Análisis de red con Wireshark

Análisis de red con Wireshark.

Filtros de captura y visualización.

IES misericordia

Wireshark● Wireshark antes se llamaba Ethereal.● Es un analizador de protocolos utilizado para

realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos.

● Cuenta con todas las características estándar de un analizador de protocolos.

– Sniffer – Analizador de paquetes capturados– Utilización de filtros– Salvar capturas

Características Wireshark● Trabaja tanto en modo promiscuo.● Puede capturar datos de la red o leer datos

almacenados en un archivo (de una captura previa).

● Gran capacidad de filtrado.● Se ejecuta en más de 20 plataformas.● Es compatible con más de 480 protocolos.● Puede leer archivos de captura de más de 20

productos.

Wireshark● El Sniffer se ha de colocar en un punto

determinado para poder capturar el trafico de red. Este punto depende de las topología de rede concreta.

● La cantidad de tramas que puede obtener un sniffer depende de la topología de red, del modo donde esté instalado y del medio de transmisión.

● Es importante remarcar el hecho de que los sniffers sólo tienen efecto en redes que compartan el medio de transmisión como en redes sobre cable coaxial, cables de par trenzado (UTP, FTP o STP), o redes WiFi.

Wireshark● Para redes con topologías en estrella, el sniffer

se podría instalar en el nodo central.● Para topologías en anillo, doble anillo y en bus,

el sniffer se podría instalar en cualquier nodo.● Para las topologías en árbol, el nodo con

acceso a más tramas sería el nodo raíz, aunque con los switches más modernos, las tramas entre niveles inferiores de un nodo viajarían directamente y no se propagarían al nodo raíz.

● El uso de switch en lugar de hub incrementa la seguridad de la red ya que limita el uso de sniffers al dirigirse las tramas únicamente a sus correspondientes destinatarios.

Wireshark● Una de las funciones más potentes son los

filtros que Wireshark puede implementar.● Hay dos filtros:

– Capture filter: filtro para la captura, la información filtrada NO se guarda.

– Display Filter: filtro que permite visualizar sólo parte de los paquetes capturados.

Wireshark● Primero seleccionaremos cual de las tarjetas

presentes en el ordenador será la utilizada para capturar el trafico de red (1).

● Seleccionamos las características de los paquetes que capturaremos: aplicación de filtro, modo promiscuo, resolución de nombres a nivel MAC y nivel de capa transporte, etc. (2)

Wireshark●

Wireshark● Al darle a “capture options” aparece la siguiente

ventana en la que configuramos parámetros y reglas importantes en la captura.

– Promiscuous mode– Enable mac name resolution– Enable transport name resolution– Reglas de “capture filter”

● Al darle a “Start” comenzara la captura de los paquetes.

Wireshark● nnnn

Wireshark● nnnn

Wireshark● Los filtros de captura (lo que esta en rojo) son

los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro.

● Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo presentará en la pantalla principal.

● Aún así podrémos establecer filtros de visualización (display filter) para que nos muestre solo el trafíco deseado.

Wireshark● .

Wireshark● En el campo Capture Filter introducimos el filtro

o pulsamos el botón Capture Filter para filtros predefinidos:

Wireshark● Pasemos a ver la sintaxis de los Filtros y

ejemplos de Filtros de captura.● Podemos combinar las primitivas de los filtros

de la siguiente forma:– Negación: ! ó not– Unión o Concatenación: && ó and– Alternancia:|| ó or

Wireshark

Wireshark● .

Wireshark● .

Wireshark● Los filtros de visualización establecen un criterio

de filtrado sobre las paquetes que estamos capturando y que estamos visualizando en la pantalla principal de Wireshark.

● Al aplicar el filtro en la pantalla principal de Wireshark aparecerá solo el trafíco filtrado a través del filtro de visualización.

Wireshark

Comparando Filtros.● Igual a: eq ó ==● No igual: ne ó !=● Mayor que:gt ó >● Menor que: lt ó <● Mayor o igual: ge ó >=● Menor o igual: le ó <=

Combinando Filtros.● Negación: ! ó not● Unión o

Concatenación: && ó and

● Alternancia:|| ó or

Wireshark● .