SID3B WireShark Informe Completo Electiva

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 23

REPUBLICA BOLIVARIANA DE VENEZUELA

MINISTERIO DEL PODER POPULAR PARA LA EDUCACION UNIVERSITARIA

UNIVERSIDAD POLITECNICA TERRITORIAL AGROINDUSTRIAL DEL ESTADO TACHIRA

PROGRAMA NACIONAL DE FORMACION EN INFORMATICA

SEDE SAN CRISTOBAL

Electiva

(INFORME HERRAMIENTA DE RED WIRESHARK)

Integrantes:

Rodríguez Ibáñez, Claribel de los Ángeles V- 30.023.652

Alviarez Chacón, Cristian André V- 27.634.120

Araque Galviz, José Alberto V- 27.422.604

Rosales Duran, Emerson Alexander V- 28.613.749

Colmenares Sulbaran, Moisés Alejandro V- 28.297.100

Docente: Servitá, Henry

PNF: INFORMATICA

Octubre de 2022
Introducción

Inicialmente más de una vez un administrador de redes ha tenido que enfrentarse alguna vez a

una pérdida del rendimiento de la red que está su cargo, más allá de un tráfico de red constante,

puede volverse problemático el desconocer qué trafica por nuestra red más allá de los intercambios

constantes, incluso perder la comunicación de los equipos de nuestra red.

Generalmente estos tipos de casos se deben a la mala configuración de la red o también puede

ocurrir por ataque de terceros o personas externas, para observar la red, etc.

En cualquiera de estos distintos casos, lo primero que debe hacerse es ver la fuente de este

problema para poder conseguir una correcta protección hacia la red. Lo recomendado es utilizar

una analizador de red por ello utilizaremos el software llamado “Wireshark”.

En este informe se verá la definición, utilización y demás información importante acerca de este

Software y sus múltiples usos a la hora de analizar.

Cabe destacar que Wireshark tiene como objetivo a ayudar a los administradores y técnicos a

escuchar la red con un analizador de tráfico y repararlo, ya que actualmente siguen siendo uno de

los mayores enemigos en los entornos corporativos.

2
Índice

Contenido Pág.

Wireshark – Descripción ………………..……………………………………………….. 4

Características…………………………………………………………………………….. 4

Ventajas y desventajas……………………………………………………………………. 5

Cómo funciona…………………………………………………………………………… 6

Requisitos de la herramienta……………………………………………………………... 7

Cómo usar Wireshark para capturar, filtrar y analizar paquetes………………………….. 9

Conclusión………………………………………………………………………………... 21

Referencias Bibliográficas………………………………………………………………... 23

3
¿Qué es?

Wireshark (antes conocido como Ethereal) es un analizador de protocolos utilizado para realizar

análisis y solucionar problemas en redes de comunicaciones, para análisis de datos y protocolos,

y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador

de protocolos de forma únicamente hueca.

Su autor fue Gerald Combs, Desarrollado por The Wireshark team en un Modelo de desarrollo

de Software libre realizando su Lanzamiento inicial en 1998 con una Licencia GPLv2. Permite

examinar datos de un archivo de captura salvado en disco. Se puede analizar la información

capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo

lenguaje para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de una

sesión de TCP.

Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y

compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y macOS, así

como en Microsoft Windows.

Características Wireshark

 Permite seguir el rastro a los paquetes TCP stream, podemos ver todo lo relacionado con

dicho paquete, el antes y el después, pudiendo aplicarles filtros personalizados a estos

mismos sin perder el flujo.

 Se puede decodificar los paquetes y exportar en formatos específicos y guardar dichos

objetos.

4
 Permite ver estadísticas de los paquetes capturados incluyendo un resumen, jerarquía de

protocolos, conversaciones, puntos finales y gráfica de flujos entre otros.

 Análisis fácil e informativo mediante resolución de nombres por mac, por red, etc… y re

ensamblaje de paquetes.

