos
finales TCP.
Token Ring
UDP
Una combinación de la dirección IP y el puerto UDP utilizado, por lo que diferentes puertos UDP en la misma dirección IP son diferentes
USB
Difusión y tráfico de multidifusión se muestran por separado como criterios de valoración adicionales. Por supuesto, ya que no
NOTA
son puntos finales físicos del tráfico real será recibido por todos o algunos de los criterios de valoración que figuran unicast.
Para cada protocolo soportado, una lengüeta se muestra en esta ventana. Cada ficha de la etiqueta muestra el número de puntos finales capturados (por
ejemplo, la etiqueta de la pestaña “Ethernet · 4” te dice que cuatro puntos finales de Ethernet han sido capturados). Si se capturaron no hay puntos finales de
un protocolo específico, la etiqueta de la pestaña será atenuado (aunque la página relacionada todavía pueden ser seleccionados).
Cada fila de la lista muestra los valores estadísticos durante exactamente un punto final.
La resolución de nombres se hará si está seleccionado en la ventana y si está activo para la capa de protocolo específico (capa de MAC para la página de
163
conversaciones coincidan con el filtro de visualización actual. Nótese que en este ejemplo tenemos MaxMind DB configurado lo que nos da
columnas adicionales geográficas. Ver Caminos de bases de datos Maxmind para más información.
Los [ Dupdo ] botón se copiarán los valores de lista en el portapapeles en formato CSV (valores separados por comas) o en formato YAML. Los [ Mapa
[Tipos de punto final] le permite elegir qué tipo de tráfico pestañas se muestran. Ver Los puntos finales por encima de una lista de tipos de punto final. Los
Esta ventana se actualizará con frecuencia, por lo que será útil incluso si se abre antes (o tiempo) que está haciendo una
PROPINA
captura en vivo.
La ventana de “I / O Graph”
164
• Los gráficos
◦ Gráfico 1-5: permitir el gráfico específico 1-5 (sólo el gráfico 1 está activado por defecto)
◦ Filtrar: un filtro de presentación para este gráfico (sólo los paquetes que pasan a este filtro se tendrá en cuenta para este gráfico)
• Eje X
◦ Marque intervalo: un intervalo en la dirección x dura (10/1 minutos o 10/1 / 0,1 / 0,01 / 0,001 segundos)
◦ Ver como la hora del día: opción para ver las etiquetas de dirección x como la hora del día en lugar de segundos o minutos desde el inicio
de la captura
• Eje Y
◦ Unidad: la unidad para la dirección Y (paquetes / Tick, Bytes / Tick, Bits / Tick, Advanced ...) [XXX describen la función Advanced.]
Los [ Salvar ] botón salvará la parte mostrada en ese momento de la gráfica como uno de varios formatos de archivo.
Los [ Dupdo ] botón se copiarán los valores de los gráficos seleccionados en el portapapeles en formato CSV (valores separados por comas).
PROPINA Haga clic en el gráfico para seleccionar el primer paquete en el intervalo seleccionado.
El tiempo de respuesta del servicio es el tiempo entre la solicitud y la respuesta correspondiente. Esta información está disponible para
muchos protocolos.
estadísticas de tiempo de respuesta del servicio están disponibles actualmente para los siguientes protocolos:
• DCE-RPC
• Fibre Channel
• H.225 RAS
• LDAP
• LTE MAC
• MGCP
• ONC-RPC
165
• SMB
Las otras ventanas de servicio Tiempo de respuesta funcionarán de la misma manera (o sólo ligeramente diferente) en
NOTA
comparación con la siguiente descripción.
El tiempo de respuesta del servicio de DCE-RPC es el tiempo entre la petición y la respuesta correspondiente.
166
Figura 81. La ventana “DCE-RPC Estadística para ...”
Cada fila corresponde a un método de la interfaz seleccionada (lo que la interfaz EPM en la versión 3 tiene 7 métodos). Para cada método
se calcula el número de llamadas, y las estadísticas de la época SRT.
ONC RPC-Programas
29West
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
ANCP
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
167
BACnet
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
collectd
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
DNS
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
Gráfico de flujo
HART-IP
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
HPFEEDS
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
Estadísticas HTTP
HTTP de Distribución
Secuencias de solicitud HTTP usos de las cabeceras HTTP Referer y la ubicación Para secuencia de peticiones HTTP de un captura como un árbol. Esto
permite a los analistas para ver cómo una petición HTTP lleva a la siguiente.
168
Figura 82. La ventana de “HTTP Solicitar secuencias”
HTTP2
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
Mismo tiempo
Este es un gráfico simple del número de secuencia TCP con el tiempo, similar a los utilizados en Richard Stevens serie ‘TCP / IP
Illustrated’ de libros.
Espectáculos TCP métricas similares a la tcptrace utilidad, incluidos los segmentos hacia adelante,
rendimiento
169
Tiempo de viaje
el tiempo de ida y vuelta en función del tiempo o número de secuencia. RTT se basa en la marca de tiempo de acuse de recibo correspondiente a un
segmento particular.
escalamiento de la ventana
F5
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
Estadísticas IPv4
Estadísticas IPv6
170
Telefonía
Introducción
Wireshark ofrece una amplia gama de estadísticas de red relacionadas con la telefonía que se puede acceder a través de la Telefonía menú.
Estas estadísticas van desde protocolos de señalización específicos, al análisis de la señalización y flujos de medios. Si codificado en una codificación compatible con los
Las ventanas estadísticas de protocolo específicas muestran información detallada de los protocolos específicos y podrían ser descritos en una versión
La ventana muestra las llamadas de VoIP una lista de todas las llamadas de VoIP detectados en el tráfico capturado. Se encuentra llamadas por su señalización.
ANSI
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
GSM
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
con un gráfico.
LTE
171
LTE MAC estadísticas de tráfico
Estadísticas del tráfico LTE MAC capturado. En esta ventana se resumirá el tráfico LTE MAC se encuentra en la captura.
La parte superior muestra las estadísticas panel para los canales comunes. Cada fila de la muestra panel central estadísticas notables para
exactamente un UE / C-RNTI. En el panel inferior, se puede ver el para el seleccionado en ese momento UE / C-RNTI el tráfico desglosado por
canal individual.
Estadísticas del tráfico LTE RLC capturado. En esta ventana se resumirá el tráfico LTE RLC que se encuentra en la captura.
172
Figura 84. La ventana de “LTE RLC Estadísticas de tráfico”
En la parte superior, la casilla de verificación permite a esta ventana para incluir RLC PDU MAC PDU encuentra dentro o no. Esto afectará tanto las
PDU contados así como los filtros de visualización generados (véase abajo).
La lista muestra superiores resúmenes de cada UE activa. Cada fila de la lista muestra inferiores Destacados estadísticos para los canales
La parte inferior de las ventanas permite que los filtros de visualización para ser generados y establecen para el canal seleccionado. Tenga en
cuenta que en el caso de canales de modo reconocido, si se elige una sola dirección, el filtro generado mostrará los datos en que las PDU de
dirección y de control en la dirección opuesta.
MTP3
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
Osmux
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
Análisis de RTP
La función de análisis RTP toma la corriente de RTP seleccionado (y la corriente inversa, si es posible) y genera una lista de estadísticas de
ella.
173
Figura 85. La ventana de “RTP Análisis Stream”
A partir de los datos básicos como el número de paquete y número de secuencia, más estadísticas se crean basándose en la hora de llegada, retardo,
Además de las estadísticas por paquete, los espectáculos panel inferior las estadísticas generales, con mínimos y máximos para delta, jitter y el
La ventana RTP Análisis corriente proporciona, además, la opción de guardar la carga útil de RTP (como datos en bruto o, si en una codificación
PCM, en un archivo de audio). Otras opciones para exportar una parcela y diversas estadísticas sobre flujos RTP.
La ventana RTP jugador le permite reproducir datos de audio RTP. Para utilizar esta característica de su versión de Wireshark debe ser compatible
con los códecs de audio y los utilizados por cada flujo RTP.
RTSP
SCTP
Operaciones SMPP
174
Los mensajes UCP
H.225
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
SIP flujos
Todavía no escrita. Ver https://wiki.wireshark.org/Development/SubmittingPatches
SIP Estadísticas
175
Inalámbrico
Introducción
El menú Wireless proporciona acceso a las estadísticas relacionadas con el tráfico inalámbrico.
El tráfico de WLAN
Estadísticas sobre el tráfico de WLAN capturado. Esto se puede encontrar bajo el Inalámbrico menú y resume el tráfico de red inalámbrica
encuentra en la captura. solicitudes de sondeo se fusionarán en una red existente, si los partidos de SSID.
Cada fila de la lista muestra los valores estadísticos para exactamente una red inalámbrica.
La resolución de nombres se hará si está seleccionado en la ventana y si está activo para la capa MAC.
Mostrar sólo las redes existentes excluirá solicitudes de sondeo con un SSID que no coincida con ninguna red de la lista.
176
Los [ Dupdo ] botón se copiarán los valores de lista en el portapapeles en formato CSV (valores separados por comas).
Esta ventana se actualizará con frecuencia, por lo que será útil, incluso si se abre antes (o tiempo) que está haciendo una
PROPINA
captura en vivo.
177
Personalización de Wireshark
Introducción
el comportamiento predeterminado del Wireshark por lo general se adapte a sus necesidades bastante bien. Sin embargo, a medida que se familiarice con
Wireshark, se puede personalizar de varias maneras para adaptarse a sus necesidades aún mejor. En este capítulo se explora:
Wireshark es compatible con un gran número de parámetros de línea de comandos. Para ver lo que son, basta con introducir el comando Wireshark
-h y la información de ayuda se muestra en la información de ayuda disponible de Wireshark (O algo similar) debe ser impreso.
interfaz de captura:
-i <interface>, --interface <interface>
nombre o idx de interfaz (def: primero no loopback)
-f <filtro de captura> filtro de paquetes en la sintaxis de filtro libpcap
-s <snaplen>, --snapshot de longitud <snaplen>
Longitud de Paquete instantánea (def: máximo apropiado)
-p, --no-promiscuo-mode
no captan en modo promiscuo
-k iniciar la captura de inmediato (def: No hacer nada)
-S display paquete de actualización cuando son capturados nuevos paquetes
178
Tamaño del buffer kernel (def: 2 MB)
-y <tipo de vínculo>, --linktype <tipo de vínculo>
enlace tipo de capa (def: primero apropiado)
--time-sello de tipo <tipo> método de marca de tiempo para -D interfaz,
--list-interfaces lista de interfaces y salida imprimir
-L, --list-de enlace de datos tipos
lista de tipos de capa de enlace de salida del iface y imprimir
--list-fecha-tipos lista de tipos de marca de tiempo para imprimir y salida del iface
Fichero de entrada:
Tratamiento:
-R <leer filtro>, --read-filtro <filtro de leer>
filtro de paquetes en la sintaxis de filtro de visualización Wireshark
-norte desactivar todas las resoluciones de nombres (def: todo está habilitado)
Interfaz de usuario:
-C <config perfil> comenzar con el perfil de configuración especificado
-H ocultar el diálogo de información de captura durante la captura de paquetes
179
-Y <filtro de pantalla>, --display-filtro <filtro de visualización>
comenzar con el filtro de visualización dada
-g <paquete número> vaya al número de paquete especificado después de "r"
-z <estadísticas> mostrar diversas estadísticas, ver página del manual para detalles
Salida:
-w <archivo_salida | -> establecer el nombre de archivo de salida (o '-' para stdout)
--capture-comentario <comentario>
establecer el comentario de archivo de captura, si es compatible
La primera cosa a notar es que la emisión de la orden Wireshark por sí mismo, se abrirá Wireshark. Sin embargo, se pueden incluir como
muchos de los parámetros de línea de comandos como desee. Sus significados son los siguientes (en orden alfabético):
Especifique un criterio que especifica cuándo Wireshark es dejar de escribir en un archivo de captura. El criterio es de la forma de ensayo:
Duración: valor
Dejar de escribir en un archivo de captura después de valor de los segundos han transcurrido.
Dejar de escribir a un archivo de captura después de que alcance un tamaño de kilobytes de valor (donde un kilobyte es de 1000 bytes, no
1024 bytes). Si esta opción se utiliza junto con la opción -b, Wireshark se detendrá
180
escribir en el archivo de captura actual y cambiar a la siguiente si se alcanza tamaño de archivo.
archivos: valor
Detener la escritura de archivos de captura después del número de valor de los archivos fueron escritos.
paquetes: valor
Dejar de escribir en un archivo de captura después de valores Número de paquetes fueron escritos.
Si se especifica un tamaño máximo de archivo de captura, esta opción hace que Wireshark para funcionar en modo “memoria cíclica”,
con el número especificado de archivos. En el modo “memoria cíclica”, Wireshark escribir en varios archivos de captura. Su nombre se
basa en el número del archivo y la fecha y hora de creación.
Cuando el archivo de la primera captura se llena Wireshark cambiará a escribir al archivo siguiente, y así sucesivamente. Con la opción de archivos
también es posible formar una “memoria cíclica.” Esto se llenará nuevos archivos hasta que el número de archivos especificada, momento en el que los
datos del primer archivo se descartarán por lo que un nuevo archivo se puede escribir.
Si no se especifica la duración opcional, Wireshark también cambiará al siguiente archivo cuando ha transcurrido el número de
segundos que incluso si el archivo actual no se llena por completo.
Duración: valor
Cambiar a la siguiente archivo después de haber transcurrido segundo valor, incluso si el archivo actual no se llena por completo.
Cambiar al siguiente archivo después de que alcanza un tamaño de kilobytes de valor (donde un kilobyte es de 1000 bytes, no 1024 bytes).
archivos: valor
Comience de nuevo con el primer archivo después del número de valor de los archivos fueron escritos (formar una memoria cíclica).
paquetes: valor
Cambiar al siguiente número de archivo después de valor de los paquetes fueron escritos, incluso si el archivo actual no se llena por
completo.
intervalo: valor
Establecer el tamaño del búfer de captura (en MB, por defecto es de 2 MB). Esto es utilizada por el controlador de captura de datos de paquete para amortiguar hasta
que los datos se puede escribir en el disco. Si se encuentra con gotas de paquetes durante la captura, tratar de aumentar este tamaño. No soportado en algunas
plataformas.
181
- C <perfil config>
Esta opción especifica el número máximo de paquetes de captura en la captura de datos en tiempo real. Sería ser usado en conjunción
con el - k opción.
-- captura-comentario <comentario>
"Decode Como", ver Decodifica especificados por el usuario para detalles. Ejemplo: tcp.port == 8888, http
-D
-- Lista interfaces
Imprimir una lista de las interfaces en las que Wireshark puede capturar, y luego salir. Para cada interfaz de red, un número y un nombre
de interfaz, posiblemente seguido de una descripción de texto de la interfaz, se imprime. El nombre de la interfaz o el número se pueden
suministrar a la - yo bandera para especificar una interfaz en la que capturar.
Esto puede ser útil en sistemas que no tienen un mandato para listar ellos (por ejemplo, los sistemas Windows, UNIX o sistemas que
carecen ifconfig -a ). El número puede ser especialmente útil en Windows, donde el nombre de la interfaz es un GUID.
Tenga en cuenta que “puede capturar” significa que Wireshark fue capaz de abrir ese dispositivo para hacer una captura en vivo. Si, en el
sistema, un programa de hacer una captura de red debe ejecutarse desde una cuenta con privilegios especiales, entonces, si Wireshark se
ejecuta con el - re bandera y no se ejecuta desde una cuenta de este tipo, no la lista de las interfaces.
-- visualización <DISPLAY>
Ajuste la pantalla X para su uso, en vez de la definida en el medio ambiente, o la pantalla por defecto.
-- enable-protocolo <proto_name>
-- disable-protocolo <proto_name>
-- disable-heurística <SHORT_NAME>
- f <filtro de captura>
Esta opción establece la expresión de filtro captura inicial para ser utilizado en la captura de paquetes.
-- pantalla completa
182
- g <número de paquete>
Después de leer en un archivo de captura usando la opción -r, vaya al número de paquete dado.
-h
-- ayuda
Esta opción solicita Wireshark para imprimir su versión y las instrucciones de uso (como se muestra aquí) y salida.
-H
- i <interfaz de captura>
Establecer el nombre de la interfaz de red o tubería de usar para la captura de paquetes en vivo.
nombres de interfaz de red deben coincidir con uno de los nombres que figuran en Wireshark -D ( descrito arriba). Un número, según lo informado
por Wireshark -D , también puede ser usado. Si está utilizando UNIX, i netstat , ifconfig -a o ip link puede ser que también el trabajo a los nombres de
interfaz de la lista, aunque no todas las versiones de UNIX apoyan la - una bandera de ifconfig .
Si no se especifica una interfaz, Wireshark busca en la lista de interfaces, la elección de la primera interfaz nonloopback si hay cualquier
interfaz nonloopback, y la elección de la primera interfaz de bucle de retorno si no hay interfaces de nonloopback; si no hay interfaces,
Wireshark informa de un error y no se inicia la captura.
nombres de los tubos deben ser el nombre de un FIFO (tubería con nombre) o “-” para leer los datos de la entrada estándar. Los datos leídos
- J <filtro salto>
Después de leer en un archivo de captura utilizando la - r bandera, saltar al primer paquete que coincide con la expresión de filtro. La expresión de
filtro está en formato filtro de visualización. Si una coincidencia exacta no se puede encontrar el primer paquete después se selecciona.
-YO
-- monitor de modo
-j
Utilice esta opción después de la - J opción para buscar hacia atrás para un primer paquete para ir a.
-k
los - k Wireshark opción especifica que deben empezar a capturar paquetes inmediatamente. Esta opción requiere el uso de la - yo parámetro
para especificar la interfaz de captura de paquetes que se producirá a partir.
183
- K <archivo de tabla de claves>
-l
Esta opción activa el desplazamiento automático si el panel de lista de paquetes se actualiza automáticamente a medida que los paquetes llegan durante una
-L
-- Lista-time-stamp-tipos
- m <font>
Esta opción establece el nombre de la fuente utilizada para la mayoría texto mostrado por Wireshark.
-n
Desactivar la resolución de nombres de objetos de red (como nombre de host, TCP y UDP nombres de puerto).
Vueltas en la resolución de nombres para determinados tipos de números de puertos y direcciones. El argumento es una cadena que puede
norte
re
metro
norte
Establece una preferencia o valor reciente, anulando el valor por defecto y cualquier valor leído de una preferencia o archivos recientes.
El argumento de la bandera es una cadena de la forma prefname: valor, dónde
184
prefname es el nombre de la preferencia (que es el mismo nombre que aparecería en el
preferencias o reciente archivo), y valor es el valor al que debe ajustarse. Varias instancias de `-o <ajustes de preferencias>` se puede dar
en una sola línea de comandos.
Usted puede obtener una lista de todas las cadenas de preferencias disponibles en el archivo de preferencias. Ver Archivos y carpetas para detalles.
tablas de acceso de usuario se puede anular el uso de “UAT”, seguido del nombre del archivo UAT y un registro válido para el archivo:
Wireshark -o "UAT: user_dlts: \" Usuario 0 (DLT = 147) \ "\ "http \", \ "0 \", \ "\", \ "0 \", \ "\""
El ejemplo anterior podría diseccionar los paquetes de datos con un enlace de tipo libpcap 147 como HTTP, al igual que si se hubiera configurado
-pags
-- no-promiscuo-mode
No poner la interfaz en modo promiscuo. Tenga en cuenta que la interfaz podría estar en modo promiscuo por alguna otra razón. Por lo
tanto, - pags No se puede utilizar para asegurar que el único tráfico que se captura es el tráfico enviado hacia o desde la máquina en la
que Wireshark está en funcionamiento, el tráfico de difusión, y el tráfico multicast a direcciones recibidas por esa máquina.
- P <configuración de la ruta>
configuración de ruta especiales generalmente detectan automáticamente. Esto se utiliza para casos especiales, por ejemplo, a partir de Wireshark desde una
persconf: ruta
persdata: ruta
Ruta de los archivos de datos personales, que es la carpeta inicialmente abierto. Después de la inicialización, el archivo reciente mantendrá la última
carpeta utilizada.
185
- r <infile>
Esta opción proporciona el nombre de un archivo de captura de Wireshark para leer y la pantalla. Este archivo de captura puede estar en uno
Esta opción especifica un filtro de presentación para ser aplicado al leer paquetes desde un archivo de captura. La sintaxis de este filtro es
la de la pantalla filtros discuten en Filtrado de paquetes mientras se visualiza . Los paquetes que no coincidan con el filtro se descartan.
Esta opción especifica la longitud instantánea para utilizar cuando la captura de paquetes. Wireshark sólo se capturará snaplen bytes de
datos para cada paquete.
-S
Esta opción especifica que Wireshark mostrar los paquetes ya que los captura. Esto se hace mediante la captura en un solo proceso y
mostrarlos en un proceso separado. Esto es lo mismo que “Actualizar lista de paquetes en tiempo real” en el “Opciones de captura”
cuadro de diálogo.
Esta opción establece el formato de las marcas de tiempo de paquetes que se muestran en la ventana de lista de paquetes. El formato puede ser uno
de:
Relativa, que especifica las marcas de tiempo se muestran con respecto al primer paquete capturado.
una
Absoluta, que especifica que se mostrarán los tiempos reales para todos los paquetes.
anuncio
Absoluta con la fecha, que especifica que las fechas y los tiempos reales pueden mostrar para todos los paquetes.
Adoy
Con absoluta AAAA / fecha DOY, que especifica que las fechas y los tiempos reales pueden mostrar para todos los paquetes.
re
Delta, que especifica que las marcas de tiempo son en relación con el paquete anterior.
dd: Delta, que especifica que las marcas de tiempo son en relación con el paquete que se muestra anterior.
mi
186
Epoch, que especifica que las marcas de tiempo son segundos desde época (1 de enero, 1970 00:00:00)
Absoluta, que especifica que se mostrarán los tiempos reales para todos los paquetes en UTC.
ud
Absoluta con la fecha, que especifica que las fechas y los tiempos reales pueden mostrar para todos los paquetes en UTC.
Udoy
Con absoluta AAAA / fecha DOY, que especifica que las fechas y los tiempos reales pueden mostrar para todos los paquetes en UTC.
- U <s | HMS>
Mostrar timesamps como segundos ( “s”, el valor predeterminado) o en horas, minutos y segundos ( “HMS”)
-v
-- versión
- w <SaveFile>
Esta opción establece el nombre del archivo que se utiliza para guardar los paquetes capturados. Esto puede ser '-' para la salida estándar.
Si una captura se inicia desde la línea de comandos - k , establecer el tipo de enlace de datos a utilizar durante la captura de paquetes. Los
valores reportados por - L son los valores que pueden ser utilizados.
Si una captura se inicia desde la línea de comandos - k , establecer el tipo de marca de tiempo a utilizar durante la captura de paquetes. Los
valores reportados por - Lista-time-stamp-tipos son los valores que pueden ser utilizados.
- X <opción de extensión>
Especifique una opción para ser pasado a un módulo de Wireshark / Tshark. La opción de extensión esté en la forma extension_key:
valor, donde extension_key puede ser:
lua_script: <lua_script_filename>
Dice Wireshark para cargar la secuencia de comandos se administra en adición a los scripts Lua por defecto.
