Cómo analizar tráfico de red


Este artículo versa sobre el uso de herramientas de análisis y sniffing de tráfico de red (en este caso de tráfico de red cableada).

La herramienta a usar será Wireshark, antes conocido como Ethereal (seguro que por este nombre os sonará mucho más).

Una vez descargado (del enlace de arriba) e instalado, al arrancarlo veremos la ventana principal del programa:

wireshark01.png

Lo primero será empezar una captura de prueba, para ello usaremos el menú (o el botón de la barra de tareas): Capture -> Options (CTRL+K), esto lanzará la ventana de opciones de captura:

wireshark02.png

Lo normal será fijar estos parámetros:

  • Interface: tarjeta de red donde capturar paquetes (hay un interfaz virtual que sirve para capturar en todos los interfaces a la vez).
  • Capture packets in promiscuous mode: esta opción hace que la tarjeta de red capture todos los paquetes que pasen por la red, incluídos los que no van destinados a esta máquina, para que esta opción funcione el interfaz de red tiene que permitirlo (en la mayoría de los casos, se usa Ethernet, de modo que si se soportará).
  • Display options: opciones para mostrar los resultados (los paquetes capturados) en pantalla:
    • Update list of packets in real time: actualiza la ventana de paquetes capturados en tiempo real, es decir, paquete que se capture, paquete que se muestra en la ventana (esta opción consume más recursos, pero puede servirte de utilidad).
    • Automatic scrolling in live capture: mueve la barra de desplazamiento de la ventana de paquetes capturados según van llegando (esta opción sólo se puede usar con la anterior).
    • Hide capture info dialog: esconde la ventana de información de captura para que no moleste (suele habilitarse cuando se opta por las dos opciones anteriores).

Una vez pulsado Start, empezará la captura, y dependiendo del tráfico que circule por nuestra red en ese momento veremos una ventana similar a la siguiente:

wireshark03.png

Irán apareciendo paquetes según vayan llegando (si hemos habilitado las opciones de este modo), cuando queramos parar la captura, hay que usar el menú Capture -> Stop (CTRL+E) o el botón de la barra de herramientas.

La ventana se divide en tres paneles (configurables en las opciones del programa):

  1. El de arriba muestra la lista de paquetes, con distintos datos presentados en columnas:
    • Identificador.
    • Marca de tiempo.
    • IP origen.
    • IP destino.
    • Protocolo.
    • Información variada dependiente del protocolo del paquete
  2. El panel del medio muestra información del paquete, la cual estará ordenada por la capa a la que pertenece (capa física, capa de enlace, capa de IP, capa de transporte, …).
  3. El panel de abajo muestra la información binaria del paquete, o trozo del mismo que esté seleccionado en el panel del medio. Esto es muy útil cuando el paquete de red no cumpla un estándar, y parte o todo el contenido no pueda ser decodificado por el programa; así podremos hacer el trabajo de decodificación manualmente.

Una vez parado (o durante la captura), podemos aplicar una poderosa herramienta: LOS FILTROS. Estos fitrarán bajo diferentes criterios la lista de paquetes presentadas, de modo que quitarán del medio todo lo que no nos interese. Imaginemos que estamos analizando los paquetes de red para tráfico HTTP, pues sólo tendremos que escribir “http” en la caja de textos de Filter, y el programa quitará del medio todos los paquetes que nos sean del protocolo HTTP:

wireshark04.PNG

Bueno, el tema de los filtros es muy complejo, yo te recomiendo que eches un vistazo a la ayuda, de este modo te harás una idea de todo lo que nos puede ayudar el filtrado; sólo una cosa más relativo a los filtros, no sólo se pueden utilizar a posteriori, es decir, después de capturar el paquete, sino que podemos decir al programa que los filtre antes de capturarlos (es decir, que no los capture sino cumplen los requisitos del filtro), hay que tener en cuenta que no se pueden aplicar todos los filtros en la fase de captura (mirar ayuda).

Eso es todo lo que voy a contar (al menos de momento) sobre esta herramienta, espero haber sido de utilidad (sobre todo a la gente que desconociera este tipo de herramientas), para mi fue un grato descubrimiento (de hecho me habría sido de más utilidad si lo hubiera conocido antes).

, , , , ,

  1. #1 by paloma on 2011/04/12 - 01:12

    si no es correcta tu decicion por que lo estas aciendo mal mejor es el soporte tecnico.

  2. #2 by leonel84 on 2011/02/24 - 00:08

    Ssaludos amigos
    Recien estoy adentrandome en esto si alguien me da unos tips de como analizar y ver los resulados del trafico de red ?? q no le entiendo muy bien cuales serian las anomalias q teberia tener en cuenta despues de usar la herrmaienta saludos

  3. #3 by Alfredo on 2010/10/01 - 21:43

    Hola Emilio, muy didactica tu explicacion para quienes no estudiamos en la academia sino que fuimos aprendiendo de a pocos. Quiero saber si puedes recomendar algunas direcciones donde aprender un poco mas como imterpretar y analizar la informacion que recopila esta herramienta, de forma que podamos, por ejemplo, detectar cuando un intruso esta tratando de atacar la red y demas. Muchas gracias por adelantado.