 Cuenta con una herramienta de líneas de comandos para ejecutar funcionalidades llamada

TShark, similar al terminal de Linux. Entre los comandos más destacados, podemos

mencionar rawshark, editcap, mergecap, text2pcap.

Ventajas y desventajas de uso

Whireshark al ser software analizador red y paquetes robustos, es casi evidente que tiene más

ventajas que desventajas. Es lo que hace que sea un software tan usado y conocido.

Entre sus ventajas más destacadas encontramos que tiene un soporte con mucho personal a cargo

de nuevas funciones, parches y solucionando errores que la comunidad detecta y esto también incluye

su documentación extensa y no muy laboriosa de leer y aplicar, aparte también cuenta con una

comunidad enorme, que ayuda a la mínima de un cambio cuando alguien necesita buscar algo muy

específico en esos paquetes de red y disectores.

Por otra parte, Captura también todo tipo de paquetes al analizar la red. Muestra errores y

problemas en niveles por debajo del protocolo HTTP. Guardar y restaura los datos empaquetados

capturados, en ficheros pcap.

Entre sus desventajas, que también las tiene, cabe destacar que al analizar la red no se pueden

modificar datos de los paquetes, solo mediante ficheros de red1. Y su interfaz es poco intuitiva, para

los tiempos en los que nos encontramos.

5
¿Cómo funciona?

Wireshark nos posibilita capturar el tráfico de cualquier tarjeta de red, así sea física o virtual,

sencillamente poseemos que tener claro cuál es la tarjeta de red que en la actualidad está en uso, y

de la cual deseamos capturar tráfico de red. Por lo cual sencillamente hacemos doble click sobre

la tarjeta. En la situación de que se quiera usar una tarjeta de red WiFi además se tendráa la

posibilidad de realizarlo sin inconvenientes, todo el tráfico entrante y saliente de la tarjeta WiFi va

a ser capturado por WireShark, empero un detalle bastante fundamental es que WireShark no

pondrá la tarjeta en modo monitor para ver además los paquetes de otros consumidores

inalámbricos, únicamente capturará y mostrará los paquetes propios. Al hacer doble click, de

manera automática empezará a capturar todo el tráfico de red, tanto entrante como saliente.

Algunas recomendaciones ANTES de realizar una captura de tráfico, son las siguientes: 1)

Cerrar todos los programas que generen tráfico de red, el cual no queremos capturar.2) Asegurar

de que el firewall se encuentra desactivado, ya que podría bloquear cierto tráfico y no aparecerá

en Wireshark, o solamente aparecerá parte del tráfico generado. 3) Si se quiere capturar un cierto

tráfico de datos que genere una aplicación, es recomendable esperar 1 segundo antes de iniciarlo

y que capture tráfico de red del equipo, a continuación, ejecutamos esa aplicación, y por último,

cerramos la aplicación y esperamos 1 segundo antes de detener la captura de tráfico. En las capturas

de tráfico, se puede ver tráfico de diferentes protocolos, tanto tráfico del protocolo Spanning-Tree

Protocol de la red, como también tráfico TCP y tráfico TLSv1.2 de diferentes aplicaciones que se

tengan abiertas. Con WireShark se va a poder capturar en detalle todos los paquetes de la conexión

y va a ponerlo en categorías de «Origen», «Destino», «Protocolo», longitud e información

adicional, de esta forma, se podra ordenar fácilmente toda la captura de datos por protocolo,

dirección IP de origen o destino. Con cada ingreso de datos, se tendra la posibilidad de desplegar

6
y ver en detalle todo el paquete de datos, tanto a grado de aplicación, transporte, a grado de red,

enlace y además a grado físico, o sea, Wireshark proporcionará la información por capas, para

descubrir más de forma sencilla la información que nosotros mismos requerimos saber. Por

supuesto, también nos indicará cuáles son los puertos de origen y destino si usamos TCP o UDP,

e incluso se podra ver de manera avanzada los números de secuencia, y si ha habido un RST en la

conexión o se ha tenido que reenviar un segmento debido a un problema. Wireshark es un software

que nos permite conocer mucha información sobre los paquetes que transcurren por la red. Esto

puede ser de mucho beneficio tanto con fines legales o ilegales. En el caso de los legales, puede

ser una gran herramienta para administradores de redes. Entre las funciones que se pueden

desempeñar con este programa podemos encontrar: 1) Capturar tramas directamente desde la red.

