Ads 468x60px

domingo, 24 de noviembre de 2013

Articulo interesante sobre manejo a grandes rasgos de wireshark

Buenas esta vez dejo un pequeño manual extraido de: "http://blog.e2h.net/2009/12/01/analisis-de-red-con-wireshark/"
me pareció bastante interesante ya que a grandes rasgos determina los elementos a examinar de el snifador de redes wireshark o programa para realizar auditorias sobre el tráfico de nuestra red:

1DIC/094

Análisis de red con Wireshark

Wireshark es el principal analizador de protocolos del mundo, siendo una herramienta sin coste y totalmente operativa sin restricción alguna.
Esta herramienta nos ayudará a tener una visión exacta de lo que ocurre en nuestra red, permitiendonos detectar problemas y solucionarlos de forma efectiva.
wireshark
El artículo se centrará en los aspectos básicos de la aplicación, teniendo una visión global de los siguientes apartados:
  • Instalando Wireshark.
  • Eligiendo interfaz de captura.
  • Capas del paquete.
  • Filtrado básico.
Instalando Wireshark
El primer paso será descargar la aplicación del sitio oficial para comenzar su instalación.
ctx-ls-1
Una vez descargado lo ejecutamos para comenzar el proceso de instalación y para continuar hacemos clic en el botón Next.
wireshark 3
Aceptamos la licencia haciendo clic en el botón I Agree.
wireshark 4
A continuación nos permite elegir que opciones queremos instalar, dejamos marcadas todas y hacemos clic en el botónNext.
wireshark 5
Ahora nos da a elegir si crear iconos en el escritorio y menú de aplicaciones, además de asociar las extensiones de ficheros que abrirá Wireshark. Lo dejamos de forma predeterminada y hacemos clic en el botón Next.
wireshark 6
Indicamos en que directorio instalar la aplicación y hacemos clic en el botón Next. Nosotros lo dejamos en la ubicación predeterminada.
wireshark 7
En este paso nos indica que va a instalar WinPcap, ya que es necesario para poder realizar las capturas de tráfico, lo dejamos seleccionado y hacemos clic en el botón Install.
wireshark 8
Nos aparece el instalado de WinPcap, hacemos clic en el botón Next.
wireshark 9
En la ventana de bienvenida hacemos clic de nuevo en el botón Next.
wireshark 10
Aceptamos la licencia haciendo clic en el botón I Agree.
wireshark 11
Por último WinPcap nos indica que arrancará a la hora de iniciar el equipo, lo dejamos marcado y hacemos clic en el botónInstall.
wireshark 12
Hacemos clic en el botón Finish para proseguir con la instalación de Wireshark.
wireshark 13
Wireshark habrá continuado instalando y una vez terminado hacemos clic en el botón Next.
wireshark 14
Para terminar hacemos clic en el botón Finish.
wireshark 15
Eligiendo interfaz de captura
Ejecutamos la aplicación para comenzar nuestra captura. Una vez arrancada la aplicación hacemos clic en el primer icono de la barra de herramientaswireshark 16.
wireshark 17
Para comenzar la captura hacemos clic en el botón Start, antes debemos ver que la columna Packets tiene tráfico. Nos aparecerá en la pantalla los paquetes que va capturando la aplicación.
wireshark 18
Capas del paquete
A continuación vamos a observar como se estructura un paquete, la explicación será totalmente básica, pero será de ayuda para iniciarnos en la lectura de estas capturas.
Para el ejemplo vamos a lanzar un ping, haremos doble clic sobre uno de los paquetes y trabajaremos sobre dicha ventana.
wireshark 19
Vemos que disponemos de 4 líneas, las dos primeras líneas muestra la capa 1 (acceso a la red), la tercera línea la capa 2 (Internet), la cuarta línea la capa 3 (transporte), en nuestro caso al usar un ping como paquete no disponemos de capa de aplicación, si observaramos un paquete http, veríamos que disponemos de más líneas, lo que sería la capa de aplicación.