  4. #4 by karlos on 2010/02/23 - 16:41

    Estimado, mira necesito chequear un enlace de una aplicacion asp, tengo una direccion para accesar a ella , le hice un tracer y me aparece que esta alojada en USA, siendo que deberia estar alojada en en servidor Nacional. hay alguna manera de bloquear el trafico internacional para poder estar seguro que la aplicación esta realmnete dentro del segmento Nacional

  5. #5 by jarpei on 2009/10/09 - 18:54

    Emilio Gonzalez se aburrio de contestar tanta pregunta estupida.

    a todos muchas gracias.

  6. #6 by vicky on 2009/07/11 - 17:21

    Hola que tal, necsito realizar un estudio del trafico ( red integrada voz, dato y video.

    Esta herramienta es la mas poderosa que existe?
    cual otra me recomendarias?
    para levantar mi trabajo con exito
    thanks

  7. #7 by vicky on 2009/07/11 - 17:16

    hello, com stan , me encanto esta pagina y me detuve.Necesito hacer un estudio del trafico ( RED INTEGRADA DE VOZ, DATO Y VIDEO) que herramienta o software me recomiendas o es el mas utilizado para empresas grandes?

  8. #8 by Javier on 2009/02/13 - 17:52

    Administro una LAN con 50 pc, con una conexión de un mega dedicado que maneja un equipo es un SRS Telecom. El router D-Link DI-604 que está conectado al equipo SRS recibe y administra el tráfico se cuelga por las mañanas aunque no todos los días, tengo que apagar el router y volverlo a encender. Puedo hacer un ping satisfactoriamente al router y al equipo SRS, pero el router deja de aministrar los paquetes. ¿Se puede utilizar el programa Wireshark para saber qué produce el problema?. ¿Qué tengo que buscar=

  9. #9 by Emilio González Montaña on 2009/01/18 - 13:06

    Mucho me temo que la intención de tu pregunta no es moralmente (al menos desde mi moral) contestable…
    Una de dos:
    – O quieres espiar a alguien en tu familia, amigos, trabajo.
    – O eres del departamento de IT de tu empresa y te han mandado hacer algo ilegal.
    Sea cual fuere el origen de la pregunta, me abstengo de contestarte…

  10. #10 by colibri on 2009/01/18 - 06:24

    hola,…
    quiero saber como hago para capturar mensajes instantaneos(IM)de chat en una red LAN…gracias

  11. #11 by Emilio González Montaña on 2008/12/30 - 16:22

    Hola, muy cierto, tienes razón, lo único que los switchs que tienen SPAN y RSPAN disponible suelen ser los de gama profesional.
    Siempre es más fácil usar un HUB, claro está si se dispone de uno.

  12. #12 by Zre0 on 2008/12/29 - 16:04

    Cuando indicas que habría que utilizar un HUB, no podria suplirse el HUB por una configuracion de SPAN o RSPAN en uno de los puertos del switch, concretamente donde estuviera ubicado el pc_esia,siempre que el switch lo permita (claro)?

    Un saludo.
    Zre0

  13. #13 by Silvia on 2008/11/30 - 18:09

    Hola, gracias por el post, muy útil.
    Una pregunta; yo antes usaba un programa para capturar i ver el tráfico que era de pago (LAN Agilen), con este, tenía la opción, de hacer filtrado por protocolo o por IP, y además tenía la opción de hacer filtrado de captura o de display (de forma independiente). Para una práctica, tengo hacer una conexión ftp y mirar el tráfico que genera, qué intercambio de mensajes hay a nivel ftp y cuántos segmentos tcp transportan ftp. Si pongo en wireshark que me filtre por ftp, en pantalla sólo me aparecen los paquetes exclusivos ftp (cómo es lógico) pero las frames de ACK no las veo, de forma que sólo se intercambian 4 paquetes. Me gusaría saber cómo hacer un filtrado por IP con mi usuario (que tanto sea fuente como destino), y eliminar aquellos paquetes que sean de http, de manera que podré ver todo lo que me interesa, creo.
    No sé si me explicado bien. Gracias de antemano

  14. #14 by Emilio González Montaña on 2008/11/18 - 09:26

    Hola Javier,

    Siento no poder contestar a tu pregunta, pero nunca he usado el AiroDump, dado que es un programa de pago…

    Haz la prueba y nos lo cuentas.

  15. #15 by javier on 2008/11/17 - 19:28

    Mi pregunta es la siguiente.
    Me permite este programa recuperar ( importar ) ficheros con extension .cap generados por el airodump.
    Para despues juntarlos en un mismo y unico fichero con la opcion merge.
    Como funciona esta función.

  16. #16 by Emilio González Montaña on 2008/10/30 - 18:23

    Si estás instalando desde los repositorios oficiales, no necesitas nada en especial, dado que para eso están las dependencias entre paquetes; si al contrario lo instalas desde fuentes o binarios, lee la documentación de requisitos.

  17. #17 by Marcelo on 2008/10/30 - 18:16

    Hola discupen estoy instalando wireshark en debian etch 4 y quisiera saber que necesita antes de instalar wireshark alguna herramienta o algo como snmp

(No será publicado)