CD
3
Figura 1. Pantalla principal de WireShark
2.
Panel de vista en
rbol:
muestra el paquete
Debemos especificar la interfaz de red sobre la que vamos a capturar los paquetes, utilizando
para ello el cuadro denominado
Interface
, situado en parte
logo
dem o tiene varias tarjetas de red, tendremos que seleccionar la que queramos analizar. El
resto de opciones podemos dejarlas, de momento, con los valores predeter
minados.
Aqu podremos ver el nmero de paquetes capturados de los principales protocolos que
maneja WireShark. Tambin podremos detener la captura pulsando sobre el botn Stop. Una
vez terminada una sesin de captura, en la ventana principal aparecer la informacin de los
paquetes capturados, como se muestra en la figura 1.
Tambin existe la opcin de presentar la informacin de los paquetes capturados segn se
van capturando. Para ello, es necesario activar la casilla Update list of packets in real time,
que se encuentra en la seccin Display options del cuadro de dilogo de opciones de captura
(figura 2, que aparece seleccionando la opcin del men Capture > Options )
informaci
lisis del tr
activaci
n y desactivaci
3.2 Captura
El siguiente nivel de filtrado que ofrece WireShark se aplica al proceso de captura de los
paquetes de red. Podemos definir un filtro que capture nicamente los paquetes de un
determinado protocolo o destinados a un determinado ordenador o puerto. La utilizacin de
un filtro se realiza en el cuadro de dilogo de opciones de captura (figura 2), introduciendo
la expresin del filtro en el cuadro de texto situado al lado del botn
Capture Filter.
En esta prctica no vamos a detenernos a estudiar los filtros de captura, pero el alumno
puede experimentar con diversas expresiones de filtro para comprobar su efecto. Por
ejemplo, la siguiente expresin:
tcp port 80 and host 192.168.1.5
forzar la captura nicamente de los paquetes del protocolo TCP con origen o destino en el
puerto 80 y cuyo origen o destino sea un ordenador con direccin IP 192.168.1.5.
Otra posibilidad de filtrado a la hora de capturar paquetes consiste en desactivar el modo
promiscuo, de forma que slo se capturen los paquetes originados o destinados a nuestro
ordenador. Para ello, slo tendremos que desmarcar la casilla denominada Capture packets
in promiscuous mode en el cuadro de dilogo de opciones de captura (figura 2). Es
recomendable desactivar el modo promiscuo en cualquier caso porque, si est activado,
WireShark capturar multitud de paquetes correspondientes a otros ordenadores, lo que
complicar el anlisis de la informacin que nos interesa.
3.3 Presentacin
El ltimo nivel de filtrado de que disponemos en WireShark es el de presentacin de los
paquetes. Podemos definir un filtro mediante el cual seleccionemos, para que se vean en el
panel principal (1), nicamente aquellos paquetes de datos que nos interesa analizar. Este
tipo de filtro es el ms completo y en su expresin se pueden utilizar la mayor parte de los
parmetros de lo protocolos que estamos analizando.
Para utilizar un filtro de presentacin podemos escribir su expresin directamente en el
recuadro de texto del filtro (B) y aplicarlo mediante el botn