e. Consulte y describa las ventanas del analizador de tráfico wireshark.

Wireshark es un analizador de protocolos open-source diseñado por Gerald Combs y que actualmente está disponible para plataformas Windows y Unix.

Conocido originalmente como Ethereal, su principal objetivo es el análisis de tráfico además de ser una excelente aplicación didáctica para el estudio de las comunicaciones y para la resolución de problemas de red.

Wireshark implementa una amplia gama de filtros que facilitan la definición de criterios de búsqueda para los más de 1100 protocolos soportados actualmente (versión 1.4.3);y todo ello por medio de una interfaz sencilla e intuitiva que permite desglosar por capas cada uno de los paquetes capturados. Gracias a que Wireshark “entiende” la estructura de los protocolos, podemos visualizar los campos de cada una de las cabeceras y capas que componen los paquetes monitorizados, proporcionando un gran abanico de posibilidades al administrador de redes a la hora de abordar ciertas tareas en el análisis de tráfico.

De forma similar a Tcpdump, Wireshark incluye una versión en línea de comandos, denominada Tshark, aunque el presente documento se centrará únicamente en su versión gráfica.

Wireshark, y cuyo objetivo principal es servir de guía orientativa para cualquier administrador que necesite detectar, analizar o solucionar anomalías de red.

Pueden existir situaciones en las que Wireshark no sea capaz de interpretar ciertos protocolos debido a la falta de documentación o estandarización de los mismos, en cuyo caso la ingeniería inversa será la mejor forma de abordar la situación.

Dentro de las características de Wireshark podemos destacar las siguientes:

Disponible para sistemas Windows y Unix.

Podemos filtrar paquetes según criterios establecidos.

Es posible capturar tomas de los paquetes en una interfaz de red.

Es posible importar paquetes en formato de texto.

Podemos buscar paquetes usando un rango de criterios.

Permite crear estadísticas, entre otras.

Describa las ventanas del analizador de tráfico wireshark

Una vez se ejecuta el programa Wireshark, se verá una ventana como la siguiente:

Para iniciar una captura, seleccionar la opción “Capture Options”, bajo el menú “Capture”. También se puede acceder a esta opción a través del segundo ícono del menú, “Show the capture options”.

En la ventana que aparece, realizar las siguientes acciones:

 Seleccione la tarjeta de red a usar para capturar los paquetes.

 Seleccione la opción para capturar paquetes en modo promiscuo.

 Verifique que no haya ningún filtro, en “Capture Filter”.

 Remueva las selecciones en “Display Options”

 Verifique que las opciones seleccionadas en “Name Resolution” involucren las direcciones MAC, las direcciones de capa de red y las direcciones de capa de transporte.

 Deseleccionar la opción “Use pcap-ng format”.

El menú de Wireshark se encuentra en la parte superior de la ventana de Wireshark

Al hacer click en “Start”, se podrá ver una ventana que muestra el número de paquetes capturados, con sus respectivos protocolos.

Para terminar la captura de paquetes, hacer click en “Stop”. Después de esto se podrá observar una ventana de resultados

El filtrado de tráfico permite desplegar sólo aquellos paquetes de interés para el usuario. Para hacer esto, se usa la barra “Filter”. Se puede escribir directamente sobre ella la condición sobre los paquetes que debe ser cumplida, o se puede usar la ventana asociada al botón "Expression…". Ahí se selecciona el nombre del campo, y su relación con un valor.

A continuación se muestra el filtro de paquetes que poseen el puerto 80 TCP como origen o como destino. Para que un filtro tenga efecto, se debe hacer click en “Apply”. Si se desea nuevamente mostrar todos los paquetes, se debe hacer click en “Clear”.

Para el caso particular del protocolo TCP, la información de cada captura es mostrada en cuatro partes: “Frame”, “Ethernet”, “Internet Protocol”, y “Transmission Control Protocol”.

Wireshark posee un completo conjunto de herramientas que permiten obtener estadísticas. Éstas incluyen resúmenes, gráficas, jerarquías de protocolos, conversaciones, etc. Se accede a la mayoría de ellas a través del menú “Statistics”.

La siguiente figura muestra la opción “Summary”. En ella se muestran datos de tráfico capturado y mostrado (si ha sido aplicado algún filtro).

La siguiente gráfica muestra la opción “Statistics→IO Graphs”, donde se han seleccionado los parámetros de tráfico TCP y tráfico IP.

Las siguientes gráficas se refieren a la configuración de la opción “Flow Graph” y a la muestra de resultados del mismo. Esto muestra el flujo de mensajes entre uno o más sistemas finales, en su orden cronológico.

Las siguientes gráficas muestran el uso de la opción “Statistics→Endpoints”. En ellas se puede observar información referente a cada uno de los endpoints en el caso de los protocolos TCP y UDP.

Description

La descripción de la interfaz proporcionada por el sistema operativo.

- IP

La primera dirección IP Wireshark que pudo encontrar para esta interfaz. Puede hacer clic en la dirección para pasar por otras direcciones asignadas a la misma, si está disponible. Si se puede conocer ninguna dirección se mostrará "Ninguno".

- Packets

El número de paquetes capturados de esta interfaz, desde que se abrió este diálogo. Aparecerá en gris, si ningún paquete fue capturado en el último segundo.

- Stop

Detener una captura actualmente en ejecución.

- Start

Inicia una captura en todas las interfaces seleccionadas inmediatamente, utilizando la configuración de la última captura o la configuración por defecto, si no se han fijado las opciones.

- Options