2) Mostrar y filtrar las tramas capturadas. 3) Editar las tramas y transmitirlas por la red.4) Realizar

capturas de tramas usando un equipo remoto.5) Llevar a cabo análisis y estadísticas.6) Filtrar todo

tipo de datos.7) Exportar las capturas en diferentes formatos.8) Seguir flujos, parámetros y

patrones de tráfico.

Requisitos para utilización de Wireshark:

La cantidad de recursos que necesita Wireshark depende de su entorno y del tamaño del archivo de captura

que está analizando. Los valores que se indican a continuación deberían ser adecuados para archivos de

captura de tamaño pequeño o medio, de no más de unos cientos de MB. Los archivos de captura más grandes

requerirán más memoria y espacio en disco.

Una red con mucho tráfico puede producir archivos de captura enormes. La captura, incluso en

una red de 100 megabits, puede producir cientos de megabytes de datos de captura en poco tiempo.

Un ordenador con un procesador rápido y mucha memoria y espacio en disco es siempre una buena

idea. Si Wireshark se queda sin memoria, se bloqueará.

7
Aunque Wireshark utiliza un proceso separado para capturar paquetes, el análisis de paquetes

es de un solo hilo y no se beneficiará mucho de los sistemas multinúcleo.

Wireshark debería ser compatible con cualquier versión de Windows que todavía esté dentro

de su vida útil de soporte extendido. En el momento de escribir esto incluye Windows 10, 8.1,

Server 2019, Server 2016, Server 2012 R2 y Server 2012. También requiere lo siguiente:

 El tiempo de ejecución de C universal. Se incluye con Windows 10 y Windows Server

2019 y se instala automáticamente en versiones anteriores si Microsoft Windows Update

está activado.

 Cualquier procesador moderno AMD64/x86-64 de 64 bits o x86 de 32 bits.

 500 MB de RAM disponible. Los archivos de captura más grandes requieren más memoria

RAM.

 500 MB de espacio disponible en el disco. Los archivos de captura requieren espacio

adicional en el disco.

 Cualquier pantalla moderna. Se recomienda una resolución de 1280 × 1024 o superior.

Wireshark utilizará resoluciones HiDPI o Retina si están disponibles. Los usuarios

avanzados encontrarán útiles los monitores múltiples.

 Una tarjeta de red compatible para la captura de datos.

Las versiones antiguas de Windows que están fuera de la ventana de soporte del ciclo de vida

ampliado de Microsoft ya no reciben soporte. A menudo es difícil o imposible dar soporte a estos

sistemas debido a circunstancias que escapan a nuestro control, como las bibliotecas de terceros

de las que dependemos o debido a características necesarias que solo están presentes en versiones

más nuevas de Windows, como la seguridad reforzada o la gestión de la memoria.

8
Wireshark es compatible con macOS 10.14 y posteriores. Al igual que en Windows, las

versiones de macOS compatibles dependen de las bibliotecas de terceros y de los requisitos de

Apple. El hardware Silicón de Apple es compatible de forma nativa a partir de la versión 4.0.

Los requisitos del sistema deben ser comparables a las especificaciones indicadas anteriormente

para Windows.

Wireshark funciona en la mayoría de las plataformas UNIX y similares a UNIX, incluyendo

Linux y la mayoría de las variantes de BSD. Los requisitos del sistema deberían ser comparables

a las especificaciones indicadas anteriormente para Windows.

Hay paquetes binarios disponibles para la mayoría de las distribuciones de UNIX y Linux.

Cómo usar Wireshark para capturar, filtrar y analizar paquetes:

Descargar Wireshark

Puede descargar Wireshark para Windows o Mac OS X desde su sitio web oficial. Escoge según

el sistema operativo que uses.

