Redes y Teleprocesos Práctica 05
Pág. 2
ANALIZADOR DE PROTOCOLOS CON WIRESHARK
I. OBJETIVO.
Analizar la información de los paquetes proporcionada por Wireshark.
Analizar el funcionamiento de las diferentes opciones que dispone el software Wireshark.
II. MATERIALES Y EQUIPO.
Dos PC o Laptops con tarjetas de RED.
Software Wireshark.
III. MARCO TEÓRICO.
1. WireShark:
Wireshark es un programa que permite a los administradores de redes analizar el tráfico de
una red, pudiendo comprobar la cantidad de datos que son enviados y recibidos por cada uno
de los dispositivos conectados. Uno de los mayores atractivos del programa reside en que es
compatible con prácticamente cualquier protocolo y muestra al usuario toda la información
relevante a través de una interfaz muy clara y ordenada.
El programa nos muestra, además de la dirección IP y las DNS, otra información muy útil (TCP,
ICMP, IPX o UDP), y es compatible con los estándares BOOTP, DHCPv6, SCTP, SSL, ZRTP, FIP,
GPRS LLC, OPCUA y Kerberos.
Esta herramienta permite capturar datos en tiempo real, para después poder analizarlos
offline puede ser ampliada mediante plugins y permite exportar la información en XML,
PostScript, TXT o CVS.
Figura 01
Redes y Teleprocesos Práctica 05
Pág. 3
IV. DESARROLLO DE LA PRÁCTICA.
1. Instalación de Wireshark.
Primero, descargamos el programa de la página web de Wireshark
(https://www.wireshark.org/download.html).
Para instalar Wireshark Server seguimos los siguientes pasos:
a) Ejecutamos el programa instalador de Wireshark. Luego hacemos clic en el botón
“Next >”.
Figura 02
b) En la ventana “License Agreement” hacemos clic en el botón “I Agree”.
Redes y Teleprocesos Práctica 05
Pág. 4
Figura 03
c) En la ventana “Choose Componentes” seleccionamos los componentes que vayamos a
requerir para la supervisión de los paquetes y hacemos clic en el botón “Next >”.
Figura 04
Redes y Teleprocesos Práctica 05
Pág. 5
d) En la ventana “Select Additional Task” seleccionamos las tareas adicionales que vayamos
a necesitas, luego hacemos clic en el botón “Next >”.
Figura 05
e) Seleccionamos la ubicación de directorio donde se instalará el programa. Hacemos clic en
“Next >”.
Figura 06
Redes y Teleprocesos Práctica 05
Pág. 6
f) Seleccionamos el checkbox “Instal WinPcap”. Hacemos clic en “Install”.
Figura 07
g) Se ejecuta la ventana de instalación de WinPcap. Hacemos clic en “Next >”.
Figura 08
Redes y Teleprocesos Práctica 05
Pág. 7
h) En la ventana de la “Aceptación de la Licencia”. Hacemos clic en “I Agree”.
Figura 09
i) En la ventana de instalación de WinPcap, hacemos clic en “Install”.
Figura 10
Redes y Teleprocesos Práctica 05
Pág. 8
j) Con este último paso, el programa de instalará completamente, entonces podremos
acceder a su interfaz.
Figura 11
A continuación, describimos brevemente las áreas más interesantes que nos muestra
Wireshark según comienza la toma de datos (Figura 11- Áreas de Wireshark):
o La zona 1 es el área de definición de filtros y, como veremos más adelante, permite
definir patrones de búsqueda para visualizar aquellos paquetes o protocolos que nos
interesen.
o La zona 2 se corresponde con la lista de visualización de todos los paquetes que se
están capturando en tiempo real. Saber interpretar correctamente los datos
proporcionados en esta zona (tipo de protocolo, números de secuencia, flags, marcas
de tiempo, puertos, etc.) nos va a permitir, en ciertas ocasiones, deducir el problema
sin tener que realizar una auditoría minuciosa.
o La zona 3 permite desglosar por capas cada una de las cabeceras de los paquetes
seleccionados en la zona 2 y nos facilitará movernos por cada uno de los campos de
las mismas.
o Por último, la zona 4 representa, en formato hexadecimal, el paquete en bruto, es
decir, tal y como fue capturado por nuestra tarjeta de red.
Redes y Teleprocesos Práctica 05
Pág. 9
2. Análisis de paquetes con WireShark. a) En la barra de direcciones de Wireshark digitamos la dirección IP sobre la cual requerimos
analizar el tráfico de paquetes entrantes y salientes.