Dice Wireshark para pasar el argumento dado al script lua identificado por num, que es el número de orden del indexado lua_script mando.
Por ejemplo, si sólo una secuencia de comandos se cargó con - X lua_script: my.lua , luego - X lua_script1: foo pasará la cuerda foo al my.lua
guión. Si se cargaron dos scripts, tales como - X lua_script: my.lua -X lua_script: other.lua en
187
ese orden, y luego una - X lua_script2: Barra pasaría a la cadena bar a la segunda secuencia de comandos LUA, es decir.,
other.lua.
read_format: <file_type>
Dice Wireshark para utilizar un tipo de archivo de entrada específica, en lugar de determinar automáticamente.
stdin_descr: <descripción>
Definir una descripción de la interfaz de entrada estándar, en lugar del predeterminado: "entrada estándar".
- Y <filtro de visualización>
- z <estadísticas-string>
Obtener Wireshark para recoger diversos tipos de estadísticas y mostrar el resultado en una ventana que se actualiza en tiempo
semi-real. Para las estadísticas implementadas actualmente consulte la página de Wireshark.
la coloración de paquetes
Un mecanismo muy útil disponible en Wireshark es paquete de coloreado. Puede configurar Wireshark para que le proporcione colorear
paquetes de acuerdo con un filtro de presentación. Esto le permite enfatizar los paquetes que podía interesarle.
Se puede encontrar una gran cantidad de ejemplos de reglas para colorear en el Wireshark página Wiki Reglas para colorear a
https://wiki.wireshark.org/ColoringRules .
Hay dos tipos de coloración de las reglas de Wireshark: reglas temporales que sólo están en vigor hasta que salga del programa, y las reglas
permanentes que se guardan en un archivo de preferencias para que estén disponibles la próxima vez que ejecute Wireshark.
reglas temporales se pueden añadir mediante la selección de un paquete y presionando el Ctrl junto llave con una de las teclas numéricas. Esto creará una
regla para colorear basada en la conversación seleccionada en ese momento. Se tratará de crear un filtro de conversación basada en TCP en primer lugar,
a continuación, UDP, IP y entonces, por fin Ethernet. Los filtros temporales también se pueden crear mediante la selección de la Colorear con Filtro > de
color X elementos de menú al hacer clic derecho en el panel de detalles del paquete.
Para los paquetes de forma permanente Colorear, seleccione Ver > Reglas para colorear .... Wireshark mostrará el cuadro de diálogo “Reglas para colorear” como
188
Figura 87. El cuadro de diálogo “Reglas para colorear”
Si esta es la primera vez que utiliza el cuadro de diálogo Reglas para colorear y está usando el perfil de configuración por defecto debería ver las reglas
Más reglas específicas por lo general se deben enumerar reglas antes más generales. Por ejemplo, si usted tiene una regla para
NOTA
colorear para UDP antes de la una para DNS, la regla para el DNS no puede ser aplicado (DNS se realiza normalmente a través de
Puede crear una nueva regla haciendo clic en el [ +] botón. Puede eliminar una o más reglas haciendo clic en el [ -] botón. El botón de “copia”
duplicará regla.
Puede editar una regla haciendo doble clic sobre su nombre o filtro. En El cuadro de diálogo “Reglas para colorear” el nombre de la regla de
[ Fondo ] botones abrir un selector de color ( Un selector de color ) Para el primer plano (texto) y los colores de fondo, respectivamente.
189
Figura 88. Un selector de color
La apariencia de color selector depende de su sistema operativo. Se muestra el selector de color MacOS. Seleccione el color que desea para los
El uso de filtros de color con Wireshark muestra un ejemplo de varios filtros de color se utilizan en Wireshark. Nota que el detalle marco de
espectáculos que se aplicó la regla de “Bad TCP”, junto con el filtro coincidente.
190
Figura 89. El uso de filtros de color con Wireshark
Cada protocolo tiene su propio disector, por lo que la disección de un paquete completo implicará típicamente varios disectores. Como
Wireshark trata de encontrar el disector adecuado para cada paquete (usando estáticas “rutas” y heurística “adivinar”), podría elegir el
disector de mal en su caso específico. Por ejemplo, Wireshark no sabrá si se utiliza un protocolo común en un puerto TCP poco común, por
ejemplo, a través de HTTP en el puerto TCP 800 en lugar del puerto 80 estándar.
Hay dos formas de controlar las relaciones entre disectores de protocolo: deshabilitar el disector de un protocolo completo o temporalmente
desviar el camino Wireshark llama a los disectores.
cuadro de los Protocolos habilitados de diálogo le permite activar o desactivar los protocolos específicos. La mayoría de los protocolos están activados por
defecto. Cuando un protocolo está deshabilitado, Wireshark deja de procesar un paquete cada vez que se encontró que el protocolo.
191
Desactivación de un protocolo evitará que la información acerca de los protocolos de capa superior que se muestren.
Por ejemplo, supongamos que se desactivó el protocolo IP y seleccionó un paquete que contiene Ethernet, IP, TCP y
NOTA HTTP información. La información de Ethernet se visualiza, pero el IP, TCP y HTTP información no sería deshabilitar
IP lo impediría y los protocolos de las capas superiores se muestre.
Para habilitar o deshabilitar los protocolos seleccione Analizar > Protocolos habilitado .... Wireshark se abrirá el cuadro de diálogo “Protocolos Habilitado”
Para desactivar o activar un protocolo, simplemente haga clic en la casilla con el ratón. Tenga en cuenta que escribir unas cuantas letras del
nombre del protocolo en el buscador limitará la lista de los protocolos que contienen estas cartas.
[ Permitir a todos ]
[ Desactivar todo ]
[Invertir]
[ OKAY ]
Guardar y aplicar los cambios y cerrar el cuadro de diálogo, consulte Archivos y carpetas para detalles.
192
[Cancelar]
La funcionalidad “Decode Como” le permite disecciones de protocolos específicos de desvío temporal. Esto podría ser útil, por ejemplo, si
usted hace algunos experimentos poco comunes en la red.
Decode Como se accede mediante la selección de la Analizar > Decodificar Como .... Wireshark se abrirá el cuadro de diálogo “Decode Como” como se muestra en El
En este cuadro de diálogo que son capaces de editar entradas por medio de los botones de edición a la izquierda.
También puede aparecer este cuadro de diálogo desde el menú contextual de la lista de paquetes o los detalles del paquete. Que contendrá entonces una nueva línea
Estos ajustes se perderán si sale de Wireshark o cambiar el perfil a menos que guarde las entradas.
[+]
[-]
193
[ Dupdo ]
[ Claro ]
[ OKAY ]
[ Salvar ]
Guardar y aplicar las decodificaciones especificados por el usuario y cerrar el cuadro de diálogo.
[Cancelar]
preferencias
Hay una serie de preferencias que se pueden establecer. Sólo tiene que seleccionar el Editar > Preferencias ... (Wireshark
> Preferencias ... en MacOS) y Wireshark pop-up cuadro de diálogo de Preferencias como se muestra en cuadro de diálogo de las preferencias , Con
la página de “interfaz de usuario” por defecto. En el lado izquierdo es un árbol, donde puede seleccionar la página que se muestra.
• Los [ OKAY ] botón, se aplicarán los ajustes de las preferencias y cerrar el diálogo.
• Los [ Aplicar ] botón, se aplicarán las opciones de preferencias y mantener el diálogo abierto.
• Los [ Cancelar] botón restaurará todas las preferencias de configuración para el último estado guardado.
194
Figura 92. Las preferencias de cuadro de diálogo
Opciones de interfaz
En las preferencias de “captura” es posible configurar varias opciones para las interfaces disponibles en el ordenador. Seleccione el panel de
“captura” y pulse el botón [ Editar] botón. En esta ventana es posible cambiar el tipo de cabecera de capa de enlace predeterminada para la
interfaz, añadir un comentario o optar por ocultar una interfaz de otras partes del programa.
195
• Dispositivo: el nombre del dispositivo proporcionado por el sistema operativo.
• Por defecto de capa de enlace: cada interfaz puede proporcionar varios tipos de encabezamiento de capa de enlace. El linklayer predeterminado
elegido aquí es el que se utiliza cuando empiece a Wireshark. También es posible cambiar este valor en El cuadro de diálogo “Opciones de captura” cuando
se inicia una captura. Para una descripción detallada, consulte Tipo de cabecera de capa de enlace .
• Comentario: un usuario proporcionada descripción de la interfaz. Este comentario se utilizará como una descripción en lugar de la
descripción del sistema operativo.
• Ocultar ?: habilitar esta opción para ocultar la interfaz de otras partes del programa.
De perfiles de configuración se puede utilizar para configurar y utilizar más de un conjunto de preferencias y configuraciones. Selecciona el Editar >
Cambio + ⌘ + UNA ( macOS) y Wireshark emergerá el cuadro de diálogo de configuración de perfiles como se muestra en
caja Los perfiles de configuración de diálogo . También es posible hacer clic en el “perfil” parte de la barra de estado a un menú emergente con
196
◦ Tipos de trampas SNMP específico de la empresa () (snmp_specific_traps Tipos de trampas SNMP específico de la empresa )
• asignaciones disector cambiado ( decode_as_entries), que se puede fijar en el “Decode como ...” cuadro de diálogo ( Decodifica especificados por el
usuario ).
• Algunos ajustes recientes (reciente), tales como los tamaños de cristal en la ventana principal ( La ventana principal ), Ancho de las columnas en
la lista de paquetes ( La “Lista de paquetes” Panel ), Todas las selecciones en el Ver menú ( El menú “Ver” ) Y el último directorio navegado en el
Todas las demás configuraciones se almacenan en la carpeta de configuración personal y son comunes a todos los perfiles.
La lista de perfiles se puede filtrar introduciendo parte del nombre del perfil en el cuadro de búsqueda.
Los perfiles pueden ser filtrados entre mostrar "Todos los perfiles", "Los perfiles personales" y "Perfiles globales"
• Los perfiles personales - éstos son los perfiles almacenados en dirctory configuración del usuario
Nuevo (+)
Crear un nuevo perfil. El nombre del perfil creado es “Nuevo perfil” y se destaca de manera que pueda más fácilmente cambiarlo.
197
Borrar (-)
Elimina el perfil seleccionado. Esto incluye todos los archivos de configuración utilizados en este perfil. Múltiples perfiles se pueden
seleccionar y eliminar al mismo tiempo. No es posible eliminar el perfil “Default” o perfiles globales. Supresión del perfil de "defecto" se
restablecerá este perfil.
Dupdo
Copias del perfil seleccionado. Esto copia la configuración del perfil seleccionado actualmente en la lista. El nombre del perfil creado es
el mismo que el perfil copiado, con el texto “(copiar)” y se destaca de manera que pueda más fácilmente cambiarlo.
[Import]
Los perfiles pueden ser importados desde archivos zip, así como directamente de las estructuras de directorios. Perfiles, que ya existen por
[Exportar]
Los perfiles se pueden exportar a un archivo ZIP. perfiles globales, así como el perfil predeterminado se omitirán durante la exportación. Los
perfiles pueden ser seleccionados en la lista de forma individual y sólo se exportarán los perfiles seleccionados
[ OKAY ]
Este botón guarda todos los cambios, se aplica el perfil seleccionado y cierra el diálogo.
[Cancelar]
Cerrar este diálogo. Esto descartará los ajustes guardados, no se añadirán nuevos perfiles y no se eliminarán los perfiles eliminados.
[ Ayuda ]
Tabla de usuario
El editor de la tabla de usuario se utiliza para la gestión de varias mesas en Wireshark. Su diálogo principal funciona de manera muy similar a la de la
coloración de paquetes .
Macros pantalla de filtro son un mecanismo para crear accesos directos para filtros complejos. Por ejemplo definiendo una macro filtro de visualización
198
$ {Tcp_conv: 10.1.1.2; 10.1.1.3; 1200; 1400}
Macros Display de filtro pueden ser manejados con una tabla de usuario, como se describe en Tabla de usuario , seleccionando
Analizar > Mostrar filtros de macros en el menú. La tabla de usuarios tiene los siguientes campos:
Nombre
El nombre de la macro.
Texto
El texto de reemplazo para la macro que utiliza $ 1, $ 2, $ 3, ... como los argumentos de entrada.
encuentran generalmente en una XML SPIF , Que se utiliza para definir las etiquetas de seguridad.
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
Conjunto de etiquetas
Valor
Nombre
Si su copia de soportes de Wireshark MaxMind de MaxMindDB biblioteca, puede utilizar sus bases de datos para que coincida con las direcciones
IP a los países, cita, números de sistema autónomo, y otros bits de información. Algunas bases de datos son disponible sin costo , Mientras que
otros requieren una cuota de licencia. Ver la página web de MaxMind para más información.
La configuración para la base de datos MaxMind es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
Esto especifica un directorio que contiene los archivos de datos Maxmind. Cualquier archivo que termina con. mmdb se cargará automáticamente.
199
Las ubicaciones de los archivos de datos son de usted, pero / usr / share / GeoIP y / var / lib / GeoIP son comunes en Linux y C: \ Datos de
programa \ GeoIP , C: \ Archivos de programa \ Wireshark \ GeoIP podrían ser buenas opciones en Windows.
Las versiones anteriores de Wireshark apoyaron formato de base de datos de GeoIP de MaxMind Legado originales. Ellos se han configurado
similar a MaxMindDB archivos anteriores, excepto los archivos deben comenzar con GeoIP Geo y terminar con. dat. Ya no son compatibles y
MaxMind dejó de distribuir las bases de datos heredados GeoLite en abril de 2018.
Wireshark puede descifrar cifrados cargas útiles de IKEv2 (Internet Key Exchange versión 2) paquetes si se proporciona la información
necesaria. Tenga en cuenta que puede descifrar sólo los paquetes de IKEv2 con esta característica. Si desea descifrar paquetes IKEv1 o
paquetes ESP, utilice el valor de registro Nombre bajo el protocolo ISAKMP preferencias o ajustes en el protocolo ESP preferencia,
respectivamente.
Esto es manejado por una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
SPI del iniciador de la IKE_SA. Este campo toma cadena hexadecimal sin prefijo “0x” y la longitud debe ser de 16 caracteres
hexadecimales (representa 8 octetos).
SPI del respondedor del IKE_SA. Este campo toma cadena hexadecimal sin prefijo “0x” y la longitud debe ser de 16 caracteres
hexadecimales (representa 8 octetos).
SK_ei
Clave utilizada para cifrar / descifrar IKEv2 paquetes de iniciador para responder. Este campo toma cadena hexadecimal sin prefijo “0x”
y su longitud debe cumplir con el requisito del algoritmo de cifrado seleccionado.
SK_er
Clave utilizada para cifrar / descifrar IKEv2 paquetes de respondedor a iniciador. Este campo toma cadena hexadecimal sin prefijo “0x” y
su longitud debe cumplir con el requisito del algoritmo de cifrado seleccionado.
Algoritmo de cifrado
SK_ai
Clave usada para calcular la suma de comprobación de integridad de datos para los paquetes de respuesta a IKEv2 iniciador. Este campo
toma cadena hexadecimal sin prefijo “0x” y su longitud debe cumplir con el requisito del algoritmo de integridad seleccionado.
SK_ar
200
Clave usada para calcular la suma de comprobación de integridad de datos para los paquetes de IKEv2 iniciador para responder. Este campo
toma cadena hexadecimal sin prefijo “0x” y su longitud debe cumplir con el requisito del algoritmo de integridad seleccionado.
Algoritmo de integridad
identificadores de objetos
Muchos protocolos de que los identificadores uso uso ASN.1 de objeto (OID) a singularmente identifican ciertas piezas de información. En
muchos casos, se utilizan en un mecanismo de extensión de modo que los nuevos identificadores de objeto (y valores asociados) pueden ser
Mientras Wireshark tiene conocimiento acerca de muchos de los OID y la sintaxis de sus valores asociados, los medios de extensibilidad
que otros valores pueden ser encontrado.
Wireshark utiliza esta tabla para permitir al usuario definir el nombre y la sintaxis de identificadores de objetos que Wireshark no sabe nada
(por ejemplo, una extensión X.400 define de forma privada). También permite al usuario reemplazar el nombre y la sintaxis de identificadores
de objetos que Wireshark sabe acerca de (cambiando el nombre por ejemplo, “id-en-countryName” a sólo “c”).
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
OID
Nombre
El nombre que se debe mostrar por Wireshark cuando el identificador de objeto se diseca por ejemplo ( “c”);
Sintaxis
La sintaxis del valor asociado con el identificador de objeto. Esta debe ser una de las sintaxis que ya sabe acerca de Wireshark (por
ejemplo, “PrintableString”).
Wireshark utiliza esta tabla para asignar un identificador de contexto de presentación a un identificador de objeto dado, cuando la captura no
contiene un paquete PRES con una lista de definiciones de contexto de presentación para la conversación.
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
Id contexto
Un entero que representa el identificador de contexto de presentación para el que esta asociación es válida.
201
Sintaxis Nombre OID
El identificador de objeto que representa el nombre de sintaxis abstracta, que define el protocolo que se realiza sobre esta asociación.
Wireshark utiliza esta tabla para asignar protocolos específicos para una determinada combinación de DPC / SSN para SCCP.
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
Indicador de red
Un entero que representa el indicador de red para el que esta asociación es válida.
DPC llamados
Una gama de enteros que representan el DPC para el que esta asociación es válida.
SSN llamados
Una gama de números enteros que representan los SSN para el que esta asociación es válida.
protocolo de usuario
Un directorio de módulos, por ejemplo, / usr / local / SNMP / MIB . Wireshark utiliza automáticamente la ruta estándar SMI para su sistema, por lo
Wireshark utiliza esta tabla para asignar valores específicos del trampa para descripciones definidas por el usuario en una PDU Trap. La descripción se muestra
202
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
OID de empresa
Id trampa
Descripción
Wireshark utiliza esta tabla para verificar la autenticación y para descifrar los paquetes cifrados SNMPv3.
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
Si se da esta entrada será utilizada únicamente para los paquetes cuyo Identificación del motor es esto. Este campo tiene una cadena hexadecimal
en forma 0102030405.
Nombre de usuario
Este es el nombre de usuario. Cuando un usuario tiene más de una contraseña para diferentes SNMPengines la primera entrada para que
coincida tanto se toma, si necesita una captura todos los motores-id (vacío) que la entrada debe ser el último.
modelo de autenticación
Contraseña
La contraseña de autenticación. Utilizar \ xDD para caracteres no imprimibles. Una contraseña hexadecimal debe introducirse como una
secuencia de \ xDD caracteres. Por ejemplo la contraseña hexagonal 010203040506 se debe escribir como \ x01 \ x02 \ x03 \ x04 \ x05 \
x06. El carácter \ debe ser tratado como un carácter no imprimible, es decir, se debe introducir como \ X5c o \ X5c.
protocolo de privacidad
contraseña de privacidad
La clave de protección. Utilizar \ xDD para caracteres no imprimibles. Una contraseña hexadecimal debe introducirse como una secuencia
de \ xDD caracteres. Por ejemplo la contraseña hexagonal 010203040506 se debe escribir como \ x01 \ x02 \ x03 \ x04 \ x05 \ x06. El
carácter \ debe ser tratado como un carácter no imprimible,
es decir, se debe introducir como \ X5c o \ X5c.
203
Tektronix K12xx / 15 protocolos RF5 Tabla
archivos de los usos Tektronix K12xx / 15 Formato de archivo de RF5 helper (* .stk) para identificar los distintos protocolos que son utilizados por un
determinado interfaz. Wireshark no lee estos archivos STK, se utiliza una tabla que le ayuda a identificar qué protocolo de capa más baja de uso.
archivo Stk a protocolo coincidente es manejado por una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
cadena de búsqueda
Una coincidencia parcial de un nombre de archivo STK, los primeros partidos ganados, así que si usted tiene un caso específico y uno general que la específica
Protocolo
Este es el nombre del protocolo de encapsulación (la capa más baja en el de datos por paquetes) puede ser ya sea sólo el nombre del
protocolo (por ejemplo, MTP2, eth_witoutfcs, SSCF-NNI) o el nombre del protocolo de encapsulación y el protocolo de “aplicación” sobre
ella separado por dos puntos (por ejemplo SSCOP: sscfnni, SSCOP: ALCAP, SSCOP: NBAP, ...)
Cuando un archivo pcap utiliza una de las DLTs de usuario (147 a 162) Wireshark utiliza esta tabla para saber qué protocolo (s) a usar para cada
DLT usuario.
Esta tabla es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
DLT
Este es el nombre del protocolo de carga útil (la capa más baja en el de datos por paquetes). (Por ejemplo, “eth” para Ethernet, “IP” para IPv4)
tamaño de la cabecera
Si hay un protocolo de la cabecera (antes de que el protocolo de carga útil) esto indica qué tamaño de esta cabecera es. Un valor de 0 desactiva el
protocolo de cabecera.
protocolo de la cabecera
Trailer tamaño
Si hay un protocolo de remolque (después de que el protocolo de carga útil) esta dice que el tamaño de este remolque es. Un valor de 0 desactiva el protocolo
remolque.
204
protocolo de remolque
El nombre del protocolo de remolque para ser utilizadas (utiliza “datos” por defecto).
los Formato de alambre binario de Protocol Buffers (protobuf) mensajes no son protocolo describe a sí mismo. Por ejemplo, el varint tipo de
alambre en el paquete protobuf se puede convertir en int32, Int64, uint32, uint64, Sint32, sint64, bool o en el campo enum tipos de idioma
búferes de protocolo . Wireshark debe configurarse con los archivos de idioma Protocolo tampones (*) .proto para permitir la disección
adecuada de los datos protobuf (que puede ser de carga útil de GRPC ) En base a las definiciones de mensajes, de enumeración y de campo.
Puede especificar protobuf rutas de búsqueda en las preferencias de protocolo protobuf. Por ejemplo, si ha definido un archivo con la ruta
proto d: /my_proto_files/helloworld.proto y el helloworld.proto
contiene una línea de importar "google / protobuf / any.proto"; porque el ninguna tipo de biblioteca protobuf oficial
es usado. Y el real camino de any.proto es d: / protobuf-
3.4.1 / include / google / protobuf / any.proto . Debe agregar el d: /protobuf-3.4.1/include/ y
d: / my_proto_files caminos en protobuf rutas de búsqueda.
La configuración para las rutas de búsqueda protobuf es una tabla de usuario, como se describe en Tabla de usuario , Con los siguientes campos:
Esto especifica un directorio que contiene los archivos de origen protobuf. Por ejemplo, d: / protobuf-
3.4.1 / include / y d: / my_proto_files en Windows, o / Usr / include / y
/ home / alice / my_proto_files en Linux / UNIX.
Si esta opción está activada, Wireshark los carga a todos * .proto archivos de este directorio y sus subdirectorios cuando arranque
Wireshark o protobuf rutas de búsqueda preferencias cambian. Tenga en cuenta que los directorios de origen configurado para que
protobuf oficial o de terceros bibliotecas ruta (como
d: /protobuf-3.4.1/include/ ) no debe ser ajustado a cargar todos los archivos, que pueden causar la memoria occuption innecesaria.
