Jun 02 2007
Cómo analizar tráfico de red
Este artículo versa sobre el uso de herramientas de análisis y sniffing de tráfico de red (en este caso de tráfico de red cableada).
La herramienta a usar será Wireshark, antes conocido como Ethereal (seguro que por este nombre os sonará mucho más).
Una vez descargado (del enlace de arriba) e instalado, al arrancarlo veremos la ventana principal del programa:
Lo primero será empezar una captura de prueba, para ello usaremos el menú (o el botón de la barra de tareas): Capture -> Options (CTRL+K), esto lanzará la ventana de opciones de captura:
Lo normal será fijar estos parámetros:
- Interface: tarjeta de red donde capturar paquetes (hay un interfaz virtual que sirve para capturar en todos los interfaces a la vez).
- Capture packets in promiscuous mode: esta opción hace que la tarjeta de red capture todos los paquetes que pasen por la red, incluídos los que no van destinados a esta máquina, para que esta opción funcione el interfaz de red tiene que permitirlo (en la mayoría de los casos, se usa Ethernet, de modo que si se soportará).
- Display options: opciones para mostrar los resultados (los paquetes capturados) en pantalla:
- Update list of packets in real time: actualiza la ventana de paquetes capturados en tiempo real, es decir, paquete que se capture, paquete que se muestra en la ventana (esta opción consume más recursos, pero puede servirte de utilidad).
- Automatic scrolling in live capture: mueve la barra de desplazamiento de la ventana de paquetes capturados según van llegando (esta opción sólo se puede usar con la anterior).
- Hide capture info dialog: esconde la ventana de información de captura para que no moleste (suele habilitarse cuando se opta por las dos opciones anteriores).
Una vez pulsado Start, empezará la captura, y dependiendo del tráfico que circule por nuestra red en ese momento veremos una ventana similar a la siguiente:
Irán apareciendo paquetes según vayan llegando (si hemos habilitado las opciones de este modo), cuando queramos parar la captura, hay que usar el menú Capture -> Stop (CTRL+E) o el botón de la barra de herramientas.
La ventana se divide en tres paneles (configurables en las opciones del programa):
- El de arriba muestra la lista de paquetes, con distintos datos presentados en columnas:
- Identificador.
- Marca de tiempo.
- IP origen.
- IP destino.
- Protocolo.
- Información variada dependiente del protocolo del paquete
- El panel del medio muestra información del paquete, la cual estará ordenada por la capa a la que pertenece (capa física, capa de enlace, capa de IP, capa de transporte, …).
- El panel de abajo muestra la información binaria del paquete, o trozo del mismo que esté seleccionado en el panel del medio. Esto es muy útil cuando el paquete de red no cumpla un estándar, y parte o todo el contenido no pueda ser decodificado por el programa; así podremos hacer el trabajo de decodificación manualmente.
Una vez parado (o durante la captura), podemos aplicar una poderosa herramienta: LOS FILTROS. Estos fitrarán bajo diferentes criterios la lista de paquetes presentadas, de modo que quitarán del medio todo lo que no nos interese. Imaginemos que estamos analizando los paquetes de red para tráfico HTTP, pues sólo tendremos que escribir “http” en la caja de textos de Filter, y el programa quitará del medio todos los paquetes que nos sean del protocolo HTTP:
Bueno, el tema de los filtros es muy complejo, yo te recomiendo que eches un vistazo a la ayuda, de este modo te harás una idea de todo lo que nos puede ayudar el filtrado; sólo una cosa más relativo a los filtros, no sólo se pueden utilizar a posteriori, es decir, después de capturar el paquete, sino que podemos decir al programa que los filtre antes de capturarlos (es decir, que no los capture sino cumplen los requisitos del filtro), hay que tener en cuenta que no se pueden aplicar todos los filtros en la fase de captura (mirar ayuda).
Eso es todo lo que voy a contar (al menos de momento) sobre esta herramienta, espero haber sido de utilidad (sobre todo a la gente que desconociera este tipo de herramientas), para mi fue un grato descubrimiento (de hecho me habría sido de más utilidad si lo hubiera conocido antes).
