MANUAL

SOFTWARE DE
MONITOREO DE RED

Elaborado por:
Acero Pinilla Laura Constanza
Camacho vila Edier Edilson
Fuya Fuya Carlos Andrs
Navarro Julio Eliana
Rosas Garca Fredy Alejandro

CONTENIDO

I.

Introduccin

II.

Objetivo

III.

A quien va dirigido

IV.

Requisitos del sistema

V.

Instalacin de Wireshark

VI.

Caractersticas de Wireshark

VII.

Primeros pasos

VIII.

Prcticas de laboratorio

IX.

Fuentes de informacin

CAPTULO I
INTRODUCCIN

I.

INTRODUCCIN

La gestin de redes es un conjunto de modelos, herramientas y mtodos,

enfocados a realizar actividades que permitan garantizar una alta
disponibilidad de los recursos con que se cuenta. Para lograrlo hay que
buscar herramientas software que permitan si no, estar un paso delante de
los delincuentes informticos, por lo menos a la par. Una de ellas es
Wireshark, que permite llevar a cabo acciones de gestin de prestaciones y
gestin de fallos, mediante la recoleccin, almacenamiento y evaluacin o
anlisis de datos caractersticos de los elementos de una red y su
operacin.

CAPTULO II
OBJETIVOS

II.

OBJETIVOS.

Este manual se desarrolla con el fin de ensear a los usuarios a manejar la

herramienta Wireshark mostrndoles las funciones de cada botn y dndoles la
posibilidad de desarrollar unas guas de laboratorio que facilitarn el manejo de la
misma.

CAPTULO III
DIRIGIDO A

III.

DIRIGIDO A

Este manual va dirigido a:

Estudiantes que quieran aprender internamente cmo funciona una red.

Administradores que deseen resolver problemas en la red.
Ingenieros que quieran examinar problemas de seguridad.

CAPTULO IV
REQUISITOS DEL
SISTEMA

IV.

REQUERIMIENTOS DEL SISTEMA

Para poder utilizar Winshark es necesario contar con las libreras de

wincap, aunque el programa durante la instalacin las instala si detecta
que no se encuentran instaladas.

El programa es multiplataforma, hay distribucin para Windows, GNU/Linux

y Mac.

CAPTULO V
INSTALACIN DE
WIRESHARK

V.

WIRESHARK INSTALACIN

Lo primero que necesita es descargar el programa, se recomienda que sea del

sitio web oficial. http://www.wireshark.org/download.html

Luego se procede a realizar la instalacin de la aplicacin.

Al ejecutar el archivo .exe nos aparece la siguiente ventana y debemos presionar

el botn siguiente.

La siguientes ventana del instalador, permite seleccionar los componentes a ser

instalados, dnde Wireshark es el analizador de protocolos con interfaz grfica,
TShark se refiere a la consola del analizador de protocolos, Pluins / Extensions
permite seleccionar los plugins con que trabajar, si se seleccionan todos se

aumenta la capacidad de operacin de la aplicacin. Tools ofrece Editcap, para

leer y capturar archivos, Text2Pcap, convierte un archivo ASCII en formato
libpcap, Mergecap, combina dos o ms archivos de paquetes capturados en un
nico archivo, Capinfos, es un programa que proporciona informacin de los
paquetes capturados y Rawsahrk es un programa para filtrar los paquetes brutos
(completos).

Luego seleccionamos las tareas adicionales que queramos instalar: en dnde

deseamos crear un acceso directo de la aplicacin y realizar la asociacin de las
extensiones de los archivos. Procedemos a presionar el botn siguiente.

Seleccionamos la carpeta en la que queremos instalar la aplicacin. En esta

ventana nos muestran cunto espacio libre necesita Wireshark para poder ser
instalado y cul es el espacio disponible en el equipo.