La configuración para el puerto UDP (s) a Protobuf tipo de mensaje mapas es una tabla de usuario, como se describe en
205
Tipo de mensaje
El tipo de mensaje Protobuf como que deben ser analizados los datos de la especificada udp puerto (s). Se deja que el tipo de mensaje que está
vacío, que los medios permiten Protobuf para diseccionar los datos en los puertos UDP especificado como tipo de alambre normal sin definiciones
precisas.
Consejos: Usted puede crear su propia disector llamar Protobuf de disección. Si su disector está escrito en lenguaje C, se puede pasar el
tipo de mensaje a Protobuf de disección por datos parámetro de la función call_dissector_with_data (). Si su disector está escrito en Lua,
puede pasar el tipo de mensaje a Protobuf de disección por pinfo.private [ "pb_msg_type"] . El formato de datos y
pinfo.private [ "pb_msg_type"] es
"Mensaje" message_type_name
Por ejemplo:
mensaje, helloworld.HelloRequest
206
COMPAÑERO
Introducción
MATE: Meta Análisis y Seguimiento de motor
¿Cuál es MATE? Bueno, para mantenerlo muy corto, con el compañero puede crear extensión configurable por el usuario (s) del motor de filtro de
visualización.
El objetivo de MATE es permitir a los usuarios a los marcos de filtro en base a información extraída de los marcos o información relacionada
sobre cómo los marcos se relacionan entre sí. MATE fue escrito para ayudar a las pasarelas de solución de problemas y otros sistemas en los
que un "uso" implica más protocolos. Sin embargo MATE se puede utilizar también para analizar otras cuestiones relativas a una interacción
entre paquetes como tiempos de respuesta, incompleto de transacciones, presencia / ausencia de ciertos atributos en un grupo de unidades
PDU y más.
MATE es un plugin Wireshark que permite al usuario especificar cómo los diferentes marcos están relacionados entre sí. Para ello, extractos
MATE datos de árbol de los marcos y, a continuación, utilizar esa información, trata de agrupar los marcos en función de cómo se configura
MATE. Una vez que las PDU están relacionados MATE creará un árbol "protocolo" con los campos que el usuario puede filtrar. Los campos
serán casi los mismos para todos los marcos relacionados, por lo que se puede filtrar una sesión completa que abarca varios marcos que
contienen más protocolos basados en un atributo que aparece en algún marco relacionada. Aparte de eso MATE permite a los marcos de filtro
• Filtrar todos los paquetes de una llamada mediante diversos protocolos de saber exactamente el número que llama. (Compañero de meta original)
• Filtrar todos los paquetes de todas las llamadas utilizando diversos protocolos basados en la causa de liberación de uno de sus "segmentos".
• transacciones lentas extrapolar a partir de capturas muy "densas". (Búsqueda de solicitudes que el tiempo de espera)
• Más…
Empezando
Estos son los pasos para probar MATE:
• Ejecutar Wireshark y compruebe si el plugin está instalado correctamente (MATE debe aparecer en Ayuda → Acerca de → plugins)
• Obtener un archivo de configuración por ejemplo tcp.mate (véase De Mate / Ejemplos para más) y colocarlo en algún lugar de
207
su disco duro.
• Ir a Preferencias → → Protocolos MATE y establecer el nombre del archivo de configuración para el archivo que desea utilizar (no es necesario reiniciar
Wireshark)
• Cargar un archivo de captura correspondiente (por ejemplo, http.cap ) Y ver si MATE ha añadido algunos nuevos campos de filtro de
visualización, algo así como: aparearse tcp_pdu: 1 → tcp_ses: 1 o, en el indicador: via_a / Wireshark -o "mate.config: tcp.mate" -r http.cap .
Si algo ha ido bien, los detalles de su paquete podría ser algo como esto:
Manual MATE
Introducción
MATE crea un árbol filtrable sobre la base de la información contenida en los marcos que comparten algún tipo de relación con la
información obtenida de otros marcos. La forma en que se realizan estas relaciones se describe en un archivo de configuración. El archivo
de configuración MATE dice lo que hace que una PDU y cómo relacionarlo con otras PDU.
MATE analiza cada trama para extraer información relevante del árbol "protocolo" de ese marco. La información extraída está contenida en
las PDU MATE; estos contienen una lista de atributos relevantes tomadas del árbol. A partir de ahora, voy a utilizar el término "PDU" para
referirse a los objetos creados por MATE que contiene la información relevante extraída de la trama; Voy a usar "marco" para referirse a la
información "en bruto" extraído por los distintos disectores que pre-analizaron el marco.
Por cada PDU, cheques MATE si pertenece a un "grupo de PDUs" existente (GOP). Si lo hace, se asigna a la PDU que Gop y se mueve ningún
nuevos atributos relevantes a la lista de atributos de los republicanos. Cómo y cuándo hacerlo PDU pertenecen a Gops se describe en el
Cada vez que un GOP se asigna un nuevo PDU, MATE comprobará si coincide con las condiciones para que sea
208
pertenecer a un "grupo de los Grupos" (Gog). Naturalmente, las condiciones que hacen que un GOP pertenecen a un Gog se toman del archivo de
configuración también.
Una vez MATE se realiza el análisis de la estructura será capaz de crear un árbol "protocolo" para cada trama en base a la PDU, los Gops al
que pertenecen y, naturalmente, cualquier Gogs el primero pertenece a.
Cómo saber qué extraer MATE, cómo agrupar y luego cómo se relacionan esos grupos se realiza mediante TVA y AVPLs.
La información contenida en MATE está contenida en el atributo / pares de valores (TVA). AVP están formadas por dos cadenas: el nombre
y el valor. AVPs se utiliza en la configuración y no tienen un operador también. Hay varias maneras de AVP puede ser igualada unos contra
otros utilizando los operadores.
AVPs se agrupan en las listas de AVP (AVPLs). PDU, Gops y Gogs tienen un AVPL cada uno. Sus AVPLs serán emparejados de diversas
maneras contra otros procedentes del archivo de configuración.
MATE será instruido cómo extraer TVA de marcos con el fin de crear una PDU con un AVPL. Se instruyó así, cómo hacer coincidir que
AVPL contra los AVPLs de otras PDU similares con el fin de relacionarlos. En MATE la relación entre las PDU es un GOP, tiene una AVPL
también. MATE se configurará con otros AVPLs para operar en contra de los republicanos AVPL relacionar Gops juntos en Gogs.
Una buena comprensión de cómo los TVA y AVPLs trabajo es fundamental para comprender el funcionamiento de MATE.
Información utilizada por MATE relacionar diferentes marcos está contenida en el atributo / pares de valores (TVA). AVP están formadas por
dos cadenas - el nombre y el valor. Cuando AVPs se utilizan en la configuración, un operador se define también. Hay varias maneras de
AVP puede ser igualada unos contra otros utilizando los operadores.
El nombre es una cadena que se utiliza para referirse a un "tipo" de un AVP. Dos AVP no coincidirá menos que sus nombres son idénticos.
No debe usar mayúsculas en los nombres de los personajes, o nombres que comienzan con “” o “_”. nombres en mayúsculas están
reservados para los parámetros de configuración (que llamaremos palabras clave); nada que prohíbe el uso de cadenas en mayúsculas para
otras cosas también, pero probablemente sería confuso. Voy a evitar el uso de palabras en mayúsculas para nada más que las palabras clave
en este documento, el manual de referencia, los ejemplos y la biblioteca de la base. Nombres que comienzan con un “” serían muy confuso,
así porque en la antigua gramática, transformaciones AVPL usan nombres que comienzan con un “” para indicar que pertenecen a la AVPL
reemplazo.
El valor es una cadena que se establece ya sea en la configuración (por AVPs de configuración) o por Wireshark
209
mientras que la extracción campos interesantes de árbol de un marco. Los valores extraídos de los campos utilizan la misma representación que lo
El nombre sólo puede contener caracteres alfanuméricos, "_", y "". El nombre termina con un operador.
El valor será tratado como una cadena, incluso si se trata de un número. Si hay espacios en el valor, el valor debe estar entre comillas "".
La forma en dos TVA con el mismo nombre podría partido se describe por el operador. Recuerde dos AVP no coincidirá menos que sus
nombres son idénticos. En MATE, las operaciones de los partidos se hacen siempre entre los AVPs extraídos de marcos (llamados AVPs de
datos) y AVPs de la configuración.
• Igual = Coincidirá si la cadena dada coincide completamente cadena de valor de los datos del AVP
• No es igual ! coincidirá sólo si la cadena de valor dado no es igual a la cadena de valor de los datos del AVP
• Uno de {} Coincidirá si una de las posibles cadenas que aparece es igual a la cadena de valor de la AVP datos
• Comienza con ^ Coincidirá si la cadena dada coincide con los primeros caracteres de cadena de valor de los datos del AVP
• Termina con $ Coincidirá si la cadena dada partidos los últimos caracteres de cadena de valor de los datos del AVP
• contiene ~ Coincidirá si la cadena dada coincide con cualquier subcadena de la cadena de valor de la AVP datos
• Más bajo que <Coincidirá si la cadena de valor de la AVP datos son semánticamente más baja que la cadena dada
• Más alto que > Coincidirá si la cadena de valor de la AVP datos es semánticamente más alta que la cadena dada
• existe ? (La? Se pueden omitir recayendo) coincidirá por lo que existe un AVP de datos del nombre dado
listas de AVP
Un AVPL es un conjunto de diversos AVPs que se pueden emparejar contra otros AVPLs. Cada PDU, Gop y Gog tiene un AVPL que contiene
la información sobre él. Las reglas que los usos MATE para agrupar unidades PDU y Gops son operaciones AVPL.
Nunca habrá dos TVA idénticos en un determinado AVPL. Sin embargo, podemos tener más de un AVP con el mismo nombre en un AVPL
siempre que sus valores son diferentes.
210
Algunos ejemplos: AVPL
(Addr = 10.20.30.40, addr = 192.168.0.1, tcp_port = 21, tcp_port = 32.534, user_cmd = PORT, data_port = 12.344,
data₋addr = 192.168.0.1)
(Addr = 10.20.30.40, addr = 192.168.0.1, CHANNEL_ID = 22: 23, message_type = La instalación, calling_number =
1244556673)
(Addr = 10.20.30.40, addr = 192.168.0.1, ses_id = 01: 23: 45: 67: 89: ab: cd: ef) (user_id = pippo,
calling_number = 1244556673, assigned_ip = 10.23.22.123)
• AVPLs operación que provienen de la configuración y se utilizan para contar MATE cómo relacionar elementos en función de sus AVPLs
de datos.
• suelta de ajuste : Coincidirá si al menos uno de los TVA de cada partido AVPL. Si coincide devolverá un AVPL que contiene todos los
TVA de la AVPL operando que se correspondían con los TVA del operador.
• "Cada partido : Coincidirá si ninguno de los AVP del operador AVPL no coincide con un AVP presente en el operando AVPL, aunque no
todos los TVA del operador tienen un partido. Si coincide devolverá un AVPL que contiene todos los TVA desde el operando AVPL que
hizo un partido AVP en el AVPL operador.
• Partido estricta : Coincidirá si y sólo si cada uno de los TVA del operador tiene al menos un partido en el AVPL operando. Si coincide
devolverá un AVPL que contiene los TVA desde el operando que hacía juego.
• También hay un Unir operación que se va a realizar entre AVPLs donde se añadirán todos los AVPs que no existen en el operando
AVPL pero existen en el operando al operando AVPL.
• Aparte de que hay transformaciones - una combinación de un partido y un AVPL AVPL de fusión.
Análisis MATE
• En la primera fase, los intentos MATE para extraer una MATE Pdu de árbol en el protocolo del marco. MATE creará una PDU si config
de MATE tiene una PDU cuya declaración proto está contenida en la trama.
• En la segunda fase, si una PDU ha sido extraída de la trama, MATE tratará de grupo a otras PDUs en un GOP (Grupo de PDUs)
haciendo coincidir los criterios clave dadas por un gop declaración. Si no hay Gop sin embargo, con los criterios clave para la PDU,
MATE tratará de crear un nuevo Gop por ello si coincide con el comienzo Criterium figuran en la declaración Gop.
• En la tercera fase, si hay un GOP de la PDU, MATE tratará de agrupar esta Gop con otros Gops
211
en un Gog (Grupo de Grupos) utilizando los criterios dados por el Miembro criterios de una declaración Gog.
La lógica de extracción y la coincidencia proviene de la configuración del MATE; archivo de configuración del MATE es declarado por el mate.config
preferencia. Por defecto es una cadena vacía que significa: no se aparean configure.
El archivo de configuración MATE dice lo que debe buscar en los marcos; Como hacer PDU fuera de él; ¿Cómo PDU estar relacionado con otros similares
El archivo de configuración MATE es una lista de declaraciones. Hay 4 tipos de declaraciones: Transformar, PDU, gop y Gog.
212
PDU de la pareja de
MATE se verá en el árbol de cada cuadro para ver si hay datos útiles para extraer, y si existe, se creará una o más PDU de objetos que
contiene la información útil.
La primera parte del análisis del MATE es la "extracción PDU"; hay varios "Acciones" que se utilizan para instruir MATE lo que ha de ser
extraído del árbol del marco actual en las PDU de MATE.
MATE hará una PDU para cada campo proto diferente de Proto tipo presente en el marco. MATE buscará desde el árbol del campo de
aquellos campos que están definidos en el acciones de configuración de Pdsu
declaración inicial cuyo desplazamiento en el marco está dentro de los límites de la corriente Proto y los de las declaraciones de transporte y
carga dada.
MATE hará una PDU para cada campo proto diferente de Proto tipo presente en el marco. MATE buscará desde el árbol del campo de
aquellos campos que están definidos en el acciones de configuración de Pdsu AVPL cuyo desplazamiento inicial en el marco está dentro de
los límites de la corriente Proto y los de los diferentes transportes asignados.
Una vez MATE ha encontrado una proto Campo del cual crear una PDU desde el bastidor se moverá hacia atrás en el bastidor en busca de
la respectiva Transporte campos. Después de que creará TVA nombradas como cada una de las indicadas en el resto de la AVPL para cada
instancia de los campos, declarado como su
213
valores.
A veces necesitamos información de más de una Transporte protocolo. En ese caso MATE comprobará el marco de mirar hacia atrás para
buscar los diversos Transporte protocolos en la pila dada. MATE elegir sólo el límite de transporte más cercano al "protocolo" en el marco.
De esta manera vamos a tener todas las PDU para cada proto que aparece en un marco coinciden con sus transportes relativos.
Esto permite asignar la derecha Transporte a la PDU evitar entradas de protocolo de transporte duplicados (en el caso de un túnel IP sobre
IP, por ejemplo).
214
PDU ftp_pdu Proto ftp transporte TCP / IP {
Extraer addr De ip.addr;
Extraer puerto De tcp.port;
Extraer FTP_CMD De ftp.command; };
Aparte de la obligatoria Transporte también hay un opcional Carga útil declaración, que funciona más o menos como Transporte sino que se
refiere a los elementos después de la proto' s rango. Es útil en aquellos casos en los que el protocolo de carga útil podría no aparecer en una
PDU pero sin embargo la PDU pertenece a la misma categoría.
215
Las condiciones en la que crear PDU
Puede haber casos en los que no vamos a querer MATE para crear una PDU menos algunos de sus atributos extraídos cumplen o no
cumplen con algunos criterios. Para que utilizamos el criterios declaraciones de la PDU
declaraciones.
// MATE creará isup_pdu PDU sólo cuando no hay un código de punto de '1234' Criterios de rechazo estricto
(M3PC = 1,234); };
// MATE creará ftp_pdu PDU solamente cuando van al puerto 21 de nuestros criterios servidor_ftp Aceptar Estricto
(dir = 10.10.10.10, puerto = 21); };
los criterios mención se da una acción ( Aceptar o Rechazar), un modo de juego ( Estricta, Loose o Cada)
y un AVPL contra el cual coincide con el que actualmente se extrae.
Una vez que los campos se han extraído en AVPL de la PDU, MATE se aplicará ninguna transformación declarado a la misma. La forma en que
se aplican las transformaciones y la forma en que el trabajo se describe más adelante. Sin embargo, es útil saber que una vez que se crea el
AVPL de la PDU, puede ser transformado antes de ser analizados. De esta manera nos puede dar masajes a los datos para simplificar el
análisis.
Cada Pdu creado con éxito añadirá un árbol MATE a la disección marco. Si la PDU no está relacionado con ningún Gop, el árbol de la PDU
contendrá solo información de la PDU, si está asignada a un GOP, el árbol también contendrá los elementos Gop, y lo mismo se aplica para
el nivel de Gog.
216
aparearse dns_pdu:
1 dns_pdu: 1
dns_pdu tiempo: 3.750000
Atributos dns_pdu
dns_resp: 0
dns_id: 36012
dir: 10.194.4.11
dir: 10.194.24.35
• el árbol contendrá los diversos atributos de la PDU, así, éstas serán todas las cadenas (para ser utilizado en filtros como "10.0.0.1", no
como 10.0.0.1)
◦ mate.dns_pdu.dns_resp
◦ mate.dns_pdu.dns_id
◦ mate.dns_pdu.addr
Una vez MATE ha creado las PDU pasa a la fase de análisis PDU. Durante el análisis MATE fase PDU intentará grupo PDU del mismo tipo
en 'Grupos de PDUs' (aka * * Gop s) y copiar algunos de los TVA AVPL de la PDU a AVPL del GOP.
217
Lo que puede pertenecer a un GOP
Teniendo en cuenta una PDU, lo primero que va a hacer es MATE para comprobar si hay alguna declaración Gop en la configuración para el
tipo de PDU dada. Si es así, se hará uso de su Partido AVPL para que coincida contra AVPL de la PDU; Si no coinciden, se realiza la fase de
análisis. Si hay una coincidencia, el AVPL es clave candidata de los republicanos que se utiliza para buscar el índice de la Gop para el GOP
al que se asignará la PDU actual. Si no hay tal Gop y esta PDU no coincide con el comienzo criterios de una declaración Gop para el tipo de
PDU, la PDU permanecerán sin asignar y sólo se llevará a cabo la fase de análisis.
ftp_ses gop En ftp_pdu partido (dir, dir, puerto, puerto); dns_req gop En
dns_pdu partido (dir, dir, dns_id); Gop isup_leg En isup_pdu partido (M3PC,
M3PC, CIC);
Inicio de un GOP
Si había un partido, la clave candidata se puede utilizar para buscar el índice de la Gop para ver si ya existe un GOP coinciden con la clave
de los republicanos de la misma manera. Si hay un partido de tales en la colección Gops, y la PDU no coincide con el comienzo AVPL de su
tipo, se le asignará la PDU a la coincidencia de Gop. Si se trata de una comienzo coincide, MATE comprobará si o no que Gop ya ha sido
detenido. Si el GOP se ha detenido, un nuevo Gop se creará y reemplazará a la antigua en el índice del GOP.
218
Gop ftp_ses En ftp_pdu partido (dir, dir, puerto, puerto) {Inicio (FTP_CMD =
USUARIO); };
Gop dns_req En dns_pdu partido (dir, dir, dns_id) {Inicio (dns_resp = 0);
};
Si no comienzo se da para un GOP, una PDU cuya AVPL coincide con una clave de Gog existente actuará como el comienzo de un GOP.
Una vez que sabemos que existe un GOP y la PDU se ha asignado a la misma, MATE copiará en AVPL del Gop todos los atributos que coincidan con la
clave, además de los AVP de AVPL de la PDU que concuerden con la Extra AVPL.
Gop ftp_ses En ftp_pdu partido (dir, dir, puerto, puerto) {Inicio (FTP_CMD =
USUARIO); Extra (pasv_prt, pasv_addr); };
Final de un GOP
Una vez que la PDU se ha asignado a la Gop, MATE comprobará si o no la PDU coincide con el
Detener, si sucede, MATE marcará el GOP como detenido. Incluso después de detenido, un GOP puede quedar asignado nueva PDU igualando su
clave, a menos que tales partidos PDU Comienzo. Si lo hace, MATE en su lugar crear un nuevo Gop empezando por el PDU.
219
Gop ftp_ses En ftp_pdu partido (dir, dir, puerto, puerto) {Inicio (FTP_CMD =
USUARIO);
Stop (FTP_CMD = QUIT); // se le asignará La respuesta al comando QUIT para el mismo Gop
Gop dns_req En dns_pdu partido (dir, dir, dns_id) {Inicio (dns_resp = 0);
Stop (dns_resp = 1); };
Si no Detener criterio se establece para un determinado Gop, el GOP se detiene tan pronto como se crea. Sin embargo, como con cualquier otro
Gop, PDU coinciden con la clave de los republicanos todavía será asignado a la Gop a no ser que coincidan con una comienzo condición, en cuyo
Para cada trama contiene una PDU que pertenece a un GOP, MATE creará un árbol para que Gop.
220
...
aparearse dns_pdu: 6-> dns_req: 1
dns_pdu: 6
dns_pdu tiempo: 2.103063
dns_pdu tiempo desde inicio de GOP: 2.103063
dns_req: 1
Atributos dns_req
dns_id: 36012
dir: 10.194.4.11
dir: 10.194.24.35
Los tiempos dns_req
Aparte de árbol de la PDU, éste contiene información sobre la relación entre las PDU que pertenecen al GOP. De esta manera tenemos:
• mate.dns_req que contiene el ID de este dns_req Gop. Este estará presente en tramas que pertenecen a Gops dns_req.
• mate.dns_req.dns_id y mate.dns_req.addr que representan los valores de los atributos copiados en el GOP.
◦ mate.dns_req.StartTime tiempo (en segundos) que pasa desde el inicio de la captura hasta el inicio de Gop.
◦ mate.dns_req.Time tiempo transcurrido entre el inicio y la parada de Pdu Pdu asignado a este GOP (sólo se crea si un criterio de
parada se ha declarado para el GOP y una coincidencia ha llegado PDU).
◦ mate.dns_req.Duration tiempo transcurrido entre el inicio PDU y la última UDP asignado a este Gop.
221
temporizadores del GOP
• Hora, que se define sólo por Gops que se han detenido, y da el tiempo transcurrido entre la comienzo y el Detener PDU.
• Duración, que se define por cada regardles Gop de su estado, y darle el tiempo transcurrido entre su comienzo PDU y el último PDU
que se asignó a ese Gop.
Asi que:
• podemos filtrar por las PDU que pertenecen a Gops que se han detenido con mate.xxx.Time
• podemos filtrar por las PDU que pertenecen a Gops abrirán con mate.xxx && mate.xxx.Time
• podemos filtrar por las PDU que pertenecen a Gops dejado de usar mate.xxx.Duration
• podemos filtrar por las PDU que pertenecen a Gops que han tardado más (o menos) que el tiempo para completar con 0.5s mate.xxx.Time>
0.5 ( puede probar estos también como filtros de color para saber cuando los tiempos de respuesta comienzan a crecer)
Cuando se crean Gops, o cuando sus cambios AVPL, Gops son (re) analizada para comprobar si coinciden con un grupo existente de
grupos (GOG) o puede crear una nueva. El análisis Gop se divide en dos fases. En la primera fase, el todavía sin asignar Gop se comprueba
para verificar si pertenece a un Gog ya existente o crear uno nuevo. La segunda fase, finalmente, comprueba el Gog y registra sus llaves en
el índice Gogs.
