Título: Manual Wireshark Publicado por: [ANTRAX] en 29 Agosto 2010, 18:08 pm (http://s3.subirimagenes.com:81/privadas/previo/thump_541449dibujo.jpg) ¿Que es Wireshark? Wireshark, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Su función es similar a la de *tcpdump, pero añade una interfaz gráfica y opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red estableciendo la configuración en modo promiscuo. En la siguiente explicación veremos como funciona más detalladamente. -·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·-·--·-·-·-·- Manual Wireshark 1.- Cuando abrimos por primera vez el programa se muestra y detalla la interfaz de usuario y como se aplican las principales funciones de WireShark (Capturar, Desplegar y Filtrar paquetes). (http://s3.subirimagenes.com:81/privadas/previo/thump_541456dibujo2.jpg) File -> contiene las funciones para manipular archivos y para cerrar la aplicación Wireshark. Edit -> este se puede aplicar funciones a los paquetes, por ejemplo, buscar un paquetes especifico, aplicar una marca al paquete y configurar la interfaz de usuario. View -> permite configurar el despliegue del paquete capturado. Go -> Desde aquí permiten ... Capture -> para iniciar y detener la captura de paquetes. Analyze -> desde analyze podemos manipular los filtros, habilitar o deshabilitar protocolos, flujos de paquetes, etc. Statistics -> podemos definir u obtener las estadísticas del trafico capturado. Help -> menú de ayuda. A continuación empezaremos con la aplicación más sencilla que podemos utilizar en el programa. Capturar paquetes IP WireShark cuenta con tres maneras para iniciar la captura de los paquetes: ·Haciendo doble clic en (http://s3.subirimagenes.com:81/imagen/previo/thump_2822778dibujo3.png) se despliega una ventana donde se listan las interfaces locales disponibles para iniciar la captura de paquetes. (http://s3.subirimagenes.com:81/privadas/previo/thump_541465dibujo4.jpg) Tres botones se visualizan por cada interfaz Start -> para iniciar Options -> para configurar Details -> proporciona información adicional de la tarjeta como su descripción, estadísticas, etc. Otra opcion es Otra seleccionar el icono (http://s3.subirimagenes.com:81/privadas/previo/thump_541466dibujo5.jpg) en la barra de herramientas, y abrimos la siguiente ventana donde se muestra opciones de configuración para la tarjeta de red. (http://s3.subirimagenes.com:81/privadas/previo/thump_541467dibujo6.jpg) O por ultimo en el caso que se haya predefinido las opciones de la tarjeta, haciendo clic en (http://s3.subirimagenes.com:81/privadas/previo/thump_541468dibujo7.jpg) se inicia la captura de paquetes inmediata. Capture/start (http://s3.subirimagenes.com:81/privadas/previo/thump_541469dibujo8.jpg) Cuando pulsamos a start nos muestra esta pantalla. (http://s3.subirimagenes.com:81/privadas/previo/thump_541470dibujo9.jpg) La información se organiza de la siguiente forma. primera columna[N.o]-> muestra el número de paquetes que enviamos o recibimos. Segunda columna[Time] ->s el tiempo que tarda en transmitirse el paquete de datos. Tercera columna[Source]-> la ip origen. Cuarta columna[Destination]-> la ip destino. Quinta columna[Protocol]-> El protocolo que utiliza en esa transmisión (especificaciones pag..) Sexta columna[info.]-> Nos muestra una pequeña información sobre el paquete de datos. En la parte que he señalado en azul-> Contiene el protocolo y los campos correspondientes del paquete previamente seleccionado en el panel de paquetes capturados[Gris]. Seleccionando una de estas líneas con el botón secundario del Mouse se tiene opciones para ser aplicadas según las necesidades. (http://s3.subirimagenes.com:81/privadas/previo/thump_541472dibujo10.jpg) En la parte que he señalado en amarillo-> En este panel se despliega el contenido del paquete en formato hexadecimal. (http://s3.subirimagenes.com:81/privadas/previo/thump_541471dibujo11.jpg) Wireshark tiene otra funcion importante y es la campura de paquetes pero con filtrado. Filtrar paquetes IP. Para guardar o abrir un filtro existente se debe seleccionar Display Filter en el menú Analyze o Capture Filter que se encuentra en el menú Capture. Capture/filter (http://s3.subirimagenes.com:81/privadas/previo/thump_541474dibujo12.jpg) Para definir un filtro pulsamos un nombre de la lista que tenemos y solo nos filtrara aquello que allamos seleccionado Analizando un paquete. El paquete que voy a analizar va a ser un envio de trafico Ping. cmd-> ping 192.168.2.21 [cualquier ip] (http://s3.subirimagenes.com:81/privadas/previo/thump_541475dibujo13.jpg) En la captura vemos que al hacer ping tenemos dos clases de protocolos diferentes: ARP y ICMP. ARP -> para poder llegar al nodo correspondiente se necesita que la tabla ARP se rellene y mas tarde el ping se ara correctamente. ICMP -> en lo que vemos que corresponde al protocolo ICMP es los ping que se han hecho a un nodo. Mediante ping comprobamos la correcta conectividad entre equipos. Observamos que en la columna de info pone request y replay. La línea de request la enviamos desde nuestro nodo y replay es la contestación a nuestra trama. Al programa lo pueden descargar de aca: WIRESHARK (http://www.wireshark.org/download.html) Espero que les sea de utilidad! Saludos! ANTRAX Título: Re: Manual Wireshark Publicado por: jcrack en 30 Agosto 2010, 00:15 am hola ! gracias ! Muchas gracias Me gusto este manual y bien explicado ;-) descargando ....... el manual y el exe para windows , todo BIEN nota: estare atento por si viene la segunda parte sobre filtrado en wireshark |