Documente Academic
Documente Profesional
Documente Cultură
|SeguridadyRedes
SeguridadyRedes
PginapersonaldeAlfon.
AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).
Publicadoel25noviembre,2008
Yavimos,ensumomento,comointerpretarlosdatosmostradosenlascapturasdeWireshark.Hemosvisto
tambinotrosaspectosdeWiresharkcomoladeteccindetrficoP2P,deteccindearchivosborradosyotros
eventos,deteccindeArppoison,interpretacindecapturadecorreo,etc.
Vamosahoraainiciarunaseriedecaptulosdedicadosalasgrficas.
EnWiresharktenemosvariasformasdeverytratarlospaquetescapturados.Dependiendo,entonces,dela
informacinquenecesitemosextraerdenuestrascapturas,Wiresharknosproporcionadiferentesherramientas
grficas.
Vamosaestudiarestasgrficas,comosiempre,desdelomsbsicoeiremoscomplicandoenotroscaptulos.
EmpezamosconIOGraphsyFlowGraph.
IOGraphs
Grficapersonalizableycondiversasopcionesquenosmuestraeltraficodeentradaysalidadeunacaptura.
AccedemosaestetipodegrficamedianteStatistics>IOGraphs.
Enestetipodegrficostenemos,comovemosenlacapturadearriba,unazonadeedicindelasgrficasyuna
zonadeopciones.Lazonadeedicintienedosejes:
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 1/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes
EjeXdetiempo.EnesteejepodemosajustarelTickIntervalointervalodetiempodesdecentsimasde
segundoa10minutos.TenemostambinunaespeciedeZoom,elPixelperTicks,ajustablede1a10.Eneste
ejevisualizaremoslostiemposdeformarelativaoatendiendoalahoradelacapturaViewastimeofday.
EjeYdepaquetescapturados.PodemosvisualizarlosdatosporPaquetes,Bytes,Bits,odeformaavanzada
realizandociertasoperaciones.PodemostambinajustarlaescaladelejeenScale.
Enlazonadedatospodemosvisualizarhasta5graficas,cadaunadeuncolordiferentequenosepuede
cambiar,podemosespecificartambineltipooStyle,yacadaunadeestasgrficasasociarunfiltro.
FlowGraph
Permitelavisualizacingrficadelflujodedatosentrelasdiferentesconexionesrealizadasentrehosts.
AccedemosaestaopcindesdeStatistics>FlowGraphs.
Paraellodebemosantesseleccionarunaseriedeopcionescomoqupaquetesquequeremostratar:todoso
losvisualizados.eltipodeflujo:todoelflujodelacapturacontodoslosprotocolosinvolucradososoloelflujo
TCP.
Enestagrficapodemosver:
Datosdetiempo.
Mquinasinvolucradasenelflujodeconexinrepresentadasporlaslneasverticales.
Sentidodelflujodelosdatos.Representadoloslasflechasque,adems,nosindicanentrequehostso
mquinasseestablececonexin.
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 2/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes
Puertos.Representadoentreparntesis.
Nmerosdesecuenciayacusesderecibo.Representadosenlacolumnadeladerecha(Comments).
Vemosquelosnmerosdesecuenciaserepresentandeformarelativa,esdecir,elprimero0(paranomostrar
nmerosdesecuenciademasiadoaltosymejorcompresindelosdatos).
VemostambinlosindicadoresusadosindicandoelcontenidoypropsitodelsegmentoTCP.vamosa
recordarestoltimo:
URG.ElcampoPunterodeurgenciacontieneinformacinvlida.
ACK.ElcampoNmerodeacusederecibocontieneinformacinvlida,esdecir,el
segmentoactualllevaunACK.Observemosqueunmismosegmentopuede
transportarlosdatosdeunsentidoylasconfirmacionesdelotrosentidodela
comunicacin.
PSH.Laaplicacinhasolicitadounaoperacinpush(enviarlosdatosexistentesenla
memoriatemporalsinesperaracompletarelsegmento).
RST.Interrupcindelaconexinactual.
SYN.Sincronizacindelosnmerosdesecuencia.Seutilizaalcrearunaconexinparaindicaralotro
extremocualvaaserelprimernmerodesecuenciaconelquevaacomenzaratransmitir(veremosque
notieneporquserelcero).
FIN.Indicaalotroextremoquelaaplicacinyanotienemsdatosparaenviar.Se
utilizaparasolicitarelcierredelaconexinactual.
Paraunmejorestudiodelasconexiones,lomejoresfiltraranteslospaquetescapturadosyluegousarFlow
Graph.
Conestetipodegrficospodemosestudiar,porejemplo,losproblemasquepudiesensurgirenunestablecimiento
decomnexin.
Comorecordatorio:
EstablecimientodeunaconexinTCP.
Unejerciciointeresantepuedeseranalizarlasalidaenhexadecimalttratandodecomprenderunestablecimiento
deconexinTCP.Paracomprendercomoserealiza,acontinuacinunabreveexplicacin.
EnlosejemplosveremosloscamposdelsegmentoTCPqueacabamosdeestudiasdeunaformamsprctica.
VeremosenesteapndicecmoserealizaunaconexinTCP.Nosayudarainterpretarlogs,trazasy
tcnicasdeescaneo.VeremostambinalgunoscomponentesdelospaquetesTCPapartedelospuertosde
lamquinaorigenydestino.Estoscomponentesimportantessonlosnmerosdesecuenciayde
confirmacin(SEQyACK)queseutilizanparaasegurarlaintegridaddelaconexinylosflagsobanderas
quesonlosencargadosdeindicarlafinalidaddelpaquete(parainiciarofinalizarunaconexin,para
transmitirdatos,etc).