222
Hay varias razones para que el autor cree que esta característica tiene que ser reimplantado, así que probablemente habrá cambios
profundos en la forma en que esto se lleva a cabo en un futuro próximo. Esta sección de la documentación refleja la versión de la pareja
como de Wireshark 0.10.9; en versiones futuras esto va a cambiar.
223
La declaración de un grupo de Grupos
Lo primero que tenemos que hacer la configuración de un Gog es para decir que existe MATE.
Entonces tenemos que decirle MATE qué buscar una coincidencia en los Gops candidatos.
Gog web_use {
http_ses miembros (host); dns_req
miembro (anfitrión); };
Muy a menudo, también otros atributos que los utilizados para la coincidencia sería interesante. Con el fin de copiar de Gop a Gog otros
atributos interesantes, podríamos utilizar Extra como lo hacemos para Gops.
Extra (cookie); };
árbol de Gog
224
aparearse http_pdu: 4-> http_req: 2-> http_use: 1
http_pdu: 4
http_pdu tiempo: 1.309847
http_pdu tiempo desde inicio de GOP: 0.218930
http_req: 2
. . . (Árbol del GOP para http_req: 2) ..
http_use: 1
http_use Atributos
host: www.example.com
Los tiempos http_use
• mate.http_use.Duration el tiempo transcurrido entre el primer fotograma de un Gog y el último que se le asigna.
◦ mate.http_use.host
Transforma AVPL
Una transformada es una secuencia de Rules Match opcionalmente completado con modificación del resultado del partido por un AVPL adicional. Tal
modificación puede ser un inserto (de combinación) o una Reemplazar. Transformadas pueden ser utilizados como ayudantes para manipular AVPL
de un artículo antes de que se procesa adicionalmente. Llegan a ser muy útil en varios casos.
Sintaxis
Transformar nombre {
Partido [Estricto | Todos | Loose] match_avpl [Insertar | Reemplazar] modify_avpl; ...};
los nombre es la palanca para la transformación AVPL. Se utiliza para referirse a la transformación cuando se invoca más tarde.
225
los Partido Instruir declaraciones MATE qué y cómo va a contrastar los datos AVPL y cómo modificar la AVPL datos si el partido tiene éxito.
Ellos se ejecutarán en el orden en que aparecen en el archivo de configuración cada vez que se invocan.
La clasificación para el modo de juego opcional ( Estricta, cada, o Suelto) se utiliza para elegir el modo de emparejamiento como se explicó anteriormente; Estricto
El modo de modificación opcional calificador instruye MATE cómo se debe utilizar el AVPL de modificación:
• el valor por defecto Insertar ( que puede ser omitido) hace que el modify_avpl ser fusionado a la AVPL datos existentes,
• el Reemplazar Provoca que todos los AVP coincidentes de los datos a ser AVPL reemplazado por el modify_avpl.
los modify_avpl puede ser una vacía; esto viene útil en algunos casos, tanto para Insertar y Reemplazar
modos de modificación.
Ejemplos:
Transformar insert_name_and {
Coincidir con estricto (host = 10.10.10.10, puerto = 2345) Insert (name = JohnDoe); };
agrega name = JohnDoe a la AVPL datos si contiene host = 10.10.10.10 y port = 2345
Transformar insert_name_or {
Partido flojo (host = 10.10.10.10, puerto = 2345) Insert (name = JohnDoe); };
agrega name = JohnDoe a la AVPL datos si contiene host = 10.10.10.10 o port = 2345
Transformar replace_ip_address {
Match (host = 10.10.10.10) Sustituir (host = 192.168.10.10); };
Transformar add_ip_address {
Match (host = 10.10.10.10) (host = 192.168.10.10); };
añade (insertos) host = 192.168.10.10 a la AVPL, manteniendo el host original = 10.10.10.10 en ella también
226
Transformar replace_may_be_surprising {
Partido Loose (a = AAAA, b = bbbb) Sustituir (c = cccc, d = dddd); };
• (A = AAAA, b = eeee) se transforme a (b = eeee, c = cccc, d = dddd) porque a = AAAA encontró así que conseguimos reemplazado mientras que b =
eeee no coincide con lo que se ha dejado intacto,
• (A = AAAA, b = bbbb) se transforma a (c = cccc, d = dddd) porque tanto a = AAAA y b = bbbb hizo partido.
Uso
Una vez declarada, las transformadas se pueden agregar a las declaraciones de PDU, Gops o Gogs. Esto se hace mediante la adición de la transformar
• En caso de PDU, se aplica la lista de transformaciones contra AVPL de la PDU después de su creación.
• En caso de Gop y Gog, se aplica la lista de transformaciones en contra de sus respectivos AVPLs cuando se crean y cada vez que
cambia.
Operación
227
• Una lista de las transformadas previamente declarados se puede dar a cada artículo (PDU, Gop, o Gog), mediante la instrucción
Transform.
• Cada vez que el AVPL de un elemento cambia, será operado en contra todos Las transformaciones en la lista dada a ese elemento. Las
transformaciones en la lista se aplican de izquierda a derecha.
• Dentro de cada una de las transformadas, AVPL del artículo será operado en contra de las cláusulas de coincidencia de Transformar a partir de la
más alta, hasta que todos hayan sido juzgados o hasta que uno de ellos tiene éxito.
Utilizando transformadas podemos añadir más de una condición de arranque o parada de un GOP.
Transformar start_cond {
Partido (attr1 = aaa, bbb attr2 =) (= Msg_type comienzan); Partido
(attR3 = www, attr2 = bbb) (= Msg_type comienzan); Match (attr5 ^ a)
(Msg_type = stop); Partido (attr6 $ z) (Msg_type = parada); };
Transformar start_cond; }
Transformar marcas {
Match (addr = 10.10.10.10, user = john) (john_at_host); Match (addr =
10.10.10.10, user = tom) (tom_at_host); }
...
Transformar marcas; }
228
Después de que podemos utilizar un filtro de presentación mate.gop.john_at_host o mate.gop.tom_at_host
Transformar direction_as_text {
Match (src = 192.168.0.2, dst = 192.168.0.3) Sustituir (dirección = from_2_to_3); Match (src =
192.168.0.3, dst = 192.168.0.2) Sustituir (dirección = from_3_to_2); };
Extra (dirección); }
NAT
NAT puede crear problemas a la hora de rastreo, pero que fácilmente puede trabajar alrededor de ella mediante la transformación de la dirección
Transformar denat {
Match (addr = 192.168.0.5, éter = 01: 02: 03: 04: 05: 06) Sustituir (addr = 123.45.67.89); Match (addr =
192.168.0.6, éter = 01: 02: 03: 04: 05: 06) Sustituir (addr = 123.45.67.90); Match (addr = 192.168.0.7, éter = 01:
02: 03: 04: 05: 06) Sustituir (addr = 123.45.67.91); }
229
sobre MATE
MATE fue escrito originalmente por Luis Ontañón, unos sistemas de Telecomunications solucionador de problemas, como una manera de ahorrar tiempo
filtrando los paquetes de una sola llamada de enormes archivos de captura utilizando sólo el número que llama. Más tarde se utilizó el tiempo que había
ahorrado para que sea lo suficientemente flexible como para trabajar con protocolos distintos de los que él estaba directamente involucrado.
• utilizar mate.http_use.Duration> 5.5 a los marcos de filtro basado en el tiempo que tarda en cargar una página completa de la solicitud de
DNS para resolver su nombre hasta la última imagen se carga.
• utilizar mate.http_use.client == "10.10.10.20" && mate.http_use.host == "www.example.com" Para aislar DNS y HTTP paquetes
relacionados con la visita de un determinado usuario.
• utilizar mate.http_req.Duration> 1.5 Para filtrar todos los paquetes de solicitudes HTTP que toman más de
1,5 segundos para completar.
Nota: para este ejemplo he usado dns.qry.name que se define desde Wireshark versión 0.10.9. Suponiendo que usted tiene un plugin
compañero ya instalado puede probarlo con la versión actual de Wireshark.
En primer lugar se lo diremos MATE cómo crear un GOP para cada petición DNS / respuesta.
MATE tiene que saber lo que hace que una PDU de DNS. Se describe que esta usando una declaración Pdu:
Utilizando dns proto le decimos MATE para crear PDU cada vez que encuentra dns. Utilizando IP de transporte MATE informamos que algunos de los
campos que nos interesan se encuentran en el ip parte de la trama. Por último, le decimos a la importación MATE ip.addr como addr, dns.id como dns_id y dns.flags.respo
como dns_resp.
Una vez que hemos dicho MATE cómo extraer dns_pdus le diremos que coincide con la forma de las solicitudes y respuestas
230
y agruparlos en un GOP. Para ello vamos a utilizar una gop Declaración para definir el GOP, y luego, comienzo
y Detener declaraciones que dicen que cuando el GOP comienza y termina.
Utilizando la gop declaración le decimos que el MATE Nombre del GOP es dns_req, ese dns_pdus pueden llegar a ser miembros del GOP, y lo que
es la clave que se utiliza para que coincida con las PDU del GOP.
La clave para este Gop es " dir, dir, dns_id". Eso significa que para pertenecer a la misma Gop,
dns_pdus tiene que tener ambas direcciones y el Identificación del pedido idéntico. Nos MATE entonces que indicarle que una
dns_req comienza cuando una dns_pdu partidos " dns_resp = 0" y que se detiene cuando otro dns_pdu
partidos " dns_resp = 1" .
En este punto, si abrimos un archivo de captura utilizando esta configuración, que son capaces de utilizar un filtro de presentación
mate.dns_req.Time> 1 para ver sólo los paquetes de peticiones DNS que tienen más de un segundo para completarse.
Podemos utilizar un filtro de presentación mate.dns_req &&! mate.dns_req.Time para encontrar las solicitudes para las que se le dio ninguna respuesta. mate.xxx.Time
Gop http_req En http_pdu partido (dir, dir, puerto, puerto) {Inicio (http_rq); Stop
(http_rs); };
• filtrado con mate.http_req.Time> 1 dará todas las solicitudes en las que la cabecera de respuesta lleva más de un segundo para venir
231
• filtrado con mate.http_req.Duration> 1.5 mostrará los petición de que tome más de 1,5 segundos en completarse.
Hay que saber que mate.xxx.Time da el tiempo en segundos entre la PDU que coincida con el GopStart y la PDU que coincida con el
GopStop (sí, puede crear temporizadores que utilizan este!). Por otra parte, mate.xxx.Duration le da el tiempo transcurrido entre la GopStart
y la última UDP asignado a ese Gop sin importar si se trata de una parada o no. Después de la GopStop, PDU coinciden con la clave de los
republicanos todavía se le asignará a la misma Gop la medida en que no coinciden con el GopStart, en cuyo caso se creará un nuevo Gop
con la misma clave.
Vamos a unir a un solo Gog todo el http paquetes que pertenecen a las peticiones y las respuestas a un determinado host y la solicitud DNS
y la respuesta se utiliza para resolver su nombre de dominio con las definiciones PDU y Gop de los ejemplos anteriores
Para poder DNS grupo de peticiones HTTP y juntos, necesitamos importación en la PDU y Gops alguna parte de la información que tanto los
protocolos de acción. Una vez que las unidades PDU y Gops se han definido, podemos utilizar extracto ( para PDU) y extracto ( GOP) de
comando para decir lo MATE otros campos de protocolo que deben añadirse a las PDU y Gops' AVPLs. Añadimos las siguientes
declaraciones a las declaraciones correspondientes:
Extracto de acogida De http.host; // para Pdu http_pdu como el último extracto de la lista adicional (host); // a Gop
http_req después de la parada
Extracto de acogida De dns.qry.name; // para Pdu dns_pdu como el último extracto de la lista adicional (host); // a Gop
dns_req después de la parada
Aquí hemos dicho MATE a la importación http.host dentro http_pdu y dns.qry.name dentro dns_pdu como anfitrión. También tenemos que contar MATE
para copiar el anfitrión atributo de la PDU a los Gops, hacemos esto usando Extra.
Una vez que tenemos todos los datos que necesitamos en las PDU y Gops, le decimos MATE lo que hace diferentes Gops pertenecen a un determinado Gog.
Gog http_use {
http_req miembro (anfitrión);
dns_req miembro (anfitrión);
Caducidad 0,75; };
Utilizando la Gog declaración le decimos MATE para definir un tipo Gog llamado http_use cuyo vencimiento es
0.75 segundos después de que todos los Gops que pertenecen a ella se habían detenido. Después de ese tiempo, una nueva Gop eventual con el
mismo partido clave creará un nuevo lugar de Gog ha añadido a la Gog anterior.
232
Utilizando la Miembro declaraciones que dicen que MATE http_req * s con el mismo host * pertenecen a la misma Gog, lo mismo para
dns_req * * s.
Hasta ahora hemos dado instrucciones a su compañero de grupo de todos los paquetes relacionados con las sesiones hacia un host determinado. En este punto, si abrimos un
archivo de captura y:
• un filtro de presentación mate.http_use.Duration> 5 mostrará sólo aquellas solicitudes que han tardado más de 5 segundos para
arranque completo de la solicitud de DNS y terminando con el último paquete de las respuestas HTTP.
• un filtro de presentación mate.http_use.host == "www.w3c.org" mostrará todos los paquetes (tanto DNS y HTTP) relacionados con las
solicitudes dirigidas a www.w3c.org
Esta configuración funciona bien si se utiliza para las capturas tomadas en el lado del cliente, pero más profundo en la red que había conseguido
un verdadero desastre. Las peticiones de muchos usuarios se reúnen mezclado en http_uses. Gogs se crean y se detuvieron casi al azar
(dependiendo del momento en el que Gops de inicio y parada). ¿Cómo podemos llegar peticiones de los usuarios individuales separados unos de
otros?
MATE tiene una herramienta que se puede utilizar para resolver este tipo de problemas de agrupación. Esta herramienta son la
Transforma. Una vez definidos, se pueden aplicar contra la PDU, Gops y Gogs y podrían reemplazar o insertar más atributos basados en lo
que hay. Las usaremos para crear un cliente de atributo mencionado, con el que vamos a separar diferentes peticiones.
Para el DNS necesitamos la ip.src de la solicitud movido en el GOP sólo desde la petición DNS.
A continuación, nos dirá MATE para reemplazar ( dns_resp = 1, cliente ) con tan solo dns_resp = 1 en la PDU. De esta manera, vamos a seguir el
atributo cliente sólo en la solicitud de DNS PDU (es decir, los paquetes que llegan desde el cliente) .Para ello, hay que añadir una Transformar declaración
(en este caso, con una sola cláusula) antes de la declaración Pdu que lo utiliza:
Transformar rm_client_from_dns_resp {
Partido (dns_resp = 1, cliente) Reemplazar (dns_resp = 1); };
A continuación, se invoca la transformación, añadiendo la siguiente línea después de la Extraer lista de la dns_pdu Pdu:
233
Transformar rm_client_from_dns_resp;
HTTP es un poco más difícil. Tenemos que quitar el atributo llevar ip.src de la respuesta y de las "continuaciones" de la respuesta, pero
como no hay nada que el filtro para las continuaciones, tenemos que añadir un atributo falso en primer lugar. Y luego tenemos eliminar el
cliente cuando aparece el atributo falso. Esto es posible debido al hecho de que la Partido cláusulas en el Transformar son ejecutados uno a
uno hasta que uno de ellos tiene éxito. En primer lugar, declaramos otros dos transforma:
Transformar rm_client_from_http_resp1 {
Partido (http_rq); // primer partido gana lo que la solicitud no conseguirá el atributo not_rq insertada
Cada partido (dir) Insertar (not_rq); // esta línea no será evaluado si el primero emparejado de modo not_rq no se
insertará a las solicitudes};
Transformar rm_client_from_http_resp2 {
Partido (not_rq, cliente) Reemplazar (); // reemplazar "cliente y not_rq" sin nada (sólo ocurrirá en la respuesta y
eventuales partes de la misma)};
A continuación, añadimos otro Extraer declaración a la http_pdu declaración, y se aplica tanto transformadas
declarado anteriormente en un orden adecuado:
En MATE, toda la Transform_s enumerados para un artículo serán evaluados, mientras que dentro de una única _Transform, la evaluación se
detendrá en el primer éxito Partido cláusula. Es por eso que primero Sólo coinciden http_rq para salir de la primera secuencia antes de añadir el not_rq
que elimina tanto not_rq y cliente si ambos están allí. Sí, _Transform_s son engorrosos, pero son muy útiles.
Una vez que llegamos todo lo que necesitamos en la PDU, tenemos que decirle MATE para copiar el atributo cliente de la PDU a los Gops respectivos,
mediante la adición de cliente Extra las listas tanto de las declaraciones GOP:
Además de eso, tenemos que modificar las viejas declaraciones de clave Gop a otros nuevos que incluyen tanto
cliente y anfitrión. Así que cambiamos el Gog Miembro Declaraciones de la siguiente manera:
234
http_req miembro (anfitrión, cliente); dns_req
miembro (anfitrión, cliente);
La siguiente es una colección de varios ejemplos de configuración para el mate. Muchos de ellos son inútiles porque la instalación de
"conversaciones" hace un mejor trabajo. De todos modos que están destinados a ayudar a los usuarios la comprensión de cómo configurar MATE.
sesión TCP
Gop tcp_ses En tcp_pdu partido (dir, dir, puerto, puerto) {Inicio (tcp_start = 1);
Stop (tcp_stop = 1); };
Hecho;
• filtrado con mate.tcp_ses.Time> 1 dará todas las sesiones que duran menos de un segundo
• filtrado con mate.tcp_ses.NumOfPdus <5 mostrará todas las sesiones TCP que tengan menos de 5 paquetes.
• filtrado con mate.tcp_ses.Id == 3 mostrará todos los paquetes de la sesión ha encontrado MATE tercer TCP
Esta configuración permite atar una sesión FTP pasiva completa (incluyendo la transferencia de datos) en un solo Gog.
235
PDU ftp_pdu Proto ftp transporte TCP / IP {
Extraer ftp_addr De ip.addr;
Extraer ftp_port De tcp.port;
Extraer ftp_resp De ftp.response.code;
Extracto ftp_req De ftp.request.command;
Extraer SERVER_ADDR De ftp.passive.ip;
Extraer server_port De ftp.passive.port;
LastPdu; };
};
ftp_ses Gog {
ftp_ctl miembro (ftp_addr, ftp_addr, ftp_port, ftp_port);
ftp_data miembros (SERVER_ADDR, server_port); };
Hecho;
Nota: no tener nada que distinguir entre los paquetes de datos ftp hace que esta configuración para crear un GOP para cada paquete de
datos ftp en lugar de cada transferencia. Pre-comenzó Gops evitaría esto.
Espiar a la gente, además de ser inmoral, es ilegal en muchos países. Este es un ejemplo destinado a explicar cómo hacerlo sin una
invitación para hacerlo. Todo depende de la policía para hacer este tipo de trabajo cuando hay una buena razón para hacerlo.
236
PDU radius_pdu El radio de transporte UDP / IP addr
{Extracto De ip.addr; Extraer puerto De udp.port; Extracto
radius_id De radius.id; Extraer radius_code De radius.code;
Extraer user_ip De radius.framed_addr; Desde extraer nombre
de usuario radius.username; }
radius_req gop En radius_pdu (radius_id, dir, dir, puerto, puerto) {Inicio (radius_code {1 | 4 |
7}); Stop (radius_code {2 | 3 | 5 | 8 | 9}); Extra (user_ip, nombre de usuario); }
Gop user_smtp_ses En user_smtp (! User_ip, user_ip, smtp_port 25) {Inicio (tcp_start = 1);
Stop (tcp_stop = 1); }
// con el siguiente grupo de grupos vamos grupo Juntos el radio y el smtp // establecemos una larga caducidad para
evitar la sesión expirará el pausas largas. Gog user_mail {Expiración 1800;
Hecho;
Filtrar el archivo de captura con mate.user_mail.username == "theuser" filtrará los paquetes de radio y tráfico SMTP para " el usuario".
237
PDU Q931 Q931 Proto IP de transporte {
Extraer addr De ip.addr;
Extraer call_ref De q931.call_ref;
Extraer q931_msg De q931.message_type;
Extraer Llamar desde q931.calling_party_number.digits;
Extraer llamada De q931.called_party_number.digits;
Extraer GUID h225.guid;
Extraer q931_cause De q931.cause_value; };
Gog llamada {
ras_req miembro (GUID);
q931_leg miembro (GUID);
Extra (llamada, llamando, q931_cause); };
Hecho;
• filtrar toda la señalización de llamadas con una causa de liberación específica: mate.call.q931_cause == 31
238
MMS
Con este ejemplo, todos los componentes de un MMS enviar o recibir será atado en una sola Gog. Tenga en cuenta que este ejemplo se utiliza la Carga
útil cláusula porque usos de entrega de MMS MMSE sobre HTTP o WSP. Como no es posible relacionar la petición de recuperación de una
respuesta por parte de los medios de MMSE solamente (la solicitud es sólo un HTTP GET sin ningún tipo MMSE), un GOP está hecho de HTTP
PDU pero necesita ser extraído de los cuerpos de los datos del MMSE.
Transformar rm_client_from_http_resp1 {
Partido (http_rq);
Cada partido (dir) Insertar (not_rq); };
Transformar rm_client_from_http_resp2 {
Partido (not_rq, ue) Reemplazar (); };
Transformar mms_start {
Partido flojo () Insertar (mms_start); };
239
PDU mmse_over_wsp_pdu Proto WSP IP de transporte {
MMSE de carga útil;
Extraer TRX De mmse.transaction_id;
Extraer Msg_type De mmse.message_type;
Extracto notify_status De mmse.status;
Extraer SEND_STATUS De mmse.response_status;
Transformar mms_start; };
mms Gog {
mmse_over_http miembro (TRX);
mmse_over_wsp miembro (TRX);
Extra (ue, notify_status, SEND_STATUS, respectivamente, anfitrión, TRX);
Caducidad 60,0; };
La biblioteca MATE (voluntad) contiene definiciones GoP para varios protocolos. protocolos de la biblioteca se incluyen en su configuración
MATE usando: _action = Incluir; Lib = proto_name; _.
Para cada protocolo con una entrada de biblioteca, vamos a encontrar lo definimos de la PDU que se necesita para crear un GOP para ese
protocolo, eventualmente, cualquier criterio y la definición muy esencial GOP (es decir, GopDef, GopStart y GopStop).
Parece que este código está escrito en la antigua sintaxis de MATE. Hasta el momento no ha sido transcrita en el
NOTA nuevo formato. Todavía puede formar la base para recrear estos en el nuevo formato.
TCP
Se va a crear un GOP para cada sesión TCP, si se utiliza debe ser el último en la lista. Y todos los demás proto por encima de TCP debe ser
declarada con STOP = TRUE; por lo que la una PDU TCP no se crea cuando llegamos ya uno pasando.