9
Si está utilizando Linux u otro sistema similar a UNIX, probablemente encontrarás Wireshark

en sus repositorios de paquetes. Por ejemplo, si está utilizando Ubuntu, encontrarás Wireshark en

el Centro del software de Ubuntu.

Sólo una advertencia rápida: Muchas organizaciones no permiten Analyzer Wireshark y

herramientas similares en sus redes. No utilice esta herramienta en el trabajo a menos que tengas

permiso.

Cómo usar Wireshark para capturar paquetes:

Después de descargar e instalar Wireshark, puedes iniciarlo y hacer clic en el nombre de una

interfaz, en Lista de interfaces, para comenzar a capturar paquetes en esa interfaz. Por ejemplo, si

deseas capturar el tráfico en la red inalámbrica, haz doble clic en la interfaz Conexión de red

inalámbrica.

10
Tan pronto como hagas clic en el nombre de la interfaz, verás que los paquetes empiezan a

aparecer en tiempo real. Wireshark captura cada paquete enviado hacia o desde tu sistema. Si estás

haciendo capturas en una interfaz inalámbrica y tienes el modo promiscuo activado en sus opciones

de captura (el cual está habilitado por defecto), también verá los paquetes de los otros paquetes de

la red.

11
Haz clic en el botón detener captura (Botón Rojo cuadrado #2) cerca de la esquina superior

izquierda de la ventana cuando desees detener la captura de tráfico.

12
Dejamos una pequeña guía de los controles de Wireshark, enumerando desde abajo hacia arriba

del 1 al 15.

Codificación de color en Wireshark:

Probablemente verá paquetes resaltados en verde, azul y negro. Wireshark utiliza colores para

ayudarle a identificar los tipos de tráfico de un vistazo. De forma predeterminada, el verde es el

tráfico TCP, el azul es el tráfico DNS, el azul claro es el tráfico UDP y el negro identifica los

paquetes TCP con problemas; por ejemplo, podrían haber sido entregados dañados.

13
Para ver exactamente lo que significan los códigos de color, haga clic en View> Coloring rules.

También puede personalizar y modificar las reglas de coloración de aquí, si lo desea (solo debe

hacer doble clic sobre alguno de ellos y escoge el color que quiera).

Capturas de ejemplo:

Luego de que haya presionado el botón Detener captura usted puede guardar esa captura para

examinarla posteriormente, presionando Ctrl+Shift+S o simplemente vaya a File>Save as , y

coloca un nombre de su preferencia, como por ejemplo PrimeraCaptura. Luego

presiona Guardar.

14
Si no hay nada interesante en tu propia red para inspeccionar, Wireshark te tiene la solución.

La página web de Wireshark contiene una página de archivos de captura que puede cargar e

inspeccionar.

Abrir un archivo de captura es fácil; Simplemente, después de que tengas guardado cualquier

paquete, cierre wireshark y vuélvalo a abrir, aparecerá de inmediato el paquete que capturo

anteriormente, haz doble clic en el archivo y este se abrirá en la pantalla principal de Wireshark

automáticamente, sino también puedes desde el menú de Wireshark File -> Open. También puedes

guardar tus propias capturas en Wireshark y abrirlas más tarde.

Cómo usar Wireshark para filtrar paquetes:

Si está intentando inspeccionar algo específico, como el tráfico que envía un programa al llamar

a casa, ayude a cerrar todas las demás aplicaciones que utilizan la red para reducir el tráfico. Sin

15
embargo, es probable que tenga una gran cantidad de paquetes para filtrar. Ahí es donde entran los

filtros de Wireshark.

La forma más básica de aplicar un filtro es escribiéndola en el cuadro de filtro en la parte superior

de la ventana y haciendo clic en Aplicar (o presionando Enter). Por ejemplo, escriba dns y verá

sólo paquetes DNS. Cuando comience a escribir, Wireshark te ayudará a completar tu filtro

automáticamente, luego también puedes darle clic en la flecha azul de la imagen de abajo para

enfocarte en lo que buscas

16
También puede hacer clic en el menú Analizar y seleccionar Mostrar filtros para crear un nuevo

filtro.