Figura 12
Redes y Teleprocesos Práctica 05
Pág. 10
b) Análisis del tráfico de paquetes cuando se accedió a la página www.genbeta.com (Protocolo DNS).
Figura 13
A continuación se procederá a explicar cada una de las zonas de información que se imprime en la zona 4 de la Figura 11.
Zona A
Zona B Zona C
Zona D Zona E
Redes y Teleprocesos Práctica 05
Pág. 11
Zona A:
Se nos muestra la información completa de la trama capturada.
Figura 14
Los datos más relevantes son:
o Trama capturada es la número 9.
o Tamaño de trama 600 bits (75 bytes).
o Interfaz de captura: interfaz 0.
o Tipo de Encapsulación: Ethernet.
o Protocolos en el frame: UDP – DNS.
Redes y Teleprocesos Práctica 05
Pág. 12
Zona B
Se nos muestra la información de la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:
Figura 15
Los datos más relevantes son:
o Dirección MAC origen: 00:1f:d0:9d:b0:36
o Dirección MAC destino: 64:70:02:9f:d0:6d
Redes y Teleprocesos Práctica 05
Pág. 13
Zona C
Se nos muestra la información de la cabecera del datagrama IP.
Figura 16
Los datos más relevantes son:
o Dirección IP origen: 192.168.1.33
o Dirección IP destino: 200.48.225.130 (dirección IP de los servidores DNS de MoviStar).
o Tiempo de vida del paquete: 128.
o Protocolo: UDP.
Redes y Teleprocesos Práctica 05
Pág. 14
Zona D
Se nos muestra la información del datagrama UDP.
Figura 17
Los datos más relevantes son:
o Puerto origen: 56300.
o Puerto destino: 53. (Puerto del servicio DNS)
o Tamaño: 41.
o Checksum: 0x6bb7.
Redes y Teleprocesos Práctica 05
Pág. 15
Zona E
Se nos muestra la información pertinente con el protocolo DNS.
Figura 18
Los datos más relevantes son:
o ID de transacción: 0x6711 (en hexadecimal).
o Preguntas: 1
o Respuestas RRs: 0.
o Autoridad RRs: 0.
o Adicional RRs: 0.
Redes y Teleprocesos Práctica 05
Pág. 16
c) Análisis del tráfico de paquetes cuando se accedió a la página www.genbeta.com (Protocolo HTTP).
Figura 19
A continuación se procederá a explicar cada una de las zonas de información que se imprime en la zona 4 de la Figura 19.
Zona A
Zona B
Zona C Zona D Zona E
Redes y Teleprocesos Práctica 05
Pág. 17
Zona A:
Se nos muestra la información completa de la trama capturada.
Figura 20
Los datos más relevantes son:
o Trama capturada es la número 197.
o Tamaño de trama 6373 bits (797 bytes).
o Interfaz de captura: interfaz 0.
o Tipo de Encapsulación: Ethernet.
o Protocolos en el frame: TCP – HTTP.
Redes y Teleprocesos Práctica 05
Pág. 18
Zona B
Se nos muestra la información de la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:
Figura 21
Los datos más relevantes son:
o Dirección MAC origen: 00:1f:d0:9d:b0:36
o Dirección MAC destino: 64:70:02:9f:d0:6d
Zona C
Se nos muestra la información de la cabecera del datagrama IP.
Figura 22
Los datos más relevantes son:
o Dirección IP origen: 192.168.1.33
o Dirección IP destino: 93.184.216.146 (dirección IP del servidor web que almacena el aplicativo web de www.genbeta.com).
o Protocolo: TCP.
Redes y Teleprocesos Práctica 05
Pág. 19
Zona D
Se nos muestra la información del segmento TCP.
Figura 23
Los datos más relevantes son:
o Puerto origen: 4594.
o Puerto destino: 80. (Puerto del servicio HTTP).
o Número de secuencia: 1.
o Siguiente número de secuencia: 744.
o Número de acuse de recibo: 1
o Longitud del encabezado: 20 bytes.
o Valor del tamaño de ventana: 16450.
o Checksum: 0xfb15.
Redes y Teleprocesos Práctica 05
Pág. 20
Zona E
Se nos muestra la información pertinente con el protocolo HTTP.
Figura 24
Los datos más relevantes son:
o Host: platform.twitter.com
o Conexión: keep-alive
o Control de cache: max-age=0
o Agente Usuario: Moxilla/5.0
o Árbitro: http://www.genbeta.com
o Codificación Aceptada: gzil, dflate, sdch.
o Lenguaje Aceptado: es-ES