240
Action = PduDef; Name = tcp_pdu; Proto = tcp; Transport = ip; addr = ip.addr; port = tcp.port; tcp_start = tcp.flags.syn;
tcp_stop = tcp.flags.fin; tcp_stop = tcp.flags.reset; Action = GopDef; Name = tcp_session; On = tcp_pdu; addr; addr;
Puerto; Puerto; Action = GopStart; Para = tcp_session; tcp_start = 1; Action = GopStop; Para = tcp_session; tcp_stop =
1;
DNS
creará un GOP que contiene cada petición y de respuesta (eventualmente también retransmisiones).
Action = PduDef; Name = dns_pdu; Proto = dns; Transport = UDP / IP; addr = ip.addr; port = udp.port; dns_id = dns.id;
dns_rsp = dns.flags.response;
Action = GopDef; Name = dns_req; On = dns_pdu; addr; addr; el puerto 53!; dns_id; Action = GopStart;
Para = dns_req; dns_rsp = 0; Action = GopStop; Para = dns_req; dns_rsp = 1;
RADIO
Action = PduDef; Name = radius_pdu; Proto = radio; Transport = UDP / IP; addr = ip.addr; port = udp.port;
radius_id = radius.id; radius_code = radius.code;
Action = GopDef; Name = radius_req; On = radius_pdu; radius_id; addr; addr; Puerto; Puerto; Action = GopStart; Para =
radius_req; radius_code | 1 | 4 | 7; Action = GopStop; Para = radius_req; radius_code | 2 | 3 | 5 | 8 | 9;
RTSP
Action = PduDef; Name = rtsp_pdu; Proto = rtsp; Transport = TCP / IP; addr = ip.addr; port = tcp.port;
rtsp_method = rtsp.method;
Action = PduExtra; Para = rtsp_pdu; rtsp_ses = rtsp.session; rtsp_url = rtsp.url;
Action = GopDef; Name = rtsp_ses; On = rtsp_pdu; addr; addr; Puerto; Puerto; Action = GopStart;
Para = rtsp_ses; rtsp_method = DESCRIBIR; Action = GopStop; Para = rtsp_ses; rtsp_method =
DESMONTAJE; Action = GopExtra; Para = rtsp_ses; rtsp_ses; rtsp_url;
VoIP / Telefonía
La mayoría de las definiciones de protocolo aquí crearán un GOP para cada llamada pierna menos que se indique.
241
DEPENDE
Action = PduDef; Name = isup_pdu; Proto = ISUP; Transport = MTP3; mtp3pc = mtp3.dpc; mtp3pc = mtp3.opc;
cic = isup.cic; isup_msg = isup.message_type;
Action = GopDef; Name = isup_leg; On = isup_pdu; ShowPduTree = true; mtp3pc; mtp3pc; CIC; Action = GopStart; Para
= isup_leg; isup_msg = 1; Action = GopStop; Para = isup_leg; isup_msg = 16;
Q931
Action = PduDef; Name = q931_pdu; Proto = Q931; STOP = TRUE; Transport = TCP / IP; addr = ip.addr; call_ref =
q931.call_ref; q931_msg = q931.message_type;
Action = GopDef; Name = q931_leg; On = q931_pdu; addr; addr; call_ref; Action = GopStart;
Para = q931_leg; q931_msg = 5; Action = GopStop; Para = q931_leg; q931_msg = 90;
H225 RAS
Action = PduDef; Name = ras_pdu; Proto = h225.RasMessage; Transport = UDP / IP; addr = ip.addr; ras_sn =
h225.RequestSeqNum; ras_msg = h225.RasMessage; Action = PduExtra; Para = ras_pdu; GUID = h225.guid;
Action = GopDef; Name = ras_leg; On = ras_pdu; addr; addr; ras_sn; Action = GopStart; Para =
ras_leg; ras_msg | 0 | 3 | 6 | 9 | 12 | 15 | 18 | 21 | 26 | 30; Action = GopStop; Para = ras_leg;
sorbo
Action = PduDef; Proto = sip_pdu; Transport = TCP / IP; addr = ip.addr; port = tcp.port; sip_method =
sip.Method; sip_callid = sip.Call-ID; llamando = sdp.owner.username;
Action = GopDef; Name = sip_leg; On = sip_pdu; addr; addr; Puerto; Puerto; Action = GopStart;
Para = SIP; sip_method = INVITE; Action = GopStop; Para = SIP; sip_method = BYE;
MEGACO
242
"Atarse" a GdG uso de su llamada: Action = GogKey; Name = your_call; On = mgc_tr; addr mgc_addr!; megaco_ctx;
Action = PduDef; Name = mgc_pdu; Proto = Megaco; Transport = ip; addr = ip.addr; megaco_ctx = megaco.context;
megaco_trx = megaco.transid; megaco_msg = megaco.transaction; plazo = megaco.termid;
Action = GopDef; Name = mgc_tr; On = mgc_pdu; addr; addr; megaco_trx; Action = GopStart; Para
= mgc_tr; megaco_msg | Solicitud | Notificar; Action = GopStop; Para = mgc_tr; megaco_msg =
Responder;
Action = GopExtra; Para = mgc_tr; plazo ^ DS1; megaco_ctx Elija uno!;
MATE usos TVA para casi todo: para mantener los datos que ha extraído de árboles de los marcos, así como para mantener los elementos
de la configuración.
Estos "pares" (en realidad tuples) están hechos de un nombre, un valor y, en caso de AVPs de configuración, un operador. Los nombres y
los valores son cadenas. AVPs con operadores distintos de '=' sólo se utilizan en la configuración y se utilizan para hacer coincidir AVPs de
PDUs, GoP y Gogs en la fase de análisis.
Nombre
El nombre es una cadena que se utiliza para hacer referencia a una clase de TVA. Dos atributos no coincidirá con menos sus nombres son idénticos.
nombres en mayúsculas están reservados para palabras clave (se puede utilizar para sus elementos si quieres, pero creo que no es el caso). MATE
nombres de atributos se pueden utilizar en la pantalla del Wireshark filtra la misma manera como los nombres de los campos de protocolo
proporcionados por disectores, pero no son sólo referencias a (o alias de campos de protocolo).
Valor
El valor es una cadena. Se encuentra ya sea en la configuración (por TVA de configuración) o por MATE al extraer los campos de interés de
un árbol de disección y / o la manipulación de ellos más tarde. Los valores extraídos de los campos utilizan la misma representación que lo
hacen en las cadenas de filtros.
operadores
Actualmente, sólo se ajustan a los operadores están definidos (hay planes para (re) transformar añadir atributos pero algunos problemas
internos tienen que ser resueltos antes de eso). Las operaciones de los partidos siempre se realizan entre dos operandos: el valor de un
AVP se indica en la configuración y el valor de un AVP (o varios AVPs con el mismo nombre) extraídos de paquetes de datos (llamados
"AVPs de datos"). No es posible hacer coincidir los TVA datos entre sí.
243
Los operadores de los partidos definidos son:
• Igual = Prueba de igualdad, que es: o bien las cadenas de valor son idénticos o el partido se producirá un error.
• Uno de {} Coincidirá si una de las cadenas de valor que aparece es igual a la cadena de la AVP datos. TEMS individuales de la lista
dentro de las llaves se separan usando | personaje.
• Comienza con ^ Coincidirá si la cadena de valor de configuración coinciden con los primeros caracteres de la cadena de valor de la AVP datos.
• Termina con $ Coincidirá si la cadena de valor de configuración coinciden con los últimos caracteres de la cadena de valor de la AVP datos.
• contiene ~ Coincidirá si la cadena de valor de configuración coincide con una subcadena de los caracteres de la cadena de valor de la AVP
datos.
• Más bajo que <Coincidirá si la cadena de valor de la AVP datos son semánticamente más baja que la cadena de valor de configuración.
• Más alto que > Coincidirá si la cadena de valor de la AVP datos es semánticamente más alta que la cadena de valor de configuración.
• existe ? (Se puede omitir) coincidirá si coincide el nombre AVP, sin importar lo que la cadena de valor.
Este pruebas operador si los valores del operador y el AVP del operando son iguales.
Ejemplo
Este operador coincide si las cadenas de valor de dos AVP no son iguales.
Ejemplo
El "uno de los" partidos de operador si el valor AVP de datos es igual a uno de los valores que figuran en el "uno de" AVP.
Ejemplo
244
attrib = 4 no coincide con attrib {1 | 2 | 3}
Los "comienza con" partidos operador si los primeros caracteres del valor AVP de datos son idénticos al valor AVP configuración.
Ejemplo
Los extremos con el operador se ajustan a si los últimos bytes del valor AVP de datos son iguales al valor AVP configuración.
Ejemplo
contiene operador
El "contiene" operador coincidirá si el valor de AVP de datos contiene una cadena idéntico al valor AVP configuración.
Ejemplo
El "menor que" operador coincidirá si el valor de AVP datos se semánticamente menor que el valor AVP configuración.
Ejemplo
245
LOCO
"Superior" operador
El "mayor que" operador coincide si el valor de AVP de datos es semánticamente mayor que el valor AVP configuración.
Ejemplos
LOCO
existe operador
El operador existe siempre coincidirá por lo que los dos operandos tienen el mismo nombre.
Ejemplos
PDU, GoP y Gogs utilizar un AVPL para contener la información de seguimiento. Un AVPL es un conjunto no seleccionados de
Hay tres tipos de operaciones de los partidos que se pueden realizar entre AVPLs. de la PDU / GOP / AVPL de Gog será siempre uno de los
operandos; el operador AVPL (tipo de concordancia) y el segundo operando AVPL siempre vendrán de la configuración . Tenga en cuenta
que un operador de partido AVP diversa puede ser especificado para cada AVP en el AVPL configuración.
Una operación partido AVPL devuelve un resultado AVPL. En Transformar s, la AVPL resultado puede ser reemplazado por otro AVPL. Los
medios de reemplazo que los AVP de datos existentes se eliminan y el reemplazo de la AVPL configuración es fusionado a la AVPL datos de
la PDU / GP / Gobierno de Guyana.
• suelta de ajuste : Coincidirá si al menos uno de los AVP de los dos operandos AVPLs coinciden. Si se
246
partidos, devuelve un resultado AVPL que contiene todos los TVA a partir de los datos AVPL que se correspondían con los TVA de la configuración.
• "Cada partido : Coincidirá si ninguno de los AVP de la configuración AVPL no coincide con un AVP en el AVPL datos, aunque no todos
los AVP de configuración tienen un partido. Si coincide, devuelve un resultado AVPL que contiene todos los TVA de la AVPL datos que
se correspondían con un AVP en el AVPL configuración.
• Partido estricta : Coincidirá si y sólo si cada uno de los AVP en la configuración AVPL tiene al menos un partido en el AVPL datos. Si
coincide, devuelve un resultado que contiene AVPL esos TVA de la AVPL datos que corresponde.
suelta de ajuste
Un partido suelta entre AVPLs tiene éxito si al menos uno de los partidos AVPs de datos al menos uno de los AVPs de configuración. Su
resultado AVPL contiene todos los datos AVP que hacía juego.
partidos sueltos se utilizan en operaciones extra contra la PDU 'S AVPL para combinar el resultado en gop Es AVPL, y en contra gop 'S AVPL
para combinar el resultado en Gog Es AVPL. También pueden ser utilizados en criterios
y Transformar s.
En fecha actual (2.0.1), suelta de ajuste no funciona como se describe aquí, en bug 12184 . Utilizar solamente en las transformadas
NOTA
y Criterios se ve afectada de manera efectiva por el insecto.
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) de ajuste flojo (attr_a ?, attr_c?) = ⇒ (attr_a = aaa, attr_c = xxx)
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) de ajuste flojo (attr_a ?, attr_c = CCC) = ⇒ (attr_a = aaa)
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) de ajuste flojo (attr_a = xxx; attr_c = CCC) = ⇒ No Match!
Cada partido
Un "cada" partido entre AVPLs tiene éxito si ninguno de los TVA de la configuración que tienen una contrapartida en los datos AVPL no
coincide. Su resultado AVPL contiene todos los datos AVP que hacía juego.
NOTA En fecha actual (2.0.1), suelta de ajuste no funciona como se describe aquí, en bug 12184 .
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) Partido Todos (attr_a ?, attr_c?) = ⇒ (attr_a = aaa, attr_c = xxx)
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) Partido Todos (attr_a ?, attr_c ?, attr_d = ddd) = ⇒ (attr_a = aaa, attr_c = xxx)
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) Partido Todos (attr_a ?, attr_c = CCC) = ⇒ No Match!
247
(Attr_a = aaa; attr_b = bbb; attr_c = xxx) Partido Todos (attr_a = xxx, attr_c = CCC) = ⇒ No Match!
Partido estricta
Un partido estricta entre AVPLs tiene éxito si y sólo si todos los AVP en la configuración AVPL tiene al menos una contrapartida en los datos
AVPL y ninguno de los partidos AVP falla. El resultado AVPL contiene todos los datos AVP que hacía juego.
Estos se utilizan entre las teclas GOP (AVPLs clave) y AVPLs PDU. También pueden ser utilizados en criterios
y Transformar s.
Ejemplos
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) de ajuste de Estricto (attr_a ?, attr_c = xxx) = ⇒ (attr_a = aaa, attr_c = xxx)
(Attr_a = aaa, attr_b = bbb, attr_c = xxx, yyy = attr_c) Partido Estricto (attr_a ?, attr_c?) = ⇒ (attr_a = aaa, attr_c = xxx, yyy = attr_c)
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) Partido Estricto (attr_a ?, attr_c = CCC) = ⇒ No Match!
(Attr_a = aaa, attr_b = bbb, attr_c = xxx) Partido Estricto (attr_a ?, attr_c ?, attr_d?) = ⇒ No Match!
Combinar AVPL
Un AVPL podrá fusionarse en otro. Eso sería añadir a este último todos los AVP de la antigua que aún no existe allí.
• entre el resultado de una Transformar emparejar y PDU / GOP AVPL. Si la operación especificada por la cláusula de ajuste está a
reemplazar, la AVPL resultado del partido se retira de AVPL del artículo antes de la modify_avpl se combina en ella.
Ejemplos
(Attr_a = aaa, attr_b = bbb) Merge (attr_a = aaa, attr_c = xxx) anterior se convierte en (attr_a = aaa, attr_b = bbb, attr_c = xxx)
(Attr_a = aaa, attr_b = bbb) Merge (attr_a = aaa, attr_a = xxx) anterior se convierte en (attr_a = aaa, attr_a = xxx, attr_b = bbb)
(Attr_a = aaa, attr_b = bbb) Merge (attr_c = xxx, attr_d = ddd) anterior se convierte en (attr_a = aaa, attr_b = bbb, attr_c = xxx, attr_d = ddd)
248
transformadas
Una transformada es una secuencia de Rules Match opcionalmente seguido por una instrucción cómo modificar el resultado del partido usando un
AVPL adicional. Tal modificación puede ser un inserto (de combinación) o una Reemplazar. La sintaxis es la siguiente:
Transformar nombre {
Partido [Estricto | Todos | Loose] match_avpl [[Insertar | Reemplazar] modify_avpl]; // puede ocurrir varias veces,
al menos una vez};
La lista de Partido gobierna el interior de una parte superior de transformación se procesa a abajo; los extremos de procesamiento tan pronto como sea una regla de
Transformadas pueden ser utilizados como ayudantes para manipular AVPL de un artículo antes de que el artículo se procesa adicionalmente. Una declaración
de elemento puede contener una cláusula que indica Transformar una lista de las transformadas previamente declarados. Independientemente de que las
transformaciones individuales tienen éxito o fracasan, la lista siempre se ejecuta por completo y en el orden dado, es decir, de izquierda a derecha.
En el archivo de configuración MATE, una transformación debe declararse antes de declarar cualquier elemento que lo utiliza.
configuración AVPLs
En cada cuadro de la captura, MATE buscará fuente proto_name' s PDU en el orden en que aparecen las declaraciones en su configuración
y crearán las PDU de cada tipo que puede partir de ese marco, a menos que indique expresamente que algún tipo de PDU es el último en
ser buscado en el marco. Si dicho así para un tipo dado, MATE extraerá todas las PDU de este tipo y los tipos previamente declarados que
encuentra en el marco de las declaradas pero no después.
La declaración completa de una PDU se ve de la siguiente manera; el orden obligatoria de las diversas cláusulas es como se muestra.
249
Nombre del PDU Proto proto_name Transporte proto1 [/ proto2 / proto3 [/ ...]]] {
proto de carga útil; // opcional, hay un valor predeterminado
Extraer atributo De proto.field; // puede ocurrir varias veces, al menos una vez
Transformar (transform1 [, transform2 [, ...]]); //Opcional
Criterios [{Aceptar | Rechazar}] [{estricto | Todos | flojo} match_avpl];
DropUnassigned {true | false}; // opcional, por defecto = false
DiscardPduData {true | false}; // opcional, por defecto = false
LastExtracted {true | false}; // opcional, por defecto = false};
los nombre es un atributo obligatorio de una declaración PDU. Se eligió arbitrariamente, excepto que cada
nombre Sólo se puede utilizar una vez en la configuración del MATE, sin tener en cuenta la clase de un elemento que se utiliza para. los nombre se utiliza
para distinguir entre diferentes tipos de PDU, Gops y Gogs. los nombre También se utiliza como parte de los nombres de los campos que se pueden filtrar
Sin embargo, varias declaraciones PDU pueden compartir la misma nombre. En tal caso, todos ellos son creados a partir de cada fuente
PDU igualando su Proto, Transporte, y Carga útil cláusulas, mientras que los cuerpos de sus declaraciones pueden ser totalmente diferentes
unos de otros. Junto con la aceptar ( o Rechazar)
cláusulas, esta función es útil cuando es necesario construir AVPL de la PDU de diferentes conjuntos de campos de origen en función de
contenidos (o mera presencia) de otros campos de origen.
Cada instancia del protocolo proto_name PDU en un marco generará una PDU con los AVPs extraídos de los campos que se encuentran en
el proto_name' s alcance y / o los intervalos de protocolos subyacentes especificados por el Transporte lista. Es un atributo obligatorio de una
declaración PDU. los proto_name es el nombre del protocolo tal como se utiliza en el filtro de pantalla Wireshark.
de la PDU proto, y es Transporte lista de protocolos separados por / MATE tell qué campos de una trama puede entrar en AVPL de la PDU. A
fin de que MATE extraería un atributo de árbol de protocolo de un marco, el área que representa el campo en la pantalla hex del marco debe
estar dentro del área de cualquiera de la proto o es relativa Transporte s. Transporte s se eligen moverse hacia atrás de la zona de protocolo,
en el orden en que se dan.
Proto http transporte TCP / IP hace lo que usted esperaría que - se selecciona el rango tcp más cercano que precede al alcance http actual, y
el rango de IP más cercano que precede al intervalo de TCP. Si hay otro rango de direcciones IP antes de la más cercana (por ejemplo, en
caso de túneles IP), que no se va a seleccionar. Transporte TCP / IP / IP que "lógicamente" debe seleccionar la cabecera IP encapsular
también no funciona hasta ahora.
Una vez que hemos seleccionado el proto y Transporte Ranges, MATE se ha podido recuperar esos campos de protocolo que les pertenecen
cuya extracción se declara utilizando la Extraer cláusulas para el tipo de PDU. los
Transporte lista también es obligatorio, si realmente no desea utilizar cualquier protocolo de transporte, el uso
250
compañero de transporte. ( Esto no funcionó hasta 0.10.9).
Aparte de la PDU de proto y es Transporte protocolos, también hay una Carga útil atributo para contar MATE de la que oscila de proto' s de carga
útil a los campos extracto de una trama en la PDU. Con el fin de extraer un atributo del árbol del eje de referencia el área resaltada del campo
en la pantalla hexagonal debe estar dentro del área de la proto' s de carga útil relativa (s). Carga útil s están seleccionadas moviendo hacia
adelante de la zona de protocolo, en el orden en que se dan. Http proto tcp Transporte / IP Payload MMSE seleccionará la primera gama MMSE
después de la gama http actual. Una vez que hemos seleccionado el Carga útil Ranges, MATE se ha podido recuperar esos campos de
protocolo que les pertenecen cuya extracción se declara utilizando la Extraer cláusulas para el tipo de PDU.
extracto de la cláusula
Cada Extraer cláusula dice MATE cuyo valor de campo de protocolo para extraer un valor de AVP y qué cadena que se utiliza como el nombre de
AVP. Los campos de protocolo se refiere a la utilización de los nombres utilizados en los filtros de visualización de Wireshark. Si hay más de uno
de tales campo de protocolo en el marco, cada instancia que cumpla los criterios anteriormente expuestos se extrae en su propio AVP. Los
nombres AVP pueden elegirse arbitrariamente, pero para ser capaz de coincidir con los valores originalmente procedentes de diferentes PDU (por
ejemplo, nombre de host de consulta DNS y un nombre de host de HTTP GET petición) más adelante en el análisis, los nombres de AVP idéntica
debe ser asignado a ellos y la disectores deben proporcionar los valores de campo en formato idéntico (que no es siempre el caso).
transformar la cláusula
los Transformar cláusula especifica una lista de declarado previamente Transformar s para ser realizado en AVPL de la PDU después de todos los
campos de protocolo se han extraído de él. La lista siempre se ejecuta por completo, de izquierda a derecha. Por el contrario, la lista de las cláusulas
de coincidencia dentro de cada individuo Transformar se ejecuta sólo hasta el primer partido tiene éxito.
cláusula de criterios
Esta cláusula dice MATE si desea utilizar la PDU para el análisis. En él se especifica un partido AVPL, un tipo de concordancia AVPL ( Estricta,
cada, o Suelto) y la acción a realizar ( Aceptar o Rechazar) si el partido tiene éxito. Una vez que todos los atributos que se ha extraído y la lista
eventual transformar se ha ejecutado, y si el criterios cláusula está presente, AVPL de la PDU se compara con la AVPL partido; si el partido
tiene éxito, se ejecuta la acción especificada, es decir, la PDU es aceptada o rechazada. Los comportamientos predeterminados utilizados si
se omiten las palabras clave son respectivas Estricto y Aceptar. En consecuencia, si se omite la cláusula, se aceptan todas las PDU.
cláusula DropUnassigned
Si se establece en CIERTO, MATE destruirá la PDU si no se puede asignar a un GOP. Si se establece en FALSO ( el valor predeterminado si no se da), MATE los
mantendrá.
251
cláusula DiscardPduData
Si se establece en CIERTO, MATE eliminará AVPL de la PDU una vez que se ha analizado y, finalmente, se extrae algunos de TVA en AVPL del GOP.