Otra cosa interesante que puedes hacer es hacer clic con el botón derecho del ratón en un paquete

y seleccionar Follow -> TCP Stream (seguir la secuencia TCP).

17
Verá la conversación completa entre el cliente y el servidor.

Cierra la ventana y verás que se ha aplicado automáticamente un filtro - Wireshark te muestra

los paquetes que componen la conversación.

18
Cómo usar Wireshark para analizar paquetes:

Haz clic en un paquete para seleccionarlo y puedes bajar para ver sus detalles.

También puedes crear filtros desde aquí: haz clic derecho en uno de los detalles y usa el

submenú Aplicar como filtro para crear un filtro basado en él.

19
Este tutorial de Wireshark sólo toca una parte superficial de lo que puede hacer con esta

poderosa herramienta. Los profesionales lo usan para depurar las implementaciones del protocolo

de red, examinar problemas de seguridad e inspeccionar cómo funcionan los protocolos en redes

privadas.

20
Conclusión:

A modo de conclusión se plasman los aspectos importantes a considerar de Wireshark hallados

a través del presente escrito:

 Mantenido bajo la licencia GPL.

 Trabaja muy duro tanto en modo promiscuo como en modo no promiscuo.

 Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura

previa).

 Basado en la librería pcap.

 Tiene una interfaz muy flexible.

 Gran capacidad de filtrado.

 Admite el formato estándar de archivos tcpdump.

 Reconstrucción de sesiones TCP.

 Se ejecuta en más de 20 plataformas.

 Es compatible con más de 480 protocolos.

 Puede leer archivos de captura de más de 20 productos.

 Puede traducir protocolos TCP IP.

 Genera TSM y SUX momentáneamente.

Con ello se concluye que Wireshark es un analizador de paquetes de red, una utilidad que

captura todo tipo de información que pasa a través de una conexión, es gratis y de código abierto,

y se puede usar para diagnosticar problemas de red, efectuar auditorías de seguridad y aprender

más sobre redes informáticas. Permite examinar datos de una red viva o de un archivo de captura

salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios

21
por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la

habilidad de mostrar el flujo reconstruido de una sesión de TCP. Wireshark es software libre, y se

ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris,

FreeBSD, NetBSD, OpenBSD, Android, y Mac OS X, así como en Microsoft Windows.

22
Referencias Bibliográficas:

 Wikipedia. Wireshark. Recuperado el 29 de Septiembre de 2022 de

https://es.m.wikipedia.org/wiki/Wireshark#:~:text=Wireshark%20(antes%20conocido%2

0como%20Ethereal,y%20como%20una%20herramienta%20did%C3%A1ctica.

 OpenWebinars. Wireshark: Qué es y ejemplos de uso. Recuperado el 29 de Septiembre de

2022 de https://openwebinars.net/amp/blog/wireshark-que-es-y-ejemplos-de-uso/

 OpenWebinars. Wireshark: Qué es y ejemplos de uso – Ventajas y Desventajas.

Recuperado el 01 de Octubre de 2022 de https://openwebinars.net/amp/blog/wireshark-

que-es-y-ejemplos-de-uso/

 De Luz, S. Redes Zone – Aprende a usar Wireshark para capturar y analizar el tráfico de

red. Recuperado el 02 de Octubre de 2022 de https://www.redeszone.net/tutoriales/redes-

cable/wireshark-capturar-analizar-trafico-red/amp/

 Sharpe, R. Warnicke, E. & Lamping, U. Wireshark User´s Guide. Recuperado el 30 de

Septiembre de 2022 de

https://www.wireshark.org/docs/wsug_html_chunked/ChIntroPlatforms.html

 COMOFRIKI. Cómo usar Wireshark para capturar, filtrar y analizar paquetes. Recuperado

el 01 de Octubre de 2022 de https://comofriki.com/como-usar-wireshark-capturar-filtrar-

analizar-paquetes/

23

También podría gustarte