Análisis De Red Con Wireshark

Análisis De Red Con Wireshark. Interpretando Los Datos.

alfonn 14-02-2008 GTM 1 @ 14:32

Wireshark es una herramieta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.

Relacionado:

Análisis de red con Wireshark. Interpretando Las graficas. (I Parte).

Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a repasar muy superficialmente su uso para centrarnos después en como interpretar esos los capturados.

Comenzamos.

Antes que nada, tras arrancar Wireshark, el menu Capture > Interfaces.... nos muestra la siguiente pantalla:

Solo tendremos que pulsar en Start para capturar a través de la interface que nos interese. Inmeditamente Wireshark comienza a capturar.

El problema es que nos lo captura todo, todos los protocolos, etc:

Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria libpcap.

Podemos filtrar a través de Capture Filter o usar el campo correspondiente:

Capturamos los paquetes de segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros más avanzados, introducimos directamente el filtro de esta forma:

icmp[0:1] == 08 (en windump es suficiente con un solo signo =)

Con lo que capturaríamos los icmp de tipo echo request.

O cualquiera de estos:

ip[9] == 1

tcp dst port 110

http contains "http://www.forosdelweb.com"

frame contains "@miempresa.es"

Con este último filtro capturamos todos los correos con origen y destino al dominio miempresa.es, incluyendo usuarios, pass, etc.

En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno más propio de Wireshark. En otra ocasión nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la intrerpretación de los datos.

Tras una captura nos encontramos con esta salida:

Se establecen 3 zonas de datos. La primera es la zona de listado de los paquetes capturados con información del Numero de Frame, tiempo en segurdos de la captura, Origen, Destino, protocolo involucrado y por último un campo de información extra que previamente Wireshark a decodificado.

La segunda zona muestra los datos del Frame capturado. En este caso Frame 23 o captura 23 (las numera secuencialmente). nos da información de todos los protocolos involucrados en la captura:

En campo Frame nos muestra información completa de la trama capturada. Tamaño total, etc. A continuación Ethernet II que nos muestra la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:

0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00

Nos muestra parte de la cabecer de la trama Ethener II, en este caso:

Destino 6 bytes 00 04 75 ed 89 c3 : MAC destino

Origen 6 bytes 00 14 22 5f a9 25 : MAC origen

Tipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este caso IP. 0x0800.

A continuación vemos Internet Protocol con los datos de la cabecera del datagrama IP:

0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de E.........o..~K.

0010 c0 a8 01 1e

Esto ya lo hemos estudiado aquí.

Después no escontramos con Transmission Control Protocol. (TCP):

0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!....(..P...

0010 f5 79 00 00 .y..

Se trata del Segmento TCP. Protocolo involucrado en esta captura. Lo hemos estudiado aquí.

Como ya hemos visto, tenemos información del Puerto de origen, destino, número de secuencia, etc.

Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo Data del segmento TCP.

Interpretación de errores y anomalias en la red con Wireshark

Uno de los usos más importantes que podemnos aplicar a Tshark / Wireshark es el análisis de nuestras conexiones y la detección de posibles problemas en la transmisión de paquetes. La pérdida de paquetes y/o conexión es uno de estos problemas. Vamos a estudiar en esta ocasión como detectar está pérdida de paquetes.

Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos.

La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuración en modo promiscuo. También incluye una versión basada en texto llamada tshark.

Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.

...