Esto es útil para ahorrar memoria (de los cuales MATE utiliza una gran cantidad). Si se establece en FALSO ( el valor predeterminado si no se da), MATE
cláusula LastExtracted
Si se establece en FALSO ( el valor predeterminado si no se da), MATE va a seguir investigando para PDU de otros tipos en el marco. Si se
establece en CIERTO, no va a tratar de crear PDU de otros tipos de la trama actual, sin embargo, seguirá intentando para el tipo actual.
los nombre es un atributo obligatorio de una declaración Gop. Se eligió arbitrariamente, excepto que cada
nombre Sólo se puede utilizar una vez en la configuración del MATE, sin tener en cuenta la clase de un elemento que se utiliza para. los nombre se utiliza
para distinguir entre diferentes tipos de PDU, Gops y Gogs. los nombre También se utiliza como parte de los nombres de los campos que se pueden filtrar
en la cláusula
los nombre de PDUs, que este tipo de Gop se supone que se enfajadora. Es obligatorio.
cláusula de ajuste
Define qué AVP forman el llave parte de AVPL del GOP (el GOP llave AVPL o simplemente el GOP
llave). Todas las PDU que coincida con el llave AVPL de un Gop activos se asigna a ese Gop; una PDU que contiene los nombres de
atributos AVP cuyos se enumeran en el GOP llave AVPL, pero no lo hacen estrictamente
252
encontrado de Gop activos llave AVPL, se creará un nuevo GOP (a menos que una comienzo cláusula se da). Cuando se crea un GOP, los
cláusula de inicio
Si se da, se dice lo MATE match_avpl debe coincidir AVPL de una PDU, además de coincidir el GOP de
llave, con el fin de iniciar un GOP. Si no se da, cualquier Pdu cuya AVPL coincide con el GOP llave AVPL actuará como punto de partida para un
GOP. TVA de la PDU que coincidan con los match_avpl no se copian automáticamente en AVPL del GOP.
cláusula de parada
Si se da, se dice lo MATE match_avpl debe coincidir AVPL de una PDU, además de coincidir clave de los republicanos, con el fin de detener
un GOP. Si se omite, el GOP es "auto-parado" - es decir, el GOP se marca como detenido tan pronto como se cree. TVA de la PDU que
coincidan con los match_avpl no se copian automáticamente en AVPL del GOP.
cláusula adicional
Si se les da, dice MATE, que TVA de AVPL de la PDU se van a copiar en AVPL de los republicanos, además de la clave del GOP.
transformar la cláusula
los Transformar cláusula especifica una lista de declarado previamente Transformar s para ser realizado en AVPL de los republicanos después
de que los TVA de cada nuevo PDU, especificada por la clave y el AVPL Extra match_avpl de la cláusula, se han fusionado en él. La lista
siempre se ejecuta por completo, de izquierda a derecha. Por el contrario, la lista de Partido cláusulas dentro de cada individuo Transformar se
ejecuta sólo hasta el primer partido tiene éxito.
cláusula de caducidad
Un número (flotante) de segundos después de un GOP es Detener ped durante el cual aún más PDUs de búsqueda de la Detener
clave de ped Gop pero no el comienzo condición todavía será asignado a ese Gop. El valor por defecto de cero tiene un significado real del infinito, ya
que desactiva el temporizador, por lo que todas las PDU que coincida con el Detener clave de ped Gop será asignado a ese Gop a menos que se ajustan
a la comienzo condición.
cláusula IdleTimeout
Un número (flotante) de segundos transcurridos desde la última UDP asignado a la Gop después de lo cual se considerará despacho del GOP. El valor
por defecto de cero tiene un significado real del infinito, ya que desactiva el temporizador, por lo que el Partido Republicano no se dará a conocer, incluso
A (flotante) de segundos tras el GOP comienzo después de lo cual el GOP se considera liberado sin ninguna otra cosa. El valor por defecto
de cero tiene un significado real del infinito.
253
cláusula DropUnassigned
Sea o no un GOP que no ha de ser asignado a cualquier Gog deben ser desechados. Si CIERTO, El GOP se descarta inmediatamente después de la
creación. Si FALSO, el valor por defecto, el GOP se mantiene sin asignar. Si se establece en CIERTO
cláusula TreeMode
• FrameTree: el árbol se muestra y se muestra la PDU por el número de cuadro en el que están
cláusula de horarios
Sea o no a veces muestran la sub-árbol del GOP. Si CIERTO, el valor por defecto, se añade el subárbol con los temporizadores para el árbol
del GOP. Si FALSO, el subárbol se suprime.
Nombre Gog {
gopname miembro (clave); // obligatoria, al menos una
match_avpl adicional; // Opcional
Transformar transform_list; // Opcional
Tiempo de expiración; // opcional, por defecto 2,0
GopTree [NoTree | PduTree | FrameTree | BasicTree]; // Opcional
Cartelera [true | false]; // opcional, por defecto TRUE};
los nombre es un atributo obligatorio de una declaración Gog. Se eligió arbitrariamente, excepto que cada
nombre Sólo se puede utilizar una vez en la configuración del MATE, sin tener en cuenta la clase de un elemento que se utiliza para. los nombre se utiliza
para distinguir entre diferentes tipos de PDU, Gops y Gogs. los nombre También se utiliza como parte de los nombres de los campos que se pueden filtrar
cláusula miembro
define el llave AVPL para el Gog de forma individual para cada tipo de GOP gopname. Todos gopname Tipo Gops cuya llave AVPL coincide
con el correspondiente llave AVPL de un Gog activo se asignan a que Gog; una
254
Gop que contiene los nombres de atributos AVP cuyos se enumeran en la Gog está correspondientes llave AVPL, pero no coinciden
estrictamente cualquier Gog activo es llave AVPL, se creará un nuevo Gog. Cuando se crea un Gog, los elementos de su llave AVPL se
copian del Gop creación.
Aunque el llave AVPLs se especifican por separado para cada uno de los miembros gopname s, en la mayoría de casos son idénticos, ya que
el propósito de un Gog es agrupar los GOP hecho de PDUs de diferentes tipos.
cláusula adicional
Si se les da, dice MATE, que TVA a partir de cualquiera de AVPL del GOP es ser copiado en AVPL del Gog, además de las llaves de su Gog.
cláusula de caducidad
Un número (flotante) de segundos después de que todos los Gops asignados a un Gog han sido liberados durante el cual los nuevos Gops
coincidan con cualquiera de las claves de sesión aún deben ser asignados a Gog ya existente en lugar de crear una nueva. Su valor puede variar
transformar la cláusula
los Transformar cláusula especifica una lista de declarado previamente Transformar s para ser realizado en AVPL del Gog después de que
los TVA de cada nuevo Gop, especificado por el llave AVPL y la Extra match_avpl de la cláusula, se han fusionado en él. La lista siempre se
ejecuta por completo, de izquierda a derecha. Por el contrario, la lista de Partido cláusulas dentro de cada individuo Transformar se ejecuta
sólo hasta el primer partido tiene éxito.
cláusula TreeMode
cláusula de horarios
Sea o no a veces muestran la sub-árbol del Gog. Si CIERTO, el valor por defecto, se añade el subárbol con los temporizadores para el árbol
de Gog. Si FALSO, el subárbol se suprime.
los ajustes elemento de configuración se utiliza para pasar a aparearse diversos parámetros operativos. los posibles parámetros son
255
GogExpiration
¿Cuánto tiempo en segundos después de que todos los Gops asignados a un Gog se han publicado nuevas Gops coincidan con cualquiera de las claves
de sesión debe crear un nuevo Gog lugar de ser asignado a la anterior. Su valor puede variar desde 0,0 a infinito. El valor predeterminado es 2,0
segundos.
DiscardPduData
Sea o no el AVPL de toda UDP debe eliminarse después de que se está procesando (ahorra memoria). Puede ser tanto CIERTO o FALSO. Por
defecto es CIERTO. Si se establece en FALSO puede salvarlo de un dolor de cabeza si su configuración no funciona.
DiscardUnassignedPdu
Ya sea PDU debe suprimirse si no están asignados a ninguna Gop. Puede ser tanto CIERTO o FALSO.
Por defecto es FALSO. Configurarlo para CIERTO para ahorrar memoria si PDU no asignados son inútiles.
DiscardUnassignedGop
Ya sea GoP debería suprimirse si no están asignados a ninguna sesión. Puede ser tanto CIERTO o
FALSO. Por defecto es FALSO. Si se establece en CIERTO ahorra memoria.
ShowPduTree
ShowGopTimes
depuración materia
Los siguientes parámetros se utilizan para aparearse de depuración y su configuración. Todos los niveles son enteros que van de 0 (imprimir sólo los
{debug
Nombre del archivo "ruta / nombre"; // opcional, hay un valor predeterminado
El {{{ruta / nombre}}} es una ruta completa al archivo en el que la salida de depuración se va a escribir. Se creará el archivo no existe, el archivo
existente se sobrescribe en cada apertura de un archivo de captura. Si la instrucción no está presente, los mensajes de depuración se escriben en la
256
cláusula de nivel
Establece el nivel de depuración para los mensajes de depuración genéricos. Es un entero que va de 0 (imprimir sólo los errores) a 9 (me inundación de
basura).
Establece el nivel de depuración para los mensajes relativos a la creación PDU. Es un entero que va de 0 (imprimir sólo los errores) a 9 (me
inundación de basura).
Establece el nivel de depuración para los mensajes relacionados con el análisis Pdu (es decir, ¿cómo encajan en? GOP). Es un entero que va de 0
Establece el nivel de depuración para los mensajes sobre el análisis de GOP (es decir, ¿cómo encajan en? Gogs). Es un entero que va de 0
(imprimir sólo los errores) a 9 (me inundación de basura).
Ejemplo Configuración
= Acción Incluyen
El nombre del archivo que desea incluir. Si no beging con '/' buscará el archivo en la ruta actual.
lib
Ejemplo incluir
257
Apéndice A: Mensajes de Wireshark
Wireshark le proporciona información adicional generada fuera de la llanura de paquetes de datos o puede que tenga que indicar problemas
de disección. Los mensajes generados por Wireshark se colocan generalmente entre corchetes ( “[]”).
medios de paquetes con formato incorrecto que el disector protocolo no pueden diseccionar el contenido del paquete más. Puede haber
varias razones:
• disector equivocada: Wireshark erróneamente ha elegido el disector protocolo incorrecto para este paquete. Esto sucederá por ejemplo,
si está utilizando un protocolo no en su conocido puerto TCP o UDP. Puede intentar Analizar | Decodificar Como para evitar este
problema.
• Paquete no volver a montar: El paquete es más largo que un solo marco y no se vuelve a montar, ver
reensamblaje de paquetes para mas detalles.
• Paquete es incorrecto: El paquete es realmente malo (malformación), lo que significa que una parte del paquete no es justo lo que
esperábamos (no cumplir las especificaciones del protocolo).
• Disector está libre de errores: El correspondiente disector protocolo es simplemente buggy o todavía incompleta.
Cualquiera de los anteriores es posible. Vas a tener que mirar a la situación específica para determinar la razón. Se podría desactivar el
disector desactivando el protocolo en el menú Analizar y comprobar cómo Wireshark muestra el paquete de continuación. Usted podría (si
es TCP) permite volver a montar para TCP y el disector específica (si es posible) en el menú Edit | Preferencias. Se puede comprobar el
contenido del paquete por sí mismo mediante la lectura de los bytes de paquetes y comparándolo con la especificación del protocolo. Esto
podría revelar un error de disección. O bien, podría descubrir que el paquete es de hecho mal.
El tamaño del paquete se limitó durante la captura, ver “Límite de cada paquete de n bytes” en el El cuadro de diálogo “Opciones de captura” .
Mientras que la disección, el disector protocolo actual simplemente estaba acabando el paquete de bytes y tuvo que abandonar. No hay nada más
que puede hacer ahora, excepto que repetir todo el proceso de captura de nuevo con una limitación de tamaño de paquete mayor (o ninguna).
258
[Respuesta en marco: 123]
El paquete actual es la solicitud de un par petición / respuesta detectada. Puede saltar directamente al paquete de respuesta
correspondiente haciendo doble clic en el mensaje.
Igual que “en el marco de respuesta: 123” por encima, pero al revés.
El protocolo de control de sesión (SDP, H225, etc.) el mensaje que marcó la creación de esta sesión. Puede saltar directamente al paquete
correspondiente haciendo doble clic en este mensaje.
259
Apéndice B: Archivos y carpetas
Para entender qué información seguirá estando disponible después de los paquetes capturados se guardan en un archivo de captura, es útil saber
Wireshark utiliza el pcapng formato de archivo como el formato por defecto para guardar los paquetes capturados. Es muy flexible, pero otras herramientas no
Wireshark también es compatible con el libpcap formato de archivo. Este es un formato mucho más simple y está bien establecida. Sin
embargo, tiene algunos inconvenientes: no es extensible y le falta algo de información que sería muy útil (por ejemplo, poder agregar un
comentario a un paquete como “los problemas empezar aquí” sería muy bueno).
Además del formato libpcap, Wireshark es compatible con varios formatos de archivo de captura diferentes. Sin embargo, los problemas descritos
Al comienzo de cada archivo de captura libpcap cierta información básica se almacena como un número mágico para identificar el formato de
archivo libpcap. La información más interesante de este inicio del archivo es el enlace tipo de capa (Ethernet, 802.11, MPLS, etc).
También debe saber las cosas que son No guardado en los archivos de captura:
Pcapng archivos puede opcionalmente guardar la información de resolución de nombres. Libpcap archivos no pueden. Otros formatos de archivo tienen
260
• El número de paquetes se redujo durante la captura
Para que coincida con las diferentes políticas para sistemas Unix y de Windows, y las distintas políticas utilizados en diferentes sistemas similares
a Unix, las carpetas que contienen los archivos de configuración y plugins son diferentes en diferentes plataformas. Indicamos la ubicación de las
carpetas de nivel superior en las que se almacenan los archivos de configuración aquí y plugins, dándoles nombres de marcador de posición,
independientemente de su ubicación real, y utilizar esos nombres más adelante al dar la ubicación de las carpetas para los archivos de
configuración y plugins.
Una lista de las carpetas de Wireshark utiliza en realidad se puede encontrar bajo el carpetas fichas del cuadro de diálogo que se muestra
PROPINA
cuando se selecciona Acerca de Wireshark desde el Ayuda menú.
Carpetas en Windows
nombre de usuario \ AppData \ Roaming \ Wireshark ( los detalles se pueden encontrar en: perfiles de ventanas ).
WIRESHARK es la carpeta del programa Wireshark, por ejemplo: C: \ Archivos de programa \ Wireshark.
$ XDG_CONFIG_HOME es la carpeta de archivos de configuración específicos del usuario. Por lo general es $ HOME / .config,
donde $ CASA es la carpeta de inicio del usuario, que suele ser algo como $ CASA/ nombre de usuario, o
/ Usuarios / nombre de usuario en MacOS.
Si está utilizando MacOS y está ejecutando una copia de Wireshark instalado como un paquete de aplicaciones,
APPDIR es el directorio de nivel superior del haz de aplicación Wireshark, que será típicamente
/Applications/Wireshark.app. De otra manera, DIRINSTALACIÓN es el directorio de nivel superior bajo el cual residen los subdirectorios en los
que se instalan los componentes de Wireshark. Este será típicamente / usr si Wireshark se incluye con el sistema (por ejemplo, proporcionado
como un paquete con una distribución de Linux) y / usr / local si, por ejemplo, que haya acumulación de Wireshark de la fuente y la instaló.
Archivos de configuración
Wireshark utiliza una serie de archivos de configuración mientras se está ejecutando. Algunos de ellos residen en la carpeta de configuración
personal y se utilizan para mantener la información entre las corridas de Wireshark, mientras que algunos de ellos se mantienen en áreas del
sistema.
261
El formato del contenido de los archivos de configuración es la misma en todas las plataformas.
En Windows:
• La carpeta de configuración personal para Wireshark es el Wireshark subcarpeta de esa carpeta, es decir,
% APPDATA% \ Wireshark.
• La carpeta de configuración global para Wireshark es la carpeta del programa Wireshark y también se utiliza como carpeta de configuración
del sistema.
En Unix-como sistemas:
• La carpeta de configuración personal es $ XDG_CONFIG_HOME / Wireshark. Para la compatibilidad hacia atrás con Wireshark 2.2
antes, si $ XDG_CONFIG_HOME / Wireshark no existe y
$ HOME / .wireshark está presente, se usará entonces este último.
• Si está utilizando MacOS y está ejecutando una copia de Wireshark instalado como un paquete de aplicaciones,
la carpeta de configuración global es APPDIR / Contents / Resources / share / Wireshark.
De lo contrario, la carpeta de configuración global es DIRINSTALACIÓN / share / Wireshark.
• Los / etc. carpeta es la carpeta de configuración del sistema. La carpeta utilizada realmente en su sistema puede variar, tal vez algo
como: / usr / local / etc.
reciente configuración de interfaz gráfica de usuario recientes (por ejemplo, listas de archivos recientes).
262
contenido del archivo
preferencias
Este archivo contiene las preferencias de Wireshark, incluyendo valores predeterminados para capturar y mostrar los paquetes. Es un archivo de
valor variable
Al inicio del programa, si hay una preferencias archivo en la carpeta de configuración global, se lee en primer lugar. Entonces, si hay una preferencias
archivo en la carpeta de configuración personal, que se lee; si hay un conjunto de preferencias en ambos archivos, la configuración en el archivo de
Si pulsa el botón Guardar en el cuadro de diálogo “Preferencias”, todos los ajustes se escriben en el archivo de preferencias personales.
reciente
Este archivo contiene varios ajustes relacionados GUI como la posición de la ventana principal y el tamaño, la lista de archivos recientes y tal. Es un
valor variable
cfilters
Este archivo contiene todos los filtros de captura que haya definido y guardado. Se compone de una o más líneas, donde cada línea
tiene el siguiente formato:
Al inicio del programa, si hay una cfilters archivo en la carpeta de configuración personal, se lee. Si no hay una cfilters archivo en la
carpeta de configuración personal, entonces, si hay una cfilters archivo en la carpeta de configuración global, se lee.
Cuando se pulsa el botón Guardar en el cuadro de diálogo “Capture filtros”, todos los filtros de captura se escriben en el archivo de filtros
de captura personal.
dfilters
Este archivo contiene todos los filtros de visualización que ha definido y guardado. Se compone de una o más líneas, donde cada línea
tiene el siguiente formato:
263
Al inicio del programa, si hay una dfilters archivo en la carpeta de configuración personal, se lee. Si no hay una dfilters archivo en la
carpeta de configuración personal, entonces, si hay una dfilters archivo en la carpeta de configuración global, se lee.
Cuando se pulsa el botón Guardar en el cuadro de diálogo “Mostrar filtros”, todos los filtros de visualización actuales se escriben en el archivo de filtros
de presentación personal.
dfilter_macros
Este archivo contiene todas las macros de filtro de visualización que haya definido y guardado. Se compone de una o más líneas, donde
cada línea tiene el siguiente formato:
Al inicio del programa, si hay una dfilter_macros archivo en la carpeta de configuración personal, se lee. Si no hay una dfilter_macros archivo
en la carpeta de configuración personal, entonces, si hay una
dfilter_macros archivo en la carpeta de configuración global, se lee.
Cuando se pulsa el botón Guardar en el cuadro de diálogo "Filtro de presentación macros", todos los Macors filtro de visualización se escriben en el
Más información sobre Filtro de presentación de macros está disponible en Mostrar filtros de macros
colorfilters
Este archivo contiene todos los filtros de color que haya definido y guardado. Se compone de una o más líneas, donde cada línea tiene
el siguiente formato:
@ <Nombre de filtro> @ <filtro string> @ [<bg RGB (16-bit)>] [<fg RGB (16-bit)>]
Al inicio del programa, si hay una colorfilters archivo en la carpeta de configuración personal, se lee. Si no hay una colorfilters archivo en la
carpeta de configuración personal, entonces, si hay una colorfilters archivo en la carpeta de configuración global, se lee.
Cuando se pulsa el botón Guardar en el cuadro de diálogo “Reglas para colorear”, todos los filtros de color se escriben en el archivo de
filtros de color personal.
disabled_protos
Cada línea de este archivo especifica un nombre de protocolo deshabilitado. Los siguientes son algunos ejemplos:
UDP
TCP
Al inicio del programa, si hay una disabled_protos archivo en la carpeta de configuración global, se lee en primer lugar. Entonces, si hay
una disabled_protos archivo en la carpeta de configuración personal, que se lee; Si
264
hay una entrada para un conjunto de protocolos en ambos archivos, la configuración en el archivo de protocolos de movilidad reducida personal anula la configuración en el
Cuando se pulsa el botón Guardar en el cuadro de diálogo “Protocolos habilitados”, el actual conjunto de protocolos de movilidad reducida se escribe en el
éteres
Cuando Wireshark está tratando de traducir una dirección MAC de hardware a un nombre, consulta la
éteres archivo en la carpeta de configuración personal en primer lugar. Si no se encuentra la dirección de ese archivo, consulta el Wireshark éteres
Cada línea en estos archivos se compone de una dirección de hardware y el nombre separados por espacios en blanco. Los dígitos de direcciones
de hardware están separados por dos puntos (:), guiones (-.) O períodos (). Los siguientes son algunos ejemplos:
FF-FF-FF-FF-FF-FF Emisión
c0-00-FF-FF-FF-FF TR_broadcast
00.2b.08.93.4b.a1 Freds_machine
Los ajustes de este archivo se leen en una dirección MAC cuando se va a traducir a un nombre, y nunca escritos por Wireshark.
Fabrica
Al inicio del programa, si hay una Fabrica archivo en la carpeta de configuración global, se lee.
El contenido de este archivo se utilizan para traducir los tres primeros bytes de una dirección de Ethernet en un nombre de los fabricantes. Este
archivo tiene el mismo formato que el archivo éteres, excepto direcciones son tres bytes de longitud.
Un ejemplo es:
Los ajustes de este archivo se leen al inicio del programa y nunca escritos por Wireshark.
Hospedadores
Wireshark utiliza las entradas de la Hospedadores archivos para traducir las direcciones IPv4 e IPv6 a nombres.
Al inicio del programa, si hay una Hospedadores archivo en la carpeta de configuración global, se lee en primer lugar. Entonces, si hay una Hospedadores
archivo en la carpeta de configuración personal, que se lee; si hay una entrada para una determinada dirección IP en ambos archivos, la configuración
Este archivo tiene el mismo formato que el de costumbre / etc / hosts presentar en sistemas Unix.
265
Un ejemplo es:
Los ajustes de este archivo se leen al inicio del programa y nunca escritos por Wireshark.
servicios
Wireshark utiliza el servicios archivos para traducir los números de puerto en nombres.
Al inicio del programa, si hay una servicios archivo en la carpeta de configuración global, se lee en primer lugar. Entonces, si hay una servicios archivo
en la carpeta de configuración personal, que se lee; si hay una entrada para un número determinado puerto en ambos archivos, la configuración
Un ejemplo es:
Los ajustes de estos archivos se leen al inicio del programa y nunca escritos por Wireshark.
subredes
Wireshark utiliza el subredes archivos para traducir una dirección IPv4 en un nombre de subred. Si hay una coincidencia exacta de una Hospedadores Archivo
o desde el DNS se encuentra, Wireshark intentará una coincidencia parcial para la subred de la dirección.
Al inicio del programa, si hay una subredes archivo en la carpeta de configuración personal, se leyó por primera vez. Entonces, si hay una subredes archivo
en la carpeta de configuración global, que se lee; si hay un conjunto de preferencias en ambos archivos, la configuración en el archivo de
Cada línea en uno de estos archivos consta de una dirección IPv4, una longitud de máscara de subred separados sólo por un “/” y un nombre separado
por espacios en blanco. Mientras que la dirección debe ser una dirección completa IPv4, los valores más allá de la longitud de la máscara se ignoran
posteriormente.