Como se comentaba inicialmente la aplicacin pide la instalacin de WinCap (en

caso que no se encuentre instalado en el equipo). Este hace referencia a la
versin para Windows de la biblioteca libpcap. Ms informacin en
http://wiki.wireshark.org/WinPcap
Wireshark utiliza esta biblioteca para capturar datos en tiempo real de la
red en Windows.

El

programa procede a instalarse, pero a la vez nos muestra la ventana de

instalacin de WinCap.

Finalizar la instalacin de WinPCam, seleccionando next, hasta finalizar y de

igual manera con Wireshark. Listo ahora se puede empezar a utilizar la
herramienta.

CAPTULO VI
CARACTERSTICAS
DE WIRESHARK

VI.

CARACTERISTICAS

Esta aplicacin es un analizador de protocoles de red, es de cdigo abierto, tipo

sniffer, este es un tipo de software que permite detectar e interceptar tramas de
una red, de acuerdo con unos parmetros de bsqueda.
Permite capturar, desplegar y filtrar paquetes para este caso, de una red de
Windows, sin embargo est disponible tambin para GNU/Linux, Unix y MAC.
Su principal objetivo es el anlisis de trfico, permite obtener soluciones rpidas
para una red.
A pesar que no es un IDS (Intrusion Detection System), Sistema de Deteccin de
Intrusos o un IPS (Intrusion Prevention System), Sistema de Prevencin de
Intrusos, aplicaciones que permiten identificar y evitar accesos no autorizados a
un computador o a una red, s es un sniffer como ellos y ofrece ventajas respecto
de estos sistemas, como la agilidad para el monitoreo y auditora extensa en una
red, es decir que es eficiente.

CAPTULO VII
PRIMEROS PASOS

VII.

PRIMEROS PASOS

Al ejecutar el icono de la aplicacin

esta empieza a cargar la informacin
mostrando la siguiente ventana. En la cual se puede apreciar un porcentaje de
carga.

INTERFAZ PRINCIPAL

La aplicacin WireShark comprende una serie de funciones, las cuales podemos

visualizar en la siguiente figura.

Para realizar el estudio de cada una de las herramientas de WireShark se dividir

en secciones, que permitirn un anlisis ms profundo de las posibles actividades
que se pueden desarrollar con dicho software.

COMPONENTES DE LA BARRA DE MEN

La siguiente imagen muestra los diferentes men-tems que conforman la barra

de men.

File

Dentro del men File encontramos las siguientes funciones:

File:Open
Le permite al usuario abrir un archive de trabajo existente.

File:Open Recent
Permite al usuario abrir un archivo trabajado recientemente.
File:Merge
Permite combinar un archivo de captura con el que se encuentra cargado en la
aplicacin.

Si se presiona la opcin merge antes de guardar un archivo de captura la

aplicacin nos muestra el siguiente mensaje de error.

File:Close
Permite cerrar un archivo de captura.

File:Save
La opcin Save permite al usuario guardar la captura actual o los paquetes que se
muestran en un archivo.

File:Save As
Adems de guardar una captura, el usuario puede seleccionar si desea guardar
todos los paquetes o simplemente aquellos que han sido filtrados y/o los que
estn marcados. Adems hay un men que permite seleccionar de una lista de
formatos de archivo el formato que desea guardarlo.

File: File set List Files.

Muestra un dilogo con toda la informacin del archivo que se encuentra cargado
actualmente. Datos como el nombre, fecha de creacin y modificacin, tamao y
ubicacin del archivo.

File: File set Next File.

File: File set Previous File.
Si el archivo cargado actualmente forma parte de un conjunto de archivos, el
usuario puede abrir el archivo siguiente o anterior al tiempo con el actual.

File:Export

Permite exportar los datos capturados en un formato externo. Nota: los datos no
se pueden importar de nuevo en Wireshark, as que asegrese de mantener el
archivo de captura.

File:Print
Permite imprimir un archivo de captura.

