Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Análisis de Red Con Wireshark. Interpretando Los Datos PDF

    Încărcat de

    Allan Lobo
    85 vizualizări4 pagini

    Titlu original

    Análisis de red con Wireshark. Interpretando los datos.pdf

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    85 vizualizări4 pagini

    Análisis de Red Con Wireshark. Interpretando Los Datos PDF

    Încărcat de

    Allan Lobo

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 4

    04/09/12 Anlisis de red con Wireshark. Interpretando los datos.

    | Seguridad y Redes

    Seguridad y Redes
    Pgina personal de Alfon.

    Anlisis de red con Wireshark. Interpretando los datos.


    Posted on 14 febrero, 2008

    Wireshark es una herramieta multiplataforma de anlisis de red, producto de la evolucin de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump dsniff. Pero, al contrario de estos, lo hace mostrando los datos a travs de un entorno grfico y de forma ms amigable y entendible. Este artculo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.
    Relacionado: Anlisis de red con Wireshark. Interpretando Las graficas. (I Parte).

    Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a repasar muy superficialmente su uso para centrarnos despus en como interpretar esos los capturados. Comenzamos. Antes que nada, tras arrancar Wireshark, el menu Capture > Interfaces. nos muestra la siguiente pantalla:

    Solo tendremos que pulsar en Start para capturar a travs de la interface que nos interese. Inmeditamente Wireshark comienza a capturar. El problema es que nos lo captura todo, todos los protocolos, etc:

    seguridadyredes.wordpress.com/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos/

    1/20

    04/09/12 Anlisis de red con Wireshark. Interpretando los datos. | Seguridad y Redes

    Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria libpcap. Podemos filtrar a travs de Capture Filter o usar el campo correspondiente:

    Capturamos los paquetesde segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros ms avanzados, introducimos directamente el filtro de esta forma: icmp[0:1] == 08 (en windump es sufciciente con un solo signo =) Con lo que capturaramos los icmp de tipo echo request. O cualquiera de estos: ip[9] == 1
    seguridadyredes.wordpress.com/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos/ 2/20

    04/09/12 Anlisis de red con Wireshark. Interpretando los datos. | Seguridad y Redes

    tcp dst port 110 http contains http://www.forosdelweb.com frame contains @miempresa.es Con este ltimo filtro capturamos todos los correos con origen y destivo al dominio miempresa.es, incluyendo usuarios, pass, etc. En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno ms propio de Wireshark. En otra ocasin nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la intrerpretacin de los datos. Tras una captura nos encontramos con esta salida:

    Se establecen 3 zonas de datos. La primera es la zona de listado de los paquetes capturados con informacin del Numero de Frame, tiempo en segurdos de la captura, Origen, Destino, protocolo involucrado y por ltimo un campo de informacin extra que previamente Wireshark a decodificado. La segunda zona muestra los datos del Frame capturado. En este caso Frame 23 o captura 23 (las numera secuencialmente). nos da informacin de todos los protocolos involucrados en la captura: En campo Frame nos muestra informacin completa de la trama capturada. Tamao total, etc. A continuacin Ethernet II que nos muestra la cabecera Ethernet II que a su vez pertenece a la capa de enlace
    seguridadyredes.wordpress.com/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos/ 3/20

    04/09/12 Anlisis de red con Wireshark. Interpretando los datos. | Seguridad y Redes

    de datos: 0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00 Nos muestra parte de la cabecer de la trama Ethener II, en este caso: Destino 6 bytes 00 04 75 ed 89 c3 : MAC destino Origen 6 bytes 00 14 22 5f a9 25 : MAC origen Tipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este caso IP. 00800. A continuacin vemos Internet Protocol con los datos de la cabecera del datagrama IP: 0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de Eo..~K. 0010 c0 a8 01 1e Esto ya lo hemos estudiado aqu. Despus no escontramos con Transmission Control Protocol. (TCP): 0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!.(..P 0010 f5 79 00 00 .y.. Se trata del Segmento TCP. Protocolo involucrado en esta captura. Lo hemos estudiado aqu. Como ya hemos visto, tenemos informacin del Puerto de origen, destino, nmero de secuencia, etc. Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo Data del segmento TCP.

    Interpretacin de errores y anomalias en la red con Wireshark


    Uno de los usos ms importantes que podemnos aplicar a Tshark / Wireshark es el anlisis de nuestras conexiones y la deteccin de posibles problemas en la transmisin de paquetes. La prdida de paquetes y/o conexin es uno de estos problemas. Vamos a estudiar en esta ocasin como detectar est prdida de paquetes.
    seguridadyredes.wordpress.com/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos/ 4/20

    S-ar putea să vă placă și