Un ejemplo es:
Un nombre parcialmente emparejados será impreso como “subred-name.remaining-dirección”. Por ejemplo, “192.168.0.1” bajo la subred
anterior se imprimiría como “ws_test_network.1”; si la longitud de máscara anteriormente había sido 16 en lugar de 24, la dirección
impresa sería “ws_test_network.0.1”.
266
Los ajustes de estos archivos se leen al inicio del programa y nunca escritos por Wireshark.
ipxnets
Cuando Wireshark está tratando de traducir un número de red IPX a un nombre, consulta la ipxnets
archivo en la carpeta de configuración personal en primer lugar. Si no se encuentra la dirección de ese archivo, consulta el Wireshark ipxnets archivo
Un ejemplo es:
C0.A8.2C.00 HORA
C0-a8-1c-00 CEO
Los ajustes de este archivo se leen en cuando un número de red IPX ha de traducirse a un nombre, y nunca escritos por Wireshark.
VLAN
Wireshark utiliza el VLAN presentar para traducir identificadores de etiqueta de VLAN en nombres.
Si hay un VLAN archivo en la carpeta del perfil activo actualmente, se utiliza. de lo contrario el VLAN se usa archivo en la carpeta de
configuración personal.
Cada línea de este archivo consta de un ID de etiqueta de VLAN y un nombre que describe separados por espacios en blanco o pestaña.
Un ejemplo es:
123 Servidor de
LAN-2049 HR-Client-LAN
Los ajustes de este archivo se leen al iniciar el programa o cuando se cambia el perfil activo y nunca son escritos por Wireshark.
ss7pcs
Wireshark utiliza el ss7pcs presentar para traducir los códigos de punto SS7 a nombres de nodo.
Al inicio del programa, si hay una ss7pcs archivo en la carpeta de configuración personal, se lee.
Cada línea en este archivo consta de un indicador de red seguido de un guión seguido de un código de punto en decimal y un nombre de
Un ejemplo es:
267
2-1234 MyPointCode1
Los ajustes de este archivo se leen al inicio del programa y nunca escritos por Wireshark.
carpetas de plugins
Wireshark soporta plugins para diversos fines. Los complementos pueden ser scripts escritos en Lua o código escrito en C o C ++ y
compilado a código máquina.
Wireshark busca plugins tanto en una carpeta plugin de personal y una carpeta global de plug-in. plugins Lua se almacenan en las carpetas
de plugins; plugins compilados se almacenan en subcarpetas de las carpetas de plug-in, con el nombre de la subcarpeta es el número de
versión secundaria Wireshark (XY). Hay otro nivel jerárquico para cada tipo de complemento Wireshark (libwireshark, libwiretap y codecs).
Así, por ejemplo, la ubicación de un plugin libwireshark foo.so (foo.dll en Windows) sería
PLUGINDIR / XY / EPAN ( libwireshark solía ser llamado libepan; los otros nombres de las carpetas son códecs y
escuchas telefónicas).
En Windows:
En Unix-como sistemas:
Para ofrecer un mejor soporte para plugins binarios esta carpeta cambiado en Wireshark 2.5. Se recomienda utilizar la nueva
carpeta, pero sólo para las secuencias de comandos LUA puede seguir utilizando $ XDG_CONFIG_HOME / Wireshark /
NOTA plugins para la compatibilidad hacia atrás. Esto es útil disponer de las versiones más antiguas de Wireshark instalado lado a
lado. En el caso de los nombres de archivo duplicados entre viejos y nuevos los nuevos contratos de carpetas.
• Si está ejecutando en MacOS y Wireshark se instala como un paquete de aplicaciones, el plugin mundial
carpeta es % APPDIR% / Contenido / plugins / Wireshark, de otra manera sus
carpetas de Windows
Aquí encontrará algunos detalles acerca de las carpetas utilizadas en Wireshark en diferentes versiones de Windows.
Como ya se ha mencionado, se pueden encontrar las carpetas que se utilizan actualmente en el cuadro de diálogo “Acerca de Wireshark”.
268
perfiles de ventanas
Windows utiliza algunos directorios especiales para almacenar los archivos de configuración de usuario que definen el “perfil de usuario”. Esto puede
ser confuso, ya que la ubicación del directorio por defecto cambiado desde la versión de Windows a la versión y también puede ser diferente para las
Si se ha actualizado a una nueva versión de Windows, el perfil podría ser mantenido en el primer lugar. Los valores por
NOTA
defecto se mencionan aquí no sean aplicables.
Los siguientes le guía hasta el lugar correcto donde debe buscar datos del perfil de Wireshark.
Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista y ediciones de servidor asociadas
C: \ Documents and Settings \ nombre de usuario \ Datos de la aplicación. “Documents and Settings” y “Datos de programa” podrían ser
internacionalizado.
Windows NT 4 [ 1 ]
En Windows ME y 98 que podría permitir a los perfiles de usuario diferentes. En ese caso, algo así como
C: \ Windows \ Profiles \ nombre de usuario \ Datos de programa \ Wireshark se utiliza.
Sin perfiles de usuario habilitados la ubicación predeterminada para todos los usuarios era C: \ windows \ Datos de programa \ Wireshark.
Algunos entornos más grandes de Windows utilizan perfiles móviles. Si este es el caso de las configuraciones de todos los programas que
utiliza no se guardarán en el disco duro local. Se almacenarán en el servidor de dominio en lugar.
La configuración de viajarán con usted desde un ordenador a otro con una excepción. La carpeta “Configuración local” en los datos del perfil
(por lo general algo como: C: \ Documents and Settings \
nombre de usuario \ Configuraciones locales) no se transferirá al servidor de dominio. Este es el valor predeterminado para los archivos de captura temporales.
Wireshark utiliza la carpeta que es fijado por el TMPDIR o variable de entorno TEMP. Esta variable será fijado por el instalador de Windows.
269
Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista y ediciones de servidor asociadas
Windows NT [ 1 ]
C: \ TEMP
270
Apéndice C: Protocolos y el Protocolo de campos
distingue Wireshark entre los protocolos (por ejemplo, TCP) y campos de protocolo (por ejemplo tcp.port).
Una lista completa de todos los protocolos y campos de protocolo se puede encontrar en el “Filtro de visualización de referencia” en https://www.wireshark
271
Apéndice D: herramientas de línea de comandos Relacionados
Introducción
Wireshark viene con un conjunto de herramientas de línea de comandos que pueden ser útiles para el análisis de paquetes. Algunas de estas
herramientas se describen en este capítulo. Puede encontrar más información acerca de todas las herramientas de línea de comandos de Wireshark en el
sitio web .
interfaz de captura: -i
<interface> nombre o idx de interfaz (def: primero no loopback)
-f <filtro de captura> filtro de paquetes en la sintaxis de filtro libpcap
-s <snaplen> Longitud de Paquete instantánea (def: máximo apropiado)
-pags no captan en modo promiscuo
-YO capturar en modo monitor, si está disponible
-B <tamaño del búfer> Tamaño del buffer kernel (def: 2 MB)
-y <tipo de vínculo> enlace tipo de capa (def: primero apropiado)
--time de tipo sello <type> método de marca de tiempo para la interfaz -D
lista de interfaces y salida imprimir
-L lista de tipos de capa de enlace de salida del iface y imprimir
--list-fecha-tipos lista de tipos de marca de tiempo para imprimir y salida del iface
Captura de salida:
-b <buffer circular opt.> ... Duración: NUM - cambiar a la siguiente foto después de segundos NUM
intervalo: NUM - crear intervalos de tiempo de segundos NUM
Tamaño del archivo: NUM - cambiar a la siguiente foto después NUM KB
272
Archivos: NUM - Memoria cíclica: después de reemplazar NUM archivos
Fichero de entrada:
-r <infile | -> establecer el nombre del archivo para leer (o '-' para la entrada estándar)
Procesamiento:
-2 realizar un análisis de dos pasadas
-M <paquete contador> realizar la sesión de reposición automática
sintaxis
-norte desactivar todas las resoluciones de nombres (def: todo está habilitado)
--enable-protocolo <proto_name>
permitir la disección de proto_name
--disable-protocolo <proto_name>
desactivar la disección de proto_name
--enable-heurística <SHORT_NAME>
permitir la disección de protocolo heurístico
--disable-heurística <SHORT_NAME>
desactivar la disección de protocolo heurístico
Salida:
-w <archivo_salida | -> escritura paquetes a un archivo de formato pcapng denominan "archivo de salida"
-O <protocolos> Mostrar sólo los detalles del paquete de estos protocolos, coma
apartado
-PAGS Imprimir resumen de paquetes incluso cuando escribir en un archivo
(Por ejemplo, "http tcp", filtro que se expande todos los nodos hijos)
-e <campo> campo para imprimir si -Tfields seleccionado (por ejemplo tcp.port,
_ws.col.Info)
esta opción se puede repetir para imprimir varios campos
273
-E <fieldsoption> = <valor> defina las opciones de salida cuando -Tfields seleccionados:
bom = y | n imprimir una lista de materiales UTF-8
-ta | anuncio | d | dd | E | r | u | ud |? formato de salida de las marcas de tiempo-EEUU | HMS (def:: r rel al primero).
formato de salida de los segundos (Def: s: segundos)
-l salida estándar ras después de cada paquete
-q ser más tranquila en la salida estándar (por ejemplo, cuando se utiliza la estadística)
-Q Sólo registrar errores verdaderos salida estándar de errores (más silencioso que -q)
-U tap_name PDU modo de exportación, consulte la página del manual para más detalles
-z <estadísticas> diversas estadísticas, ver la página del manual para más detalles
--capture-comentario <comentario>
añadir un comentario a la captura de la recién creada
archivo de salida (sólo para pcapng)
--export-objetos <protocolo>, <destdir> Guardar objetos exportados para un protocolo a
un directorio llamado "destdir"
--color texto de salida de color similar a la interfaz gráfica de usuario Wireshark,
Varios: -h
muestra esta ayuda y salir
-v información de versión y sale
-o <nombre>: <valor> ... ajuste de preferencias de anulación
-K <tabla de claves> tabla de claves de descifrado uso de Kerberos
-G [informe] un volcado de varios informes disponibles y finaliza
informe por defecto = "Campos"
Dumpcap puede beneficiarse de un compilador JIT habilitado BPF si está disponible. Es posible que desee a
fin de que mediante la ejecución: "echo 1> / proc / sys / / núcleo neta / bpf_jit_enable" Tenga en cuenta que
esto puede hacer que su sistema menos seguro!
274
tcpdump: La captura de “tcpdump” para su visualización con Wireshark
A menudo es más útil para capturar paquetes usando tcpdump más bien que Wireshark . Por ejemplo, es posible que desee hacer una
captura remota y, o bien no tiene acceso GUI o no tiene Wireshark instalado en la máquina remota.
Las versiones anteriores de tcpdump truncar paquetes a 68 o 96 bytes. Si este es el caso, el uso - s a capturar paquetes fullsized:
Tendrá que especificar la correcta interfaz y el nombre de una archivo para salvar a. Además, tendrá que poner fin a la captura con ^ C
cuando cree que ha capturado suficientes paquetes.
tcpdump no es parte de la distribución Wireshark. Usted puede obtener de https://www.tcpdump.org/ o como un paquete estándar en la mayoría de
las distribuciones de Linux. Para obtener más información sobre tcpdump consulte a su página de manual local ( hombre tcpdump ) o la versión en
línea .
Dumpcap es una herramienta de red volcado tráfico. Captura de paquetes de datos desde una red activa y escribe los paquetes a un archivo. Formato
de archivo de captura nativa de Dumpcap se pcapng, que también es el formato utilizado por Wireshark.
Por defecto, Dumpcap utiliza la biblioteca pcap para capturar tráfico desde la primera interfaz de red disponible y escribe los datos del
paquete prima recibida, junto con las marcas de tiempo de los paquetes en un archivo pcapng. La sintaxis de filtro de captura sigue las
reglas de la biblioteca pcap. Para obtener más información sobre
dumpcap consulte a su página de manual local ( hombre dumpcap ) o la versión en línea .
interfaz de captura: -i
<interface> nombre o idx de interfaz (def: primero no loopback),
o para la captura remota, utilice uno de los siguientes formatos:
rpcap: // <host> / <interface>
TCP @ <host>: <puerto>
275
-f <filtro de captura> filtro de paquetes en la sintaxis de filtro libpcap
-s <snaplen> Longitud de Paquete instantánea (def: máximo apropiado)
-pags no captan en modo promiscuo
-YO capturar en modo monitor, si está disponible
-B <tamaño del búfer> Tamaño del buffer kernel en MiB (def: 2MiB)
-y <tipo de vínculo> enlace tipo de capa (def: primero apropiado)
--time de tipo sello <type> método de marca de tiempo para la interfaz -D
lista de interfaces y salida imprimir
-L lista de tipos de capa de enlace de salida del iface y imprimir
--list-fecha-tipos lista de tipos de marca de tiempo para imprimir iface de salida y -d
imprimir el código generado para BPF filtro de captura
-k conjunto de canales en la interfaz wifi:
<Frec>, [<type>], [<center_freq1>], [<center_freq2>]
-S imprimir las estadísticas para cada interfaz de una vez por segundo
-METRO para -D, L, y -S, los productos de salida legible por máquina
Condiciones de parada:
-b <buffer circular opt.> ... Duración: NUM - cambiar a la siguiente foto después de segundos NUM
intervalo: NUM - crear intervalos de tiempo de segundos NUM
Tamaño del archivo: NUM - cambiar a la siguiente foto después NUM kB
Diverso:
-N <packet_limit> número máximo de paquetes tamponada dentro dumpcap
-C <byte_limit> número máximo de bytes utilizado para los paquetes de tamponamiento
dentro dumpcap
-t utilizar un hilo separado por interfaz
-q no reportan los recuentos de captura de paquetes
Dumpcap puede beneficiarse de un compilador JIT habilitado BPF si está disponible. Es posible que
desee a fin de que mediante la ejecución: "echo 1> / proc / sys / net / core / bpf_jit_enable"
276
Tenga en cuenta que esto puede hacer que su sistema menos seguro!
capinfos puede imprimir información sobre los archivos de captura, incluyendo el tipo de archivo, número de paquetes, información de fecha y hora,
y hash de archivo. Información se puede imprimir en formatos legibles por humanos y máquinas. Para obtener más información sobre capinfos consulte
Informaciones generales:
infos tamaños:
-c mostrar el número de paquetes -s pantalla el tamaño del fichero (en
bytes) -D mostrar la longitud total de todos los paquetes (en bytes) L
visualizar el límite de tamaño de paquete (longitud instantánea)
Info de tiempo:
Info estadística:
velocidad de visualización -y promedio de datos (en bytes / seg) de
277
display -z tamaño medio de paquete (en bytes) -x visualizar tasa de
paquetes promedio (en paquetes / seg)
Info de metadatos:
-n número de visualización de las direcciones IPv4 e IPv6 resueltos -D número de
visualización de los secretos de descifrado
Formato de salida:
-L generar el informe de largo (por defecto) -T
generar informe de tabla
los valores legibles por máquina de visualización -M en informes largos
Diverso:
-h muestra esta ayuda y salir
-C cancelar el procesamiento si falla archivo abierto (por defecto es continuar) -a generar todas las
infos (por defecto) -K desactivar la visualización de la captura comentario
Las opciones se procesan de izquierda a derecha con las opciones posteriores sustituyendo o añadiendo a las
opciones anteriores.
Si no hay opciones se les da el valor predeterminado es mostrar todas las informaciones en formato de salida a largo informe.
coincidentes para cada paquete en la salida estándar. Para obtener más información sobre rawshark
278
información de ayuda disponible de rawshark
Fichero de entrada:
Tratamiento:
-d <encap: tipoenlace> | <proto: protoname>
encapsulación de paquetes o protocolo
-F <campo> campo para mostrar
-metro límite de memoria virtual, en bytes
-norte desactivar toda la resolución de nombres (def: todo está habilitado)
Salida: -l
salida ras después de cada paquete
-S cadena de formato para los campos
Varios: -h
muestra esta ayuda y salir
-o <nombre>: <valor> ... ajuste de preferencias de anulación
-v información de versión y sale
editcap es una utilidad de propósito general para modificar los archivos de captura. Su función principal es eliminar los paquetes de archivos de
captura, pero también se puede utilizar para archivos de captura convertir de un formato a otro, así como para imprimir información sobre los
279
Uso: editcap [opciones] ... <infile> <archivo de salida> [<paquete #> [- <paquete #>] ...]
<Infile> y <archivosalida> debe ser a la vez presente. Un solo paquete o una gama
de paquetes pueden ser seleccionados.
la selección de
paquetes: -r mantener los paquetes seleccionados; por defecto es para eliminarlos.
-A <hora de inicio> sólo los paquetes de salida cuya marca de tiempo es después de (o iguales
la manipulación de
paquetes: -s <snaplen> truncar cada paquete a max. <Snaplen> bytes de datos.
-C [offset:] <choplen> chuleta de cada paquete por <choplen> bytes. Los valores positivos
cortar al comienzo de paquete, los valores negativos en el
final de paquetes. Si un opcional de compensación de la longitud precede,
280
cronológico estricto orden creciente. La <estricta
ajuste> se especifica en segundos con respecto
valores de 0 o 0,000001 siendo el más razonable.
Un valor de ajuste negativo modificará las marcas de tiempo por lo
que el tiempo delta de cada paquete es el valor absoluto
del ajuste especificado. Un valor de -0 fijará
todos los paquetes a la marca de tiempo del primer paquete.
-E <probabilidad de error> establece la probabilidad (entre 0,0 y 1,0 incl.) Que
un byte de paquete particular será cambiado al azar.
-o <cambio compensado> Cuando se utiliza en conjunción con -E, omita algunos bytes de la
comenzando del paquete. Esto permite conservar algunos
bytes, con el fin de tener algunas cabeceras intactas.
--seed <semilla> Cuando se utiliza en conjunción con -E, establecer la semilla a utilizar para
el generador de números pseudo-aleatorio. Esto le permite a uno
repetir una secuencia particular de errores.
-I <bytes a ignorar> ignorar el número especificado de bytes al principio
de la trama durante el cálculo de hash MD5, a menos que el
marco es demasiado corta, entonces se utiliza el cuadro completo.
Una opción vacío "-F" mostrará una lista de los tipos de archivo.
Varios: -h
muestra esta ayuda y salir.
-v salida detallada.
Si -v es utilizado con cualquiera de los 'paquetes duplicados
281
'opciones de eliminación (-d, -D o -w) luego longitudes de los paquetes
editcap: Los tipos de archivos de captura disponibles para la bandera "-F" son: - 5views
InfoVista 5View captura btsnoop - Symbian OS btsnoop CommView - TamoSoft
CommView
282
ap1394 - Apple IP sobre IEEE 1394 ARCNET -
ARCNET
arcnet_linux - ARCNET Linux
ascender - Lucent / Ascend equipos de acceso ATM-PDU -
PDU ATM
atm-PDU-untruncated - ATM PDU - untruncated atm-RFC1483 -
RFC 1483 ATM AX25 - Amateur Radio AX.25 ax25-kiss - AX.25 con
KISS cabecera BACnet-ms-TP - BACnet MS / TP
GFP-f - modo con correspondencia de trama UIT-T Y.1303 procedimiento de entramado G.7041 / Genérico
283
GFP-T - UIT-T Y.1303 Procedimiento Genérico G.7041 / Framing modo transparente GPRS-LLC -
GPRS LLC gsm_um - GSM Um interfaz hhdlc - HiPath HDLC
I2C-Linux - I2C con Linux específica pseudo-cabecera IEEE-802-11 - IEEE 802.11 LAN inalámbrica
IEEE-802-11-AVS - IEEE 802.11, más AVS cabecera de radio IEEE-802-11-netmon - la radio IEEE
802.11 más el Monitor de red cabecera IEEE-802-11-prisma - IEEE 802.11, más Prism II modo de monitor
de cabecera de radio IEEE-802-11-Radio - IEEE 802.11 LAN inalámbrico con información de radio
IEEE-802-11-radiotap - IEEE 802.11 más el encabezado de radio radiotap IEEE-802 -16-mac-cps - IEEE
802.16 Parte subcapa MAC Común InfiniBand - ios - InfiniBand Cisco iOS IP interna-ib - IP a través de IB
ipmb-Kontron - administración de plataforma inteligente de bus con Kontron pseudocabecera ipmi-trace - IPMI
recopilación de datos de seguimiento IPNET - Solaris IPNET IrDA - IrDA RDSI - RDSI
284
Linux-sll - Linux captura en modo de cocinado log_3GPP
- 3GPP Phone Log
Logcat - Android Logcat binario formato logcat_brief - formato de texto breve Android
Logcat logcat_long - formato de texto Android Logcat largo logcat_process - formato
de texto Proceso Android Logcat logcat_tag - formato de texto Etiqueta Android
Logcat logcat_thread - formato de texto Tema Android Logcat logcat_threadtime -
formato de texto Android Logcat Threadtime logcat_time - Android Logcat Tiempo
bucle de formato de texto - OpenBSD bucle invertido loratap - LoRaTap LTalk -
LOCALTALK
285
ppp-con-sentido - PPP con la información de dirección pppoes - sesión
PPP a través de Ethernet prima-ICMP-Nettl - Raw ICMP con
encabezados Nettl prima-ICMPv6-Nettl - Raw ICMPv6 con encabezados
Nettl prima-telnet-Nettl - telnet crudo con Nettl encabezados RawIP - IP
Raw
desconocido-Nettl - Unknown tipo de capa de enlace con encabezados Nettl USB-20 - 2.0 /
1.1 / 1.0 paquetes USB
USB-Darwin - paquetes USB con Darwin (MacOS, etc.) Soportes de conexión USB en
FreeBSD - paquetes USB con conector USB FreeBSD-Linux - paquetes USB con cabecera
Linux
USB-linux-mmap - paquetes USB con cabecera Linux y el relleno USB-usbpcap -
paquetes USB con user0 cabecera USBPcap - Usuario 0 usuario1 - USUARIO 1
usuario2 - USUARIO 2 usuario3 - USUARIO 3 user4 - USUARIO 4 user5 - USUARIO 5
user6 - USUARIO 6 user7 - USUARIO 7 user8 - USUARIO 8 user9 - USUARIO 9 user10
- USUARIO 10 user11 - USUARIO 11
286
user12 - USUARIO 12 user13
- USUARIO 13 user14 -
USUARIO 14 USUARIO15 -
USUARIO 15
V5-EF - Función V5 de sobres
VPP - Vector de paquetes de procesamiento gráfico que traza el envío
vsock - Linux whdlc vsock - Wellfleet HDLC
Mergecap es un programa que combina múltiples archivos guardados de captura en un único archivo de salida especificado por el - w argumento.
Mergecap puede leer archivos de captura libpcap, incluidas las de tcpdump. Además, Mergecap puede leer archivos de captura de Snoop
(incluyendo Shomiti) y atmsnoop, LANalyzer, Sniffer (comprimido o sin comprimir), Microsoft Network Monitor, iptrace de AIX, NetXray,
Sniffer Pro, de RADCOM analizador de WAN / LAN, Lucent Ascend / router de salida de depuración , Nettl de HP-UX y la salida de volcado
de los routers RDSI de Toshiba. No hay necesidad de decir Mergecap qué tipo de archivo que está leyendo; que determinará el tipo de
archivo por sí mismo. Mergecap también es capaz de leer cualquiera de estos formatos de archivo si están comprimidos usando gzip . Mergecap
reconoce esto directamente desde el archivo; la extensión “.gz” no es necesario para este fin.