Posts relacionados: Evita que te esp... (1), Reconocimiento d... (0)
Posts en mismas categorías: C++ en Windows (0), EHT Mantis (plug... (0), Evita que te esp... (1), Integrar Subvers... (1), Organiza tus ide... (0), Servicios de est... (0), Servidor con IP ... (1), SSH sin password (0), Trabajo como fre... (0)EHT Related v0.2.5 by Emilio González Montaña
Spanish
English
Septiembre 26th, 2007 at 14:46
hola el manual esta bien pero el problema es el siguiente capturo los http pero q opcion ay q elegir para ver el contenido de ese filtro? no logro encontrar ese punto si me puedes alludar un poko t lo agradeceria desde ya muchas gracias
[Contestar]
Emilio González Montaña Reply:
Septiembre 26th, 2007 at 15:13
Hola tatan,
Creo que no entiendo muy bien tu pregunta, el contenido de un filtro como dices tú, es los paquetes que superan positivamente el filtro, de modo que son mostrados automáticamente en la ventana del programa…
No hay que hacer nada en especial, si aplicas un filtro, sólo los mensajes adecuados se mostrarán, con lo que puede que tu problema sea que no tienes tráfico HTTP a analizar…
De todos modos si esto no te ayuda, procura detallarme más claramente el problema.
[Contestar]
Octubre 27th, 2007 at 16:43
buenas tardes señor emilio. le comento que en clase me pidieron sacar unas conclusiones tecnicas de este programa y no tengo ni idea como hacerlas. el docente nos dijo que podrian ser conclusiones como: porque el numero de bits es diferente en cada capa.
nos habla de unos formatos pero no se de cuales habla me dijo que los bajara por internet, me puedes ayudar con eso, o tambien decirle porque sabemos que hay error y cual seria el estandar para arreglarlo o como lo arreglamos en si. y don emilio sabe que salen 10000 preguntas mas de este programa y necesito porfavor me ayude asi sea con 5 respuestas tecnicas bien interesantes. necesito esto para el lunes en la mañana, me encuentro en la ciudad de bogota, si me puede ayudar se lo agradezco y si hay alguna forma de retribuirle economicamente su ayuda me dice como y hacemos algo. le recomiendo encarecuidamente me escriba a mi correo y me ayude, de eso depende mi nota final para pasar el semestre y no tengo donde hacerla….
muchas gracias y espero me ayude…..
fredyt80@hotmail.com
[Contestar]
Emilio González Montaña Reply:
Octubre 27th, 2007 at 20:43
Hola Fredy,
No entiendo del todo cual es tu problema, más allá de que tienes que hacer un trabajo sobre esta herramienta y que no tienes tiempo.
Primero: escribe una pregunta clara relativa a la herramienta.
Segundo: pregunta a tu profesor que trabajo tienes que hacer, y asegúrate bien de que lo comprendes.
Tercero: en cuanto a la retribución, si es una pregunta general de la herramienta no cobro nada, si es un trabajo de consultoría (grande o pequeño) si.
[Contestar]
Febrero 1st, 2008 at 13:38
Hola, primero que todo quiero agradecerle por este tutorial la verdad me sirvió mucho y a la vez me dejo con mas ansias de conocimiento, lo que pasa es que en la empresa tenemos un problema y es con el ares, se esta comiendo todo el ancho de banda, lo que quiere saber es si hay forma de saber por medio del wireshark de saber que ip están usando este programa?
[Contestar]
Emilio González Montaña Reply:
Febrero 1st, 2008 at 15:12
Hola,
Es perfectamente posible metiendo un PC espía, sólo hay que hacer lo siguiente:
1) Localizar el punto de salida de la red (es decir el ROUTER).
2) Dado que el router estará conectado a un SWITCH, hay que poner en medio de ambos un HUB (esto es debido a que el switch analiza el origen y el destino de los paquetes, de modo que los paquetes no llegarían al PC espía).
3) Conectar al HUB lo siguiente: el router, el switch y el PC espía.
Un esquema sencillo de la red sería el siguiente:
INTERNET------ROUTER------HUB--------SWITCH (LAN)
| | | |
PC espía PC PC PC
En el PC espía con el Wireshark ya podremos ver todo el tráfico que circula entre el ROUTER (de acceso a Internet) y la red local (servida mediante un SWITCH).