File:Quit
Permite al usuario cerrar la aplicacin.
Edit
En el menu Edit el usuario encontrar los men tems que se muestran en la
siguiente grfica:

Edit: Copy

En el menu item Copy encontramos:

Edit Copy Description
Field name
Field Value
Permite al usuario copiar bien sea la descripcin, el nombre o valor que se
encuentra en la celda seleccionada al portapapeles. Segn la eleccin del
usuario.
Edit: Find Packet

Este tem permite al usuario buscar un paquete especfico mediante unos

parmetros que el mismo asigna.

Se tienen tambin los tems Find Next y Find Previous que muestran el siguiente
dilogo. El primero permite buscar un paquete desde uno seleccionado hacia
adelante y el segundo viceversa.

Edit: Mark Packet (toggle)

Al presionar el men tem Mark Packet se selecciona o deselecciona en caso de

que se encuentre marcado el paquete seleccionado.

Los paquetes que se encuentran sombreados con negro son los que han sido
seleccionados.

Edit: Find Next Mark

Edit: Find Previous Mark

Tanto la funcin Find Next Mark como Find Previous Mark permiten al usuario
desplazarse por los paquetes seleccionados bien sea hacia adelante o atrs
segn lo desee el usuario.

Edit Mark All Packets

Unmark All Packets
Estas funciones le permiten al usuario seleccionar/deseleccionar todos los
paquetes.

Edit: Time Reference Set Time Reference (toggle)

Permite tomar el paquete seleccionado como un paquete de referencia de
tiempo. Cuando un paquete se establece como un paquete de referencia de
tiempo, las marcas de hora en la lista de paquetes ser reemplazado con la
cadena "* * REF".
Al seleccionar este men tem la herramienta nos muestra el siguiente dilogo, en
el cual se puede visualizar el estado, tiempo y progreso del proceso.

Edit: Configuration Profiles

Permite al usuario administrar perfiles de configuracin para poder utilizar ms
de un conjunto de preferencias y configuraciones.
Al seleccionar esta opcin el sistema muestra al usuario la siguiente ventana.

Edit: Preferences
Permite al usuario configurar la parte grfica de la herramienta, la forma de
captura, impresin y opciones de protocolo.

VIEW
El men View se encuentra compuesto por los men tems que se observan en la
Figura. Los cuales explicaremos a continuacin.

Los tems que se encuentran resaltados al ser seleccionados por el usuario,

permiten mostrar u ocultar las respectivas barras. Por lo tanto les mostraremos
que barra corresponde a cada tems para fcil manejo del usuario.

View Main Toolbar

Filter Toolbar

Wireless Toolbar

 Statusbar

Packet List
Permite a los usuarios observar la lista de paquetes.

Packet Details
Permite al usuario visualizar los detalles de un paquete seleccionado.

Packet Bytes

 Time Display Format

Permite al usuario seleccionar un formato de tiempo dentro de diferentes

opciones. Ajusta el formato de la fecha y hora de paquetes que aparecen en la
ventana de lista de paquetes.

View Name Resolution Resolve Name

Permite al usuario tratar de resolver un nombre para el elemento seleccionado.

Colorize Packet List

Activar o desactivar las reglas para colorear. Al deshabilitar esta opcin mejorar
el rendimiento.

Fig. Muestra activado el Colorize Packet List

Fig. Muestra desactivado el Colorize Packet List

Auto Scroll in Live Capture

Al seleccionar esta opcin la lista de paquetes se desplaza automticamente
mostrando al usuario los ltimos en la lista.

Zoom (In, Out, normal)

Le permite al usuario jugar con el tamao de letra de la lista de paquetes,
permitindole adems restablecer los valores al tamao normal.

 Resize All Columns

Restablece el tamao de las columnas para adaptarse mejor al paquete actual,
mientras realiza el proceso muestra el siguiente dilogo.

 Expand Subtrees
Permite al usuario observar la informacin que contiene un rbol, mediante el
despliegue del mismo.

rbol ampliado

Informacin que contiene

Expand/Collapse All
Expandir o contraer todas las ramas de los detalles del paquete.