Por defecto, Mergecap escribe todos los paquetes en los archivos de captura de entrada a un archivo pcapng. los - F bandera puede ser utilizado
para especificar el formato de salida del archivo de captura; se puede escribir el archivo en formato libpcap (formato libpcap estándar, un formato
modificado utilizado por algunas versiones parcheadas de libpcap, el formato utilizado por Red Hat Linux 6.1, o el formato utilizado por SuSE
Linux 6.3), formato de fisgón, formato Sniffer sin comprimir, formato de microsoft Network monitor 1.x, y el formato utilizado por versiones
Los paquetes de los archivos de entrada se fusionan en orden cronológico basado en fecha y hora de cada cuadro, a menos que el - una se especifica la
bandera. Mergecap asume que las tramas dentro de un solo archivo de captura ya están almacenados en orden cronológico. Cuando el - una de opción se
especifica, los paquetes se copian directamente de cada archivo de entrada para el archivo de salida, independientemente de la marca de tiempo de cada
cuadro.
Si el - s bandera se utiliza para especificar una longitud instantánea, cuadros en el archivo de entrada con los datos capturados más que la longitud
especificada instantánea tendrán sólo la cantidad de datos especificados por la longitud instantánea escrito en el archivo de salida. Esto puede
287
no puede manejar paquetes más grandes que un cierto tamaño (por ejemplo, las versiones de snoop en Solaris 2.5.1 y Solaris 2.6 parecen
rechazar tramas Ethernet más grande que la MTU Ethernet estándar, haciéndolos incapaces de manejar capturas gigabit Ethernet si se
utilizan tramas gigantes) .
Si el - T bandera se utiliza para especificar un tipo de encapsulación, el tipo de encapsulación del archivo de captura de salida se verá
obligado en el tipo especificado, en lugar de ser del tipo adecuado para el tipo de encapsulación del archivo de captura de entrada. Tenga en
cuenta que esto sólo hace que el tipo de encapsulación del archivo de salida sea del tipo especificado; las cabeceras de los paquetes de los
paquetes no serán traducidos del tipo de encapsulación del archivo de captura de entrada para el tipo de encapsulación especificada (por
ejemplo, no va a traducir una captura de Ethernet a una captura FDDI si se lee una captura de Ethernet y - T fddi está especificado).
Para obtener más información sobre mergecap consulte a su página de manual local ( hombre mergecap ) o la versión en línea .
Salida: -a
concatenar en lugar de archivos de combinación.
-I <modo de fusión BID> establecer el modo de fusión de la interfaz Descripción Bloques; por defecto es 'todo'.
Varios: -h
muestra esta ayuda y salir.
-v salida detallada.
288
text2pcap: La conversión de ASCII a hexdumps capturas de red
Puede haber algunas ocasiones en las que se desea convertir un volcado hexadecimal de cierto tráfico de red en un archivo libpcap.
text2pcap es un programa que lee en un volcado hexadecimal ASCII y escribe los datos descritos en un archivo de captura PCAP o pcapng. text2pcap
puede leer hexdumps con múltiples paquetes en ellos, y construir un archivo de captura de varios paquetes. text2pcap también es capaz de
generar cabeceras maniquí Ethernet, IP, UDP, TCP o SCTP, a fin de construir totalmente procesable paquete vertederos de hexdumps de
datos a nivel de aplicación solamente.
text2pcap entiende un hexdump de la forma generada por od -A x -t x1 . En otras palabras, cada byte se muestra de forma individual y rodeado
de un espacio. Cada línea comienza con un desplazamiento que describe la posición en el paquete, cada paquete nuevo se inicia con un
desplazamiento de 0 y hay un espacio que separa el desplazamiento desde los siguientes bytes. El desplazamiento es un número hexadecimal
de más de dos dígitos hexadecimales. A continuación se muestra un vertedero que text2pcap puede reconocer:
No hay límite de la anchura o el número de bytes por línea. También el volcado de texto al final de la línea se ignora. Bytes / números hexadecimales pueden
ser mayúsculas o minúsculas. Cualquier texto antes de la compensación se ignora, incluidos los caracteres de reenvío de correo electrónico “>”. Cualquier
línea de texto entre las líneas de cadena de bytes son ignorados. Los desplazamientos se utilizan para realizar un seguimiento de los bytes, por lo que las
compensaciones deben ser correctos. Cualquier línea que sólo tiene los bytes sin un líder en offset es ignorado. Un desplazamiento es reconocido como un
número hexadecimal más de dos caracteres. Cualquier texto después de que los bytes se tiene en cuenta (por ejemplo, el volcado de caracteres). También
se tienen en cuenta todos los números hexadecimales en este texto. Un desplazamiento de cero es indicativo de iniciar un nuevo paquete, por lo que un
único archivo de texto con una serie de hexdumps se puede convertir en una captura de paquetes con varios paquetes. Los paquetes pueden estar
precedidas por una marca de tiempo. Estos se interpretan de acuerdo con el formato dado en la línea de comandos. Si no es así, el primer paquete está
marcado con la fecha con la hora actual se realiza la conversión. Múltiples paquetes se escriben con marcas de tiempo que difieren en un microsegundo
cada uno. En general, la altura de estas restricciones, text2pcap es bastante liberal sobre la lectura en hexdumps y ha sido probado con una variedad de
salidas destrozados (incluyendo reenviarse a través de correo electrónico varias veces, con ajuste de línea limitado etc.)
Hay un par de otras características especiales a la nota. Cualquier línea en la que la primera no está en blanco es “#” será ignorado como un
comentario. Cualquier línea que comienza con # TEXT2PCAP es una directiva y las opciones puede ser insertado después de este comando
para ser procesada por text2pcap . Actualmente existen
289
no hay directivas implementadas; en el futuro, éstos se pueden utilizar para dar más de grano fino de control en el vertedero y la manera que debe
text2pcap También permite al usuario leer en vertederos de datos a nivel de aplicación, mediante la inserción de maniquí cabeceras L2, L3 y L4 antes
de cada paquete. Las posibilidades incluyen la inserción de cabeceras como Ethernet, Ethernet + IP, Ethernet + IP + UDP o TCP, SCTP o antes de
cada paquete. Esto permite Wireshark o cualquier otro decodificador-paquete completo para manejar estos vertederos.
Para obtener más información sobre text2pcap consulte a su página de manual local ( hombre text2pcap ) o la versión en línea .
donde <infile> especifica el nombre de archivo de entrada (uso - para la entrada estándar)
<Archivosalida> especifica el nombre de archivo de salida (el uso - por la salida estándar)
Entrada:
hexagonal -o | oct | dec offsets de análisis sintáctico como (h) ex, (o) CTAL o (d) ecimal;
-t <timefmt> tratar el texto antes de que el paquete como un código de fecha / hora;
el argumento especificado es una cadena de formato de la especie
apoyada por strptime.
Ejemplo: La hora "10: 15: 14.5476" tiene el código de formato
"% H:% M:% S".
NOTA: ''. El delimitador por debajo del segundo componente, debe ser
dada, pero no se requiere ningún patrón; el restante
número se supone que es una fracción de segundo.
NOTA: Los campos de fecha / hora a partir de la fecha / hora actual son
Salida:
-l <TypeNum> capa de enlace de número de tipo; por defecto es 1 (Ethernet). Ver
290
https://www.tcpdump.org/linktypes.html para una lista de
números. Utilice esta opción si el vertedero es una completa
volcado hexadecimal de un paquete encapsulado y desea
especificar el tipo exacto de encapsulación.
Ejemplo: -l 7 para ARCNet paquetes.
-m <max-packet> longitud del paquete max en la producción; por defecto es 262144
Varios: -h
muestra esta ayuda y salir.
-re mostrar depuración detallada de estados del analizador.
291
reordercap: Reordenar un archivo de captura
reordercap le permite reordenar un archivo de captura de acuerdo a la fecha y hora de paquetes. Para obtener más información sobre reordercap consulte
Opciones:
-n no escribir en el archivo de salida si se ordena el archivo de entrada.
-h muestra esta ayuda y salir.
292
Licencia de este documento (GPL)
Al igual que con la licencia original y la documentación distribuida con Wireshark, este documento está cubierto por la Licencia Pública
General de GNU (GNU GPL).
Si usted no ha leído la GPL antes, por favor hágalo. En él se explica todo lo que se le permite hacer con este código y la documentación.
Preámbulo
Las licencias para la mayoría del software están diseñadas para quitarle a usted la libertad de
compartirlo y modificarlo. Por el contrario, la Licencia Pública General de GNU pretende garantizarle la
libertad de compartir y modificar software libre - para asegurarse de que el software es libre para todos
sus usuarios. Esta Licencia Pública General se aplica a la mayoría del software de la Free Software
Foundation ya cualquier otro programa cuyos autores se comprometen a utilizarla. (Existe otro software
de la Free Software Foundation está cubierto por la Licencia Pública General de GNU para Bibliotecas).
Si quiere puede aplicarla a sus propios programas, también.
Cuando hablamos de software libre, nos referimos a la libertad, no de precio. Licencias nuestra
Público en general están diseñados para asegurarse de que usted tiene la libertad de distribuir
copias de software libre (y cobrar por ese servicio si lo desea), que reciba el código fuente o que
pueda conseguirlo si lo quiere, de que se puede cambiar el software o usar fragmentos de él en
nuevos programas libres; y que usted sabe que puede hacer estas cosas.
Para proteger sus derechos, necesitamos hacer restricciones que prohiban a cualquiera que
niegan estos derechos o pedirle que renuncie a los mismos. Estas restricciones se traducen en
ciertas obligaciones que le afectan si distribuye copias del software, o si lo modifica.
Por ejemplo, si distribuye copias de un programa, ya sea gratuitamente o por una tarifa, debe
dar a los receptores todos los derechos que tiene. Debe asegurarse de que ellos también
reciben, o pueden conseguir, el código fuente. Y debe mostrarles estas condiciones de forma que
conozcan sus derechos.
293
Protegemos sus derechos con dos pasos: (1) los derechos de autor del software, y (2) le ofrecemos
esta licencia, que le da permiso legal para copiar, distribuir y / o modificar el software.
También, para la protección y la nuestra de cada autor, queremos para asegurarse de que todo el
mundo comprende que no se proporciona ninguna garantía para este software libre. Si el software es
modificado por alguien y lo distribuye, queremos que sus receptores sepan que lo que tienen no es el
original, por lo que cualquier problema introducido por otros no afecte a la reputación de los autores
originales.
Por último, cualquier programa libre está constantemente amenazado por las patentes de software.
Deseamos evitar el peligro de que los redistribuidores de un programa libre obtengan patentes por
su cuenta, convirtiendo de facto el programa en propietario. Para evitar esto, hemos dejado claro
que cualquier patente debe ser pedida para el uso libre de todos o no ser pedida.
0. Esta Licencia se aplica a cualquier programa u otro trabajo que contenga una nota colocada
por el tenedor del copyright diciendo que puede ser distribuido bajo los términos de esta Licencia
Pública General. El "Programa", a continuación, se refiere a cualquier programa o trabajo, y un
"trabajo basado en el Programa" significa el Programa o cualquier trabajo derivado bajo la ley de
derechos de autor: es decir, un trabajo que contenga el programa o una porción de que, bien en
forma literal o con modificaciones y / o traducido a otro idioma. (De aquí en adelante, la traducción
está incluida sin limitaciones en el término "modificación".) Cada concesionario se dirige como
"usted".
Cualquier otra actividad que no sea la copia, distribución y modificación no están cubiertas por esta
licencia; están fuera de su alcance. El acto de ejecutar el Programa no está restringido, y los resultados
del Programa están cubiertos únicamente si sus contenidos constituyen un trabajo basado en el
Programa (independientemente de haberlo producido mediante la ejecución del Programa). Ya sea que
es cierto depende de lo que haga el programa.
1. Usted puede copiar y distribuir copias literales del código fuente del Programa, según lo has
recibido, en cualquier medio, siempre y cuando adecuada y bien visible publique en cada copia un
anuncio de copyright y un repudio de garantía; mantenga intactos todos los avisos que se refieran
a esta Licencia ya la ausencia de cualquier garantía; y proporcione a cualquier otro receptor del
programa una copia de esta Licencia junto con el Programa.
294
Puede cobrar un precio por el acto físico de transferir una copia, y puede, según su criterio ofrecer
una garantía a cambio de una tarifa.
2. Usted puede modificar su copia o copias del Programa o cualquier porción de él, formando
así un trabajo basado en el Programa, y copiar y distribuir tales modificaciones o trabajo bajo los
términos del apartado 1 anterior, siempre y cuando se cumpla con las estas condiciones:
a) Debe hacer que los ficheros modificados lleven anuncios prominentes indicando que los
ha cambiado los archivos y la fecha de cualquier cambio.
b) Debe hacer que cualquier trabajo que distribuya o publique y que en todo o en parte contenga
o sea derivado del Programa o cualquier parte del mismo, sea licenciada como un todo, sin cargo
alguno para terceras partes bajo los términos de esta licencia .
Estos requisitos se aplican al trabajo modificado como un todo. Si partes identificables de ese trabajo
no son derivadas del Programa, y pueden ser razonablemente independientes y separados por ellos
mismos, entonces esta Licencia y sus términos no se aplican a esas partes cuando sean distribuidas
como trabajos separados. Pero cuando usted distribuye las mismas secciones como parte de un todo
que es un trabajo basado en el Programa, la distribución del todo debe ser según los términos de esta
Licencia, cuyos permisos para otros licenciatarios se extienden al todo completo, y por lo tanto a cada
y cada parte independientemente de quién lo escribió.
Por lo tanto, no es la intención de esta sección para reclamar derechos o desafiar sus derechos
sobre trabajos escritos totalmente por usted; sino que la intención es ejercer el derecho de
controlar la distribución de trabajos derivados o colectivos basados en el Programa.
295
bajo la Sección 2) en código objeto o en formato ejecutable según los términos de las secciones 1 y 2,
supuesto que además cumpla una de las siguientes acciones:
a) Acompañarlo con el código fuente completo correspondiente legible por máquina, que debe ser
distribuido bajo los términos de las secciones 1 y 2 anteriores, en un medio habitualmente utilizado para el
intercambio de software; o,
b) Acompañarlo con una oferta por escrito, válida durante al menos tres años, a dar a un
tercero, por un precio no superior al costo de realizar físicamente la distribución del código
fuente, una copia completa en formato electrónico del código fuente correspondiente, para ser
distribuido bajo los términos de las secciones 1 y 2 anteriores, en un medio habitualmente
utilizado para el intercambio de software; o,
El código fuente de un trabajo significa la forma preferida del trabajo para hacer modificaciones a
la misma. Para un trabajo ejecutable, el código fuente completo se refiere a todo el código fuente
para todos los módulos que contiene, más cualquier archivo de definición de interfaz asociados y
los guiones utilizados para la compilación de control y la instalación del ejecutable. Sin embargo,
como una excepción especial, la necesidad de código fuente distribuido no incluye nada que sea
distribuido normalmente (bien como fuente o binario) con los componentes principales (compilador,
kernel, etc.) del sistema operativo en el que funciona el ejecutable, a no ser que el propio
componente acompañe al ejecutable.
Si la distribución del ejecutable o del código objeto se realiza ofreciendo acceso a la copia
desde un lugar designado, entonces ofrecer un acceso equivalente para copiar el código
fuente del mismo lugar como distribución del código fuente, incluso aunque terceras partes
no estén obligadas a copiar el fuente junto con el código objeto.
4. Usted no puede copiar, modificar, sublicenciar o distribuir el Programa excepto como prevé
expresamente esta Licencia. Cualquier intento de copiar, modificar, sublicenciar o distribuir el
programa es inválida, y hará que cesen automáticamente los derechos de esta licencia. Sin
embargo, las partes que hayan recibido copias o derechos de usted bajo esta Licencia no verán
sus licencias canceladas, mientras esas partes continúen cumpliéndola.
5. Usted no está obligado a aceptar esta licencia, ya que no la ha firmado. Sin embargo, nada
más le concede permiso para modificar o distribuir el Programa o sus trabajos derivados. Estas
acciones son
296
prohibida por la ley si no acepta esta Licencia. Por lo tanto, al modificar o distribuir el Programa
(o cualquier trabajo basado en el Programa), está indicando que acepta esta Licencia para
poder hacerlo, y todos sus términos y condiciones para copiar, distribuir o modificar el Programa
o trabajos basados en él.
7. Si, como consecuencia de una resolución judicial o de una alegación de infracción de patente o
por cualquier otra razón (no limitada a asuntos relacionados con patentes), se le imponen
condiciones (ya sea por orden judicial, acuerdo o de otra manera) que contradigan las condiciones de
esta Licencia, ello no le exime de cumplir las condiciones de esta licencia. Si no puede realizar
distribuciones de forma que se satisfagan simultáneamente sus obligaciones bajo esta licencia y
cualquier otra obligación pertinente entonces, como consecuencia, no puede distribuir el Programa de
ninguna. Por ejemplo, si una licencia de patente no permite la redistribución libre de regalías del
Programa por todos aquellos que reciban copias directa o indirectamente a través de usted, entonces
la única forma en que podría satisfacer tanto esa condición como esta Licencia sería evitar
completamente la distribución del Programa.
En esta sección se pretende dejar completamente claro lo que se cree que es una consecuencia
del resto de esta Licencia.
8. Si la distribución y / o uso del programa está restringido en algunos países ya sea por
patentes o por interfaces con derechos de autor, la
297
tenedor del copyright que coloca este Programa bajo esta Licencia puede añadir una limitación
explícita de distribución geográfica excluyendo esos países, por lo que se permite que la
distribución sólo en o entre los países no excluidos. En ese caso, esta Licencia incorporará la
limitación como si estuviese escrita en el cuerpo de esta Licencia.
9. La Free Software Foundation puede publicar versiones revisadas y / o nuevas de la Licencia Pública
General de vez en cuando. Dichas nuevas versiones serán similares en espíritu a la presente versión, pero
pueden diferir en detalles para considerar nuevos problemas o preocupaciones.
Cada versión recibe un número de versión que la distingue. Si el Programa especifica un número de
versión de esta Licencia que se aplica a ella ya "cualquier versión posterior", usted tiene la opción de seguir
los términos y condiciones, bien de esa versión o de cualquier versión posterior publicada por la Free
Software Foundation. Si el Programa no especifica un número de versión de esta Licencia, puede escoger
cualquier versión publicada por la Free Software Foundation.
10. Si usted desea incorporar partes del Programa en otros programas libres cuyas condiciones de
distribución son diferentes, escribe al autor para pedirle permiso. Para el software tiene copyright de la
Free Software Foundation, escriba a la Free Software Foundation; algunas veces hacemos
excepciones para esto. Nuestra decisión estará guiada por el doble objetivo de preservar la libertad de
todos los derivados de nuestro software libre y promover el intercambio y la reutilización del software
en general.
SIN GARANTÍA
11. Como el programa se licencia libre de cargas, no se ofrece ninguna garantía sobre el programa, en
la extensión permitida por la legislación aplicable. Excepto cuando LO CONTRARIO por escrito, los
tenedores del copyright y / u otras partes proporcionan el programa "tal cual", sin garantía de ningún
tipo, ya sea expresa o implícita, pero no limitado a, las garantías implícitas de comerciabilidad y aptitud
para un DETERMINADO PROPÓSITO . TODO EL RIESGO EN CUANTO A LA CALIDAD Y
EJECUCIÓN DEL PROGRAMA está contigo. Si el programa resultara defectuoso, asume el coste de
cualquier servicio, reparación o corrección.
12. En ningún caso menos que la ley aplicable o se acuerde por escrito, ningún tenedor del copyright ni
ninguna otra parte que modifique y / o redistribuir el PROGRAMA AS permitido anteriormente, BE
RESPONSABLES DE DAÑO, INCLUYENDO CUALQUIER GENERAL, ESPECIAL, incidentales o
consecuentes DERIVADOS DEL USO O incapacidad para utilizar el PROGRAMA (incluyendo pero no
limitado a la pérdida de datos oa la generación incorrecta OR pérdidas sufridas por usted o por terceras
partes oa un fallo del Programa al funcionar con cualquier otro programa) , incluso si dicho tenedor u otra
parte ha sido advertido de la posibilidad de tales daños.
298
FIN DE LOS TÉRMINOS Y CONDICIONES
Si usted desarrolla un nuevo programa, y usted quiere que sea del mayor uso posible para el público, la
mejor manera de lograr esto es hacer que el software libre que cualquiera pueda redistribuir y cambiar
bajo estos términos.
Para hacerlo, añada los siguientes avisos al programa. Lo más seguro es añadirlos al principio de
cada fichero fuente para transmitir con mayor eficacia la ausencia de garantía; y cada fichero
debería tener al menos la línea de "copyright" y un indicador a dónde puede encontrarse el
anuncio completo.
<Una línea para indicar el nombre del programa y una idea breve de lo que hace.> Copyright (C) <año>
<nombre del autor>
Este programa es software libre; usted puede redistribuirlo y / o modificarlo bajo los términos de la
Licencia Pública General de GNU publicada por la Fundación para el Software Libre; ya sea la
versión 2 de la Licencia, o (a su elección) cualquier versión posterior.
Este programa se distribuye con la esperanza de que sea útil, pero SIN NINGUNA
GARANTÍA; incluso sin la garantía implícita de comerciabilidad o aptitud para un PROPÓSITO
PARTICULAR. Véase la Licencia Pública General de GNU para más detalles.
Debería haber recibido una copia de la Licencia Pública General de GNU junto con este programa; si no,
escriba a la Free Software Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 EE.UU.
Añada también información sobre cómo ponerse en contacto con usted por correo electrónico y postal.
Si el programa es interactivo, haga que muestre un pequeño anuncio como el siguiente, cuando comienza a
funcionar en modo interactivo:
Gnomovision versión 69, Copyright (C) año nombre del autor Gnomovision no tiene NINGUNA GARANTÍA;
para más detalles escriba `show w'. Este software es libre, y usted es bienvenido a redistribuirlo bajo ciertas
condiciones; escriba `show c' para más detalles.
Los comandos hipotéticos 'show w 'y 'show c' deberían mostrar las partes adecuadas de la Licencia Pública
General. Por supuesto, los comandos que use pueden llamarse de cualquier otra 'show w 'y 'show c';
Podrían incluso ser pulsaciones del ratón o elementos de menú - lo que sea apropiado para su programa.
299
la escuela, en su caso, para firmar una "renuncia de copyright" para el programa, si es necesario. Este
es un ejemplo; alterar los nombres:
Yoyodyne, Inc. mediante este documento renuncia a cualquier interés en el programa Gnomovision
(que hace pasadas a compiladores) escrito por James Hacker.
Esta Licencia Pública General no permite que incluya sus programas en programas propietarios. Si su
programa es una biblioteca de subrutinas, puede considerar más útil permitir la vinculación de
aplicaciones propietarias con la biblioteca. Si esto es lo que quiere hacer, use la Licencia Pública General
de GNU en lugar de esta Licencia.
300