1 wireshark tutorial basico de uso miguel-1
TRANSCRIPT
Análisis de red con Wireshark
Análisis de red con Wireshark.
Filtros de captura y visualización.
IES misericordia
Wireshark● Wireshark antes se llamaba Ethereal.● Es un analizador de protocolos utilizado para
realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos.
● Cuenta con todas las características estándar de un analizador de protocolos.
– Sniffer – Analizador de paquetes capturados– Utilización de filtros– Salvar capturas
Características Wireshark● Trabaja tanto en modo promiscuo.● Puede capturar datos de la red o leer datos
almacenados en un archivo (de una captura previa).
● Gran capacidad de filtrado.● Se ejecuta en más de 20 plataformas.● Es compatible con más de 480 protocolos.● Puede leer archivos de captura de más de 20
productos.
Wireshark● El Sniffer se ha de colocar en un punto
determinado para poder capturar el trafico de red. Este punto depende de las topología de rede concreta.
● La cantidad de tramas que puede obtener un sniffer depende de la topología de red, del modo donde esté instalado y del medio de transmisión.
● Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes que compartan el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi.
Wireshark● Para redes con topologías en estrella, el sniffer
se podría instalar en el nodo central.● Para topologías en anillo, doble anillo y en bus,
el sniffer se podría instalar en cualquier nodo.● Para las topologías en árbol, el nodo con
acceso a más tramas sería el nodo raíz, aunque con los switches más modernos, las tramas entre niveles inferiores de un nodo viajarían directamente y no se propagarían al nodo raíz.
● El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios.
Wireshark● Una de las funciones más potentes son los
filtros que Wireshark puede implementar.● Hay dos filtros:
– Capture filter: filtro para la captura, la información filtrada NO se guarda.
– Display Filter: filtro que permite visualizar sólo parte de los paquetes capturados.
Wireshark● Primero seleccionaremos cual de las tarjetas
presentes en el ordenador será la utilizada para capturar el trafico de red (1).
● Seleccionamos las características de los paquetes que capturaremos: aplicación de filtro, modo promiscuo, resolución de nombres a nivel MAC y nivel de capa transporte, etc. (2)
Wireshark●
Wireshark● Al darle a “capture options” aparece la siguiente
ventana en la que configuramos parámetros y reglas importantes en la captura.
– Promiscuous mode– Enable mac name resolution– Enable transport name resolution– Reglas de “capture filter”
● Al darle a “Start” comenzara la captura de los paquetes.
Wireshark● nnnn
Wireshark● nnnn
Wireshark● Los filtros de captura (lo que esta en rojo) son
los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro.
● Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo presentará en la pantalla principal.
● Aún así podrémos establecer filtros de visualización (display filter) para que nos muestre solo el trafíco deseado.
Wireshark● .
Wireshark● En el campo Capture Filter introducimos el filtro
o pulsamos el botón Capture Filter para filtros predefinidos:
Wireshark● Pasemos a ver la sintaxis de los Filtros y
ejemplos de Filtros de captura.● Podemos combinar las primitivas de los filtros
de la siguiente forma:– Negación: ! ó not– Unión o Concatenación: && ó and– Alternancia:|| ó or
Wireshark
Wireshark● .
Wireshark● .
Wireshark● Los filtros de visualización establecen un criterio
de filtrado sobre las paquetes que estamos capturando y que estamos visualizando en la pantalla principal de Wireshark.
● Al aplicar el filtro en la pantalla principal de Wireshark aparecerá solo el trafíco filtrado a través del filtro de visualización.
Wireshark
Comparando Filtros.● Igual a: eq ó ==● No igual: ne ó !=● Mayor que:gt ó >● Menor que: lt ó <● Mayor o igual: ge ó >=● Menor o igual: le ó <=
Combinando Filtros.● Negación: ! ó not● Unión o
Concatenación: && ó and
● Alternancia:|| ó or
Wireshark● .