wireshark 20
Ahora vamos a ver cada línea un poco más a fondo.
  • La primera línea corresponde a la capa física del modelo OSI, es decir, la primera capa. Aquí los valores que se muestran son los pertenecientes a ethernet.
wireshark 21
  • La segunda línea corresponde a la capa de enlace de datos del modelo OSI, pero en este caso como estamos trabajando con TCP/IP, este protocolo une las capas 1 y 2 del modelo OSI en la capa 1 del modelo TCP/IP. Aquí observamos las direcciones MAC del dispositivo origen y destino.
wireshark 22
  • La tercera línea corresponde a la capa de red del modelo OSI, la cual muestra el direccionamiento IP de origen y destino así como las marcas que se usan para QoS, TTL, versión IP, etc. Aquí vamos a marcar de colores la IP origen, destino, versión IP y el valor DSCP correspondiente al QoS DiffServ de capa 3.
wireshark 23
  • La cuarta línea corresponde a la capa de transporte del modelo OSI, que coincide en nombre con la capa 3 del modelo TCP/IP. Aquí vamos a observar que el tipo de transporte usado es ICMP, el checksum, número de secuencia e identificador, etc. Marcaremos todos los valores nombrados.
wireshark 24
Filtrado básico
Durante una captura aparece mucha información que para resolver un problema resulta irrelevante, en este apartado vamos a ver como filtrar esa información para que la lectura de Wireshark resulte más cómoda.
Existe una gran cantidad de variables que podemos usar para realizar un filtro adecuado a nuestras necesidades, la barra de filtrado la mostramos a continuación.
wireshark 25
En esta barra disponemos de un cuadro de texto donde escribir la sentencia de nuestro filtro o podemos hacer clic en el botón Expression... donde aparecerá el listado de todas las posibles opciones.
wireshark 26
Todas estas expresiones quedan lejos de este artículo, pero si las observáis no os resultará nada difícil seleccionar la que necesitáis.
Esta ventana de expresiones se divide en tres columnas, donde en la primera tenemos las expresiones, la segunda aparece la relación y en la tercera donde escribiremos el valor. Pulsamos el botón OK y aparecerá en el cuadro de texto de la barra de filtrado.
A continuación vamos a ver sentencias básicas para el filtrado de los paquetes.
  • Expresión -> Ej: ARP (mostrará solo los paquetes ARP en la pantalla).
wireshark 27
  • NOT expresión -> Ej: NOT ARP (eliminará todos los paquetes ARP de la pantalla). NOT es un indicador fijo, otros filtros pueden ser NOT TCP, NOT UDP; como comprobamos NOT se mantiene en toda sentencia.
wireshark 28
  • Expresión && Expresión -> Ej: IP.SRC == 192.168.0.31 && NOT TCP (mostrará solo los paquetes con IP origen 192.168.0.31 que no sean TCP). Podemos concadenar más opciones añadiendo sucesivamente && Expresión. La expresión IP.SRC resulta ser fija, donde la IP es variable y también los valores ==, && y NOT son indicadores comunes para toda expresión de filtrado.
wireshark 29
Nos resultará de ayuda que conforme vamos escribiendo nuestro filtro, aparecerá un asistente diciendonos que comandos podemos ir escribiendo conforme a las letras que hemos introducido.
A continuación se muestra sentencias de algunos filtros:
  • NOT TCP -> No muestra los paquetes que sean TCP (podemos cambiar TCP por ICMP, UDP, DNS, etc.).
  • IP.SRC== -> Indicaremos cual es la IP origen del paquete (podemos cambiar por IP.DST para IP destino).
  • IP.SRC==192.168.0.1 && IP.DST==192.168.0.31 -> Indicamos paquetes con una dirección origen concreta hacia una dirección destino concreta.

0 comentarios:

Publicar un comentario

 
Blogger Templates