Colorize Conversation
Permite al usuario seleccionar el color para una conversacin.
Reset Coloring 1-10
Resetea los colores de las conversaciones.
Coloring Ruling

 Show packet in new window

Le muestra al usuario los paquetes en otra ventana diferente a la principal de la
aplicacin.

Nueva ventana

Reload
Permite al usuario actualizar un archivo de captura.

Go

Ventana principal

El menu Go le permite al usuario desplazarse por los paquetes: retrocediendo,

yendo al siguiente, a un paquete especfico, al siguiente o anterior paquete
especfico, al primero o el ltimo segn lo desee.

CAPTURE
En el men Capture se encuentran los siguientes men tems:

WireShark cuenta con dos maneras para iniciar la captura de los paquetes:
1. Haciendo doble clic en
que se encuentra en la ventana principal de la
aplicacin, se despliega una ventana donde se listan las interfaces locales
disponibles para iniciar la captura de paquetes.

Tres botones se visualizan por cada interfaz

Start, para iniciar
Options, para configurar
Details, proporciona informacin adicional de la interfaz como su
descripcin, estadsticas, etc.

Capture Interfaces
2. Otra opcin es seleccionar del men Capture>Interfaces

Capture Options
Cuando el usuario presiona este men tems se despliega la siguiente ventana
donde se muestra opciones de configuracin para la interfaz para especificar el
nombre de archivo, de lo contario un archivo temporal se crear para celebrar la
captura. La ubicacin del archivo puede ser elegido mediante el ajuste de la
variable de entorno TMPDIR antes de comenzar Wireshark. De lo contrario, la
ubicacin predeterminada TMPDIR es dependiente del sistema, pero es probable
que sea / var / tmp o / tmp.

Capture Start

Al presionar Start. Wireshark iniciar la captura de paquetes en directo con las

opciones previamente seleccionadas. Mientras esto sucede, accede a algunos
sitios web de su preferencia. Es necesario hacer esto para generar trfico a travs
de la interfaz de red y, por tanto, permitir que Wireshark pueda capturar las
frames Ethernet correspondientes.

Capture Stop

Al presionar Stop se detiene la captura en ejecucin en vivo. La ventana principal

de Wireshark aparece ahora dividida en 3 secciones. La seccin superior es un
listado de las frames, en el mismo orden cronolgico en que fueron capturados.
Tambin

Capture Restart
Permite al usuario reiniciar la captura, esto puede ser conveniente para eliminar
paquetes que no son valiosos en la captura.

Capture Display Filters

Para guardar o abrir un filtro existente (previamente creado y guardado) se debe
seleccionar Analyze>Display Filter en el men o Capture>Capture Filter.

Para definir un filtro se debe presionar el botn

y la expresin y presionar

se indica el nombre del filtro

para salvar los cambios.

Para crear accesos directos para los macros complejos se debe seleccionar

ANALIZE

Analyze Display filters

Permite al usuario crear un filtro basado en los datos actualmente destaca en los
detalles del paquete y aplicar el filtro.
Analyze Apply As Filter

La opcin Analyze>Apply as Filter crea un filtro que las pruebas para un partido
de los datos, la opcin no seleccionada crea un filtro que las pruebas para un nopartido de los datos. Y el seleccionado o seleccionada, y no seleccionado, y O no
seleccionado las opciones de aadir al final de la pantalla de filtro en la franja en
la parte superior (o inferior), el operador AND y OR seguido de la expresin
pantalla filtro nuevo.

 Analyze Prepare a Filter crear un filtro basado en los datos actualmente

destacan en los detalles del paquete. La tira de filtro en la parte superior (o
inferior) se actualiza, pero no se aplica todava.

Analyze Enabled Protocols

Le permite al usuario estudiar qu protocolo especfico est activado o

desactivado o poder activar o desactivar algn protocolo se hace clic en
Analyze>Enabled Protocols y seleccionar que la lista completa sea activada o
desactivada, o invertida utilizando los botones que se encuentran debajo de la
lista.
Cuando un protocolo est deshabilitado, la diseccin de un paquete en particular
se detiene cuando se alcanza ese protocolo, y Wireshark pasa al siguiente
paquete. Los protocolos de capas superiores que de otra manera se han
procesado no se mostrar. Por ejemplo, deshabilitar TCP evitar la diseccin y
exposicin de TCP, HTTP, SMTP, Telnet, y cualquier otro protocolo depende
exclusivamente de TCP.

AnalyzeDecode As

Si usted tiene un paquete seleccionado del panel de lista de paquetes podr

cambiar los sectores divididos que se utilizan para descifrar este paquete
seleccionando Analyze>Decode As donde se despliega un dilogo que tiene un
panel para la capa de enlace, capa de red y el protocolo de capa de transporte /
nmeros de puerto, y permitir a cada uno de estos para cambiar de forma
independiente. Por ejemplo, si el paquete seleccionado es un paquete TCP al
puerto 12345, mediante este dilogo puede indicar a Wireshark para decodificar
todos los paquetes hacia o desde ese puerto TCP como paquetes HTTP.

Analyze User Specified Decodes

Crear una nueva ventana que muestra si un identificador de protocolo fue
cambiado por el usuario para las asignaciones de disector se selecciona
Analyze>User Specified Decodes Esta ventana tambin permite al usuario
restablecer todos los decodifica a sus valores predeterminados.

Analyze Follow TCP Stream

Si usted tiene un paquete TCP, UDP o SSL seleccionado y desea mostrar el

contenido de la secuencia de datos para la conexin TCP a la que pertenece ese
paquete como texto en una ventana separada, y dejar la lista de paquetes en un
estado de filtrado, con slo los paquetes que se parte de esa conexin TCP que
se muestra puede seleccionar Analyze>Follow TCP Stream. Puede volver a su
antigua visin presionando ENTER en el cuadro de visualizacin de texto del filtro,
con lo que la invocacin de la pantalla del filtro viejo (o reiniciarlo de nuevo a la
pantalla
sin
filtro).
La ventana en la que se muestra la secuencia de datos le permite seleccionar:
si se muestra toda la conversacin, o uno o el otro lado de la misma;
si los datos que se muestra debe ser tratada como texto ASCII o EBCDIC o
como
datos
hexadecimales
en
bruto;
y le permite imprimir lo que se muestra actualmente, con las mismas opciones de
impresin que se utilizan para el Archivo: Imprimir del men de paquetes, o
guardarlo como texto en un archivo

Para saber la Informacin de Expertos seleccionar Analyze>Expert Info

Expertos compuestos de informacin hacer clic en Analyze>Expert Info

Composite donde muestra un registro de las anomalas encontradas por
Wireshark en un archivo de captura.

Para ver la Conversacin filtro seleccionar Analyze>Conversation Filter donde hay

dos opciones PN-IO AR y PN-IO AR (with data)

Statistics

Permite al usuario mostrar informacin resumida acerca de la captura, incluyendo

el tiempo transcurrido, la cantidad de paquetes, los recuentos de bytes y otros.

Statistics Summary
Si un filtro es en efecto la informacin de resumen se muestran sobre la captura y
sobre los paquetes que se muestra actualmente.

Statistics Protocolo Hierarchy

En este se organizan los protocolos en la misma jerarqua en el que se

encuentran en la traza.

Statistics Conversations
Permite al usuario ver las listas de las conversaciones seleccionable por el
protocolo.

Statistics Endpoints

Este men tem le muestra al usuario la lista de direcciones de Punto Final por el
protocolo de paquetes / bytes /.... con lasque cuenta.

Statistics Packet Lengths

Permite al usuario agrupar cargos de longitud de paquete (0 a 19 bytes, los bytes
de 20 a 39).

Statistics IO Graphs

Al seleccionar este men tem se abre una ventana donde hasta 5 grficos en
colores diferentes se pueden mostrar para indicar el nmero de paquetes o el
nmero de bytes por segundo para todos los paquetes que coincidan con el filtro
especificado. Por defecto slo un grfico que se mostrar con indicacin del
nmero de paquetes por segundo.
Debajo del rea de dibujo y barra de desplazamiento se encuentran los
controles. En la parte inferior izquierda habr cinco conjuntos similares de los
controles para controlar cada grfico individual, como "Pantalla: <button>" qu
botn se activar ese grfico individuales de encendido / apagado. Si <button>
est marcada, el grfico se mostrar. "Color: <color>", que es slo un botn para
mostrar el resultado en el color que se utiliza para dibujar ese grfico (color slo
est disponible en la versin Gtk2) y por ltimo "filtro: <filter-text>" que se puede
utilizar para especificar un pantalla de filtro para que el grfico en particular.
Si el filtro de texto est vaco, todos los paquetes se utilizar para calcular la
cantidad de ese grfico. Si el filtro de texto se especifica slo los paquetes que
coinciden con ese filtro de presentacin ser considerado en el clculo de la
cantidad.

Statistics Conversation List

Al presionar este men tem se abrir una nueva ventana que muestra una lista
de todas las conversaciones entre los dos extremos. La lista tiene una fila para
cada conversacin nica y muestra el nmero total de paquetes / bytes vistos, as
como el nmero de paquetes / bytes en cada direccin.

Statistics Service Response Time

Al Seleccionar Statistics>Service Response Time donde se despliegan un
conjunto de opciones como:

AFP
CAMEL
DCE-RPC
GTP
H.225
RAS
LDAP
MEGACO
MGCP
NCP
ONC-RPC
RADIUS
SCSI
SMB
SMB2

Si se seleccionan alguna de las anteriores opciones se despliega el

siguiente dilogo:

Statistics BOOTP- DHCP

Statistics Compare
Para hacer la comparacin de dos archivos de captura hacer clic en
Statistics>Compare

Statistics Flow Graph

Para obtener el grfico de flujo: General / TCP seleccionar Statistics>Flow Graph

Statistics HTTP
Permite observar la distribucin de carga HTTP, contador de paquetes y
solicitudes.

Statistics IP Addresses
Permite obtener un Conteo / Precio / Porcentaje por direccin IP.

Statistics IP Destinations

Seleccionar Statistics> IP Destinations para obtener Conteo / Precio / Porcentaje

por direccin IP / protocolo / puerto.

Statistics IP Protocol Types

Permite obtener conteo / Precio / Porcentaje por tipo de protocolo IP.

Statistics ONC-RPC Programs

Este cuadro de dilogo se abrir una ventana que muestra las estadsticas
agregadas RTT para todos los programas ONC-RPC / versiones que existen en el
archivo de captura.

ESCENARIO:
Para capturar las PDU (Unit Data Protocol), el computador donde est instalado el
Wireshark debe poseer una conexin activa a la red, del mismo modo Wireshark
debe estar en modo activo para que de esta manera se pueda realizar la captura
de cualquier dato.
Al momento de inicializar el Programa se muestra la siguiente pantalla:

Para empezar con la captura pertinente de los datos se procede por realizar los
siguientes pasos:

Primero ingresar a la Opcin Capture, luego seleccionar Opciones.

Luego de darle clic en Opciones aparecer el siguiente dilogo:

Este dialogo provee una serie de opciones las cuales determinan la manera como
se va a llevar a cabo la captura de los datos, por tal motivo se debe seleccionar el
adaptador de red con el que se cuenta. Generalmente, para un computador, es
por defecto el adaptador de Ethernet conectado:

Luego se pueden configurar otras opciones adicionales las cuales determinan si la

captura de paquetes se realizar de modo promiscuo. Esto indica que si no est
activada esta caracterstica se capturarn todas las PDU destinadas a este
computador. Si por el contrario esta caracterstica esta activada se capturarn
todas las UDP destinadas a este computador y todas aquellas detectadas por la
NIC de el computador en el mismo segmento de RED, es decir, todas aquellas
direcciones que pasan por la NIC pero que necesariamente no tienen como
destino final este computador.

RESOLUCIN DEL NOMBRE DE RED EN WIRESHARK:

Esta opcin permite determinar si la herramienta controla o no las direcciones de
red encontradas al momento de realizar el chequeo de las PDU existentes en la
red. Esta una opcin importante de considerar puesto que si se escoge podra
agregar ms datos a las PDU lo que conlleva a que se podra distorsionar el
anlisis a realizar.
Al momento de dar clic en el botn Start se muestra un dialogo, el cual permite
ver el proceso de captura de paquetes en un tiempo determinado:

Al darle Stop carga las opciones que encontr al momento de realizar la consulta,
y muestra en la pantalla principal permite visualizar lo que encontr en ese
instante de tiempo.

Esta ventana principal posee tres paneles el primero (De arriba hacia abajo)
presenta una lista de paquetes, el segundo panel muestra el detalle de los
paquetes, y el tercer paquete muestra.

Panel de lista de paquetes

Panel de detalles de paquete

Panel de Bytes de paquetes

En el primer panel (Lista de paquetes) muestra un resumen de cada paquete

encontrado. Si se realiza clic en este panel en los siguientes dos panel se va a
mostrar la informacin pertinente a este paquete.
En el segundo panel (Detalles del paquete) como su nombre lo indica, muestra en
detalle el paquete seleccionado en el primer panel. Este panel muestra el
protocolo y los campos del paquete se pueden expandir con un rbol que se
puede expandir.
En el tercer panel (Bytes del paquete) muestra los datos reales en formato
hexagsimal. Sirve para examinar los valores binarios y el contenido de cada uno
de los PDU.

CAPTULO VIII
PRCTICAS

TAREA 1: CAPTURA DE PDU MEDIANTE PING.

PASO 1: Hay que tener en cuenta que para poder llevar a cabo esta prctica se
debe estar completamente seguro que Wireshark debe estar en modo activo y
que se cuente con una conectividad activa a la red.
Despus de estar seguro que la configuracin mencionada anteriormente es la
correcta se debe proceder a llevar a cabo las configuraciones de captura que se
describen en las primeras hojas.
Desde la lnea de comando ping en la direccin IP de otra red conectada
encienda el dispositivo final a utilizar en este laboratorio. En este , haga ping a la
ltima mquina de la red.
Despus de recibir las respuestas exitosas al ping en la ventana de lnea de
comandos, detenga la captura del paquete.
PASO 2:
El panel de lista de paquetes en Wireshark debe verse ahora parecido a este:

Observe los paquetes de la lista de arriba, selecciones tres de ellos y localice los
paquetes individuales en las lista de paquetes de su equipo, y realice su
respectivo anlisis.
PASO 3: SELECCIONE (RESALTE) CON EL MOUSE EL PRIMER PAQUETE
DE SOLICITUD ECO DE LA LISTA.
En el detalle de paquetes de la lista se mostrar ahora algo parecido a este:

Haga clic en cada uno de los cuatro en su respectivo + para expandir la

informacin.
El panel de detalles del paquete ser algo parecido a:

Como se puede observar, los detalles de cada seccin y protocolo se pueden

expandir ms.
Cules son los protocolos que estn en la trama de Ethernet?

Si selecciona una lnea en el panel de detalles del paquete, toda o parte de la

informacin en el panel de Bytes del paquete tambin quedar resaltada.
Por ejemplo, si la segunda lnea (+ Ethernet ||) est resaltada en el panel de
detalles, el panel de bytes resalta ahora los valores correspondientes:

En este caso muestra los respectivos valores binarios que representan la

informacin de la PDU.

TAREA 2: CAPTURA DE FTP PDU

PASO 1: INICIE LA CAPTURA DE PAQUETES.

Considerando que Wireshark sigue su funcionamiento, desde los pasos
anteriores, inicie la captura de paquetes haciendo clic en la opcin Iniciar en el
men Captura de Wireshark.
Ingrese ftp (por lo general es la ltima maquina perteneciente a la red p.e
192.168.254.254) en la lnea de comandos del equipo donde se ejecuta
wireshark.
Cuando se lleve a cabo la conexin, ingrese annimo como usuario, sin ninguna
contrasea.
ID del usuario: annimo.
Password: <Intro>
Tambin se puede iniciar sesin con id de usuario cisco y contrasea cisco.
Una vez que inicio sesin con xito, ingrese get/pub/eagle1/charpter1/gaim1.5.0.exe y presione la enter. Con esta operacin comenzar la descarga del
archivo desde el servidor ftp. El resultado ser parecido a este:
C:\Documents and Settings\ccna1>ftp eagle-server.example.com
Connected to eagle-server.example.com.
220 Welcome to the eagle-server FTP service.
User (eagle-server.example.com:(none)): anonymous
331 Please specify the password.
Password:<ENTER>
230 Login successful.
ftp> get /pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe
200 PORT command successful. Consider using PASV.
150 Opening BINARY mode data connection for
pub/eagle_labs/eagle1/chapter1/gaim-1.5.0.exe (6967072 bytes).
226 File send OK.
ftp: 6967072 bytes received in 0.59Seconds 11729.08Kbytes/sec.
Una vez que la descarga del archive se haya completado, ingrese quit:
ftp> quit
221 Goodbye.
C:\Documents and Settings\ccna1>
Una vez que los archives se hayan descargado exitosamente, detenga la captura
PDU en wireshark.

PASO 2: Aumente el tamao del panel de la lista de paquetes de Wireshark y

deplcese por la PDU que se encuentran en la lista.
Localice y tome nota de las PDU asociadas con la descarga del archivo. Estas
sern las PDU del protocolo de capa 4 y del protocolo FTP capa 7.
Identifique los tres grupos de PDU asociados con la transferencia del archivo.
Si realiz el paso de arriba, haga coincidir los paquetes de los mensajes y las
indicaciones en la ventana de la lnea de comandos FTP.
El primer grupo est asociado con la frase conexin y el inicio de sesin con el
servidor.
Localice y haga una lista de ejmplos de mensajes intercambiados en la segunda
fase, que es el pedido de descarga real y la tranferencia de datos.
_________________________________________________________________
_______________________________________________________
_________________________

CAPTULO IX
FUENTES DE
INFORMACIN

http://seguridadyredes.nireblog.com/post/2008/01/17/analisis-capturas-trafico-redinterpretacian-datagrama-ip-parte-i

http://seguridadyredes.nireblog.com/post/2010/04/05/wireshark-capturaconversaciones-voip-protocolo-sip-sdp-y-rtp-extraccion-de-audio Wireshark.
Captura Conversaciones VoIP. Protocolo SIP, SDP Y RTP. Extraccin De Audio.
http://seguridadyredes.nireblog.com/post/2010/03/24/wireshark-tsharkcapturando-impresiones-en-red
Wireshark / Tshark. Capturando Impresiones En Red.
http://seguridadyredes.nireblog.com/post/2008/12/01/graficas-con-wireshark-iiparte-tcptrace
Grficas Con Wireshark (II Parte). Tcptrace.

http://seguridadyredes.nireblog.com/post/2008/03/24/analisis-de-red-conwireshark-filtros-de-captura-y-visualizacian
Anlisis De Red Con Wireshark. Filtros De Captura Y Visualizacin.

http://seguridadyredes.nireblog.com/post/2009/02/19/tshark-detectandoproblemas-en-la-red Tshark Detectando Problemas En La Red.

http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-conwireshark-interpretando-los-datos
Anlisis De Red Con Wireshark. Interpretando Los Datos.