ES IMPORTANTE asegurarse que el HUB es un HUB de verdad, dado que aveces nos pueden vender un HUB pero en realidad es un SWITCH (dado que los HUBs ya casi no se fabrican)…
[Contestar]
kamilo2283 Reply:
Febrero 2nd, 2008 at 12:55
Gracias viejo por la ayuda la verdad me será muy útil, voy a hacer lo que me dijiste y ya les estaré comentando si me funciona, gracias de todas maneras, sigan así esta página esta de lo mejor, la buena.
[Contestar]
Febrero 22nd, 2008 at 19:53
hola como están? viejo le quedo muy vacano el diseño de la pagina felicitaciones.
no se si tal ves me podes ayudar ojala si, lo que pasa es que necesito que un computador con fox pro imprima a través de una impresora compartida en la red. Ya intente poniendo solo esta impresora como predeterminada y no funciono. Espero me podas ayudar o decirme dónde puedo conseguir dicha ayuda gracias y de nuevo felicitaciones la pagina está muy interesante.
[Contestar]
Marzo 20th, 2008 at 22:13
un par de preguntas:
como identificar la dirección IPv6 debido a la extensión de privacidad en wireshark?
como identificar direcciones IPv6 locales o públicas usando un filtro de captura?
[Contestar]
Emilio González Montaña Reply:
Marzo 20th, 2008 at 22:15
Hola Lexa,
No he trabajado con IPv6 con Wireshark, de modo que no puedo contestarte…
Lo siento, mira a ver si Google te es de más ayuda.
[Contestar]
Marzo 30th, 2008 at 20:59
hola que tal felicidades por el tutorial es muy interesante y bueno. tengo una pregunta pues tengo que hacer una practica sobre paquetes y tramas se trata de identificar paquetes de telnet por lo que entendi se logra poniendo el filtro telnet en este caso sin embargo cuando lo aplico y mando desde otra maquina una llamada a telnet no aparece nada la maquina que contiene el wireshark la uso como espia. en el esquema uso un telnete de la pc1 a la 3 y lo que busco es detectar todos los paquetes que pasan por esta y verlos las maquinas 1 y 3 tienen windows y la 2 es ubuntu. espero y me guies o me des consejo de como realizarlo mejor por tu atencion mil gracias.
____ ___route | |--------------|_1_| pc1 telnet
| |--------------|_2_| pc2 usada como espia
|____|--------------|_3_| pc3 telnet
[Contestar]
Emilio González Montaña Reply:
Marzo 30th, 2008 at 21:37
Hola,
A ver si leemos los comentarios antes de postear…
Tu router tiene un switch dentro, lo que necesitas es un HUB.
[Contestar]
Abril 1st, 2008 at 19:36
[...] >>Pequeño TUTORIAL [...]
Abril 4th, 2008 at 2:55
Hola muy buenas noches ante todo esta pagina me parece super bien y sirve de mucha ayuda, bueno mi pregunta es la siguiente: tengo instalado este programa en mi computador central de mi cafe internet y al ejecutarlo como indicas llega a funcionar tal y como dices pero la verdad no le entiendo muy bien ke es lo ke especificamente me esta mostrando en pantalla ya ke no puedo interpretar cada una de las lines y colores ke me da de cada una de mis direcciones ip de mi red osea ke tampoco c cual de las makinas esta denegando servicio al internet cosa de ke hace lenta la navegacion a internet, espero puedas ayudarme por favor para poder interpretar el funcionamiento de esta herramienta te agradezco de antemano amigo gracias
[Contestar]
Emilio González Montaña Reply:
Abril 4th, 2008 at 6:27
Buenos días Ronald,
Esta herramienta presupone conocimientos (medios/avanzados) en redes. Si tu problema viene de ahí, no puedo ayudarte, dado que tendrías que ponerte a estudiar teoría de redes, como paso previo a entender ningún log de un analizador de tráfico de red, no?
Si tu problema es de otro tipo, por favor, haz la pregunta de un modo más concreto.
[Contestar]
Junio 5th, 2008 at 21:50
Hola, primero gracias por este dato para analizar redes.
Configure el software, me muestra trafico, ahora la pregunta es la siguiente ¿Hay alguna manera de monitorear todos los paquetes que pasan por el switch Catalist 3550 o solo me permite ver los paquete de la puerta a la que estoy conectado.
necesito comprender y usar bien el software hay algun tutorial en español.?