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 3/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes
UnaconexinTCPserealizaentrespasos.Esloquetcnicamentesellamathreewayhandshake:
1.Enelsistema/hostqueinicialaconexinocliente(TCPA),envaunpaquetedeSYNconun
nmerodesecuenciainicialasociadoaestaconexinalsistema/hostdestinatariooservidor(TCPB).
2.EsterespondeconunpaqueteSYNACK(acusederecibo)confirmandolarecepcindelSYNinicial
enviadopor(TCPA)yenvindoleasuvezsupropionmerodesecuencia.
3.Parafinalizar,elcliente(TCPA)reconocelarecepcindelSYNdelservidor(TCPB)medianteelenvo
deunACK.Esteeselmomentoenquequedaestablecidalaconexin.Yasepuedeiniciarlatransferenciade
datosentre(TCPA)y(TCPB).
Vamosaavanzarunpocomsyaqueocurrenalgunasotrascosas.Lovemosgrficamente:
SeandoshostspretendeninciciarunaconexinTCP.TCPAyTCPB,siguiendolaanalogadelaexplicacin
anterior.
1.TCPA_SYN(SEQ=x)>yTCPB
2.TCPB_SYN(SEQ=y,ACK=x+1)>TCPA,
3.TCPA_SYN(SEQ=x+1,ACK=y+1)>TCPB.
VemoscomoTCPAenvaunpaqueteSYNconunnmerodesecuenciainicialxqueademsesaleatorio
aTCPB.Elrestoesfcildeducir.
Lasletrasxeysonlosnmerosdesecuencia(SEQ).Seutilizannmerosdesecuenciadistintospara
cadasentidodelacomunicacin.Elprimernmeroparacadasentidoseacuerdaalestablecerla
comunicacin.Cadaextremoseinventaunnmeroaleatorioyenvastecomoiniciodesecuencia.
UnpasomsparaterminardecomprenderlaconexinTCPtotalmenteimprescindibleparaentendermuchas
tcnicasdeescaneo.
Ejemplo:
Seandoshosts(TCPA)y(TCPB)quepretendeniniciarunaconexin.Veremostambinquepasaconlos
nmerosdesecuencia(SEQ):
TodoestoesloqueocurrecuandorealizamosunescaneadodepuertoTCPconect().
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 4/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes
SilaopcinelegidaesTCPSYNnodejamosqueseestablezcatotalmentelaconexin,estosignificaraelenvo
porpartedeTCPAdeunRST(reset)cerrandoaslaconexin.
Esfacil,entonces,vertodoestoexplicadoenlagrfica:
Anuncios
MIAMI
VUELODESDEBOGOTA
desde
US$377 Buscar
Tarifaidayvuelta
SAOPAULO
VUELODESDECALI
desde
US$595 Buscar
Tarifaidayvuelta
Tuvoto:
RateThis
Sharethis:
Twitter Facebook
Megusta
Selprimeroendecirquetegusta.
Relacionado
EstaentradafuepublicadaenSeguridadyredes,Wireshark.TsharkyetiquetadaFlowGraph,grficas,IOGraphs,wireshark.Guardaelenlacepermanente.
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 5/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes
6respuestasaAnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).
manuelhernadezdijo:
10junio,2009en11:25pm
muybuenmaterial,graciasporapoyaralosprincipiantes.ahoritanecesitoinformacionacercadeservidoresdealta
disponibilidad,simepudieranayudarselosagradeceria.heleidoquehayunprogramallamadoheartbeartparacrearcluster
dealtadisponibilidad,peronecesitoayuda.
Responder
GuillermoGomezdijo:
26noviembre,2009en2:12am
Holaestamuybuenalainformacion,peroestoyempezandoautilizaresteprogramayehnotadoqueenlareddemiempresa
hayunacantidaddetraficoARPexcesivo.Esteprogramapuedesacarmealgunporcentajequemeindiquequetantaesta
saturadamireddetraficodebroadcast?mecolaborasMuchasgracias
Responder
Alfondijo:
26noviembre,2009en9:19am
EstimadoGuillermo,graciasportuscomentarios.Paraestudiareltraficoarp,podemos,paraverporcentajes,realizarun
ProtocolHierachyStatistics,tambinfiltrarporarpyhacerunflowGraph.ElIOGraphpuedesverloenestemismopost.con
flowGraphpuedeestudiarcomoserelizanlosdialogosarpbroadcast.Sitienesuntraficoarpexcesivo,tenencuentaque
estopuedeserporovocado,combiensabes,porunvirus/troyanotambinpodradeberseafallosdeconfiguracino
fallosendispositivos.sinosetratadevirus,podraslimitareltamaodedominiodebroadcastsegmentandolared,
configuracinseswitch,VLANs,etc.
Saludos,
Responder
jaimedijo:
6enero,2010en5:23pm
Excelenteherramientayexcelentelaexplicacin,ennombredemuchosqueestamoscomenzandoenestetemalesagradezco
porestetipodematerial.
Responder
ericdijo:
18agosto,2010en8:20am
Tengoungraveproblema,heprobadohartossnifferendistintasplataformas(OSX,Windows,Linunx)ycondistintos
softwaresenloscualestengodistintosresultados,enwireshark,tcpdump,obtengoresultadosiguales,peroentcptesttool
v2.3ysmartsnifobtengolosdatosdeseados.cualseriaelproblema?
Responder
felipecorsodijo:
25marzo,2013en2:44pm
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 6/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes
buenmaterial
Graciasporsuaporte
Responder
SeguridadyRedes
BlogdeWordPress.com.
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 7/7