Gracias.
Saludos.
[Contestar]
Emilio González Montaña Reply:
Junio 6th, 2008 at 7:59
Tu respuesta está en el post, no uses un switch, sino un hub.
[Contestar]
Junio 26th, 2008 at 3:04
Hola, tengo el programa instalado en ubuntu. El problema que tengo es que no me sale ninguna interfaz en la lista desplegable de interfaces de las opciones de captura. Estoy conectado a el router mediante una tarjeta wifi integrada en la placa en un portatil. He leído en algún sitio que podría ser por no estar logueado como root alejecutar el programa, pero no tengo ni idea de como ejecutar el programa como root, ya que sólo he podido ejecutarlo desde el entorno gráfico.
A algujien se le ocurre algo??
Gracias de antemano
[Contestar]
Emilio González Montaña Reply:
Junio 26th, 2008 at 7:20
Hola Marcelino,
Para ejecutar el programa como “root” puedes lanzarlo así:
gksudo whireshark
Y tecleas la clave de tu usuario.
De todas formas, siempre que quieras hacer algo como “root” no tienes más que poner “sudo” delante del comando, por ejemplo actualizar tu Ubuntu:
sudo apt-get update
sudo apt-get dist-upgrade
[Contestar]
Marcelino Reply:
Junio 26th, 2008 at 22:25
El problema es que escribia mal el nombre del programa siempre que lo llamaba desde la consola, vaya tonteria… Muchas gracias igualmente y un saludo
[Contestar]
Septiembre 15th, 2008 at 3:44
gracias
[Contestar]
Septiembre 17th, 2008 at 17:10
Necesito saber como hago para localisar quem esta bajando pelicolas o musicas o hacendo una conexon P2P via LIME WIRE O EMULE en la red? Todos los switchs son NORTEL Gerenciavel. El Mirroling ya esta hecho, pero no lo sei identificar el protocolo en el Wireshark.
[Contestar]
Octubre 6th, 2008 at 6:21
Hola que tal. Tengo un problema respecto al software.
Cuando sigo los pasos que me muestra en esta página, se supone que debe capturar los paquetes que estan, pero no me captura nada, uso red inalambrica.
[Contestar]
Emilio González Montaña Reply:
Octubre 6th, 2008 at 8:13
Hola Paco,
Este programa no vale para capturar paquetes de red WIFI, para eso hay otro programa (de pago)…
[Contestar]
Octubre 30th, 2008 at 1:02
Hola he caido por casualidad en tu web. Tengo que hacer un trabajo de clase sobre analisis de red y me gustaría que me explicaras qué se puede hacer con los datos que se obtienen con este sniffer. Aparte de saber el trafico de red. Hay otras cosas que se pueden averiguar ?
Gracias.
[Contestar]
Emilio González Montaña Reply:
Octubre 30th, 2008 at 8:12
Hola Javi,
La verdad es que no entiendo muy bien la pregunta, un sniffer de red, lo único que puede hacer es espiar el tráfico de red (que no es moco de pavo).
Evidentemente el análisis de la información espiada depende de ti, aunque el programa incorpora muchos filtros personalizables que facilitarán dicha tarea.
[Contestar]
Octubre 30th, 2008 at 18:16
Hola discupen estoy instalando wireshark en debian etch 4 y quisiera saber que necesita antes de instalar wireshark alguna herramienta o algo como snmp
[Contestar]
Emilio González Montaña Reply:
Octubre 30th, 2008 at 18:23
Si estás instalando desde los repositorios oficiales, no necesitas nada en especial, dado que para eso están las dependencias entre paquetes; si al contrario lo instalas desde fuentes o binarios, lee la documentación de requisitos.
[Contestar]
Noviembre 17th, 2008 at 19:28
Mi pregunta es la siguiente.
Me permite este programa recuperar ( importar ) ficheros con extension .cap generados por el airodump.
Para despues juntarlos en un mismo y unico fichero con la opcion merge.
Como funciona esta función.
[Contestar]
Emilio González Montaña Reply:
Noviembre 18th, 2008 at 9:26
Hola Javier,
Siento no poder contestar a tu pregunta, pero nunca he usado el AiroDump, dado que es un programa de pago…
Haz la prueba y nos lo cuentas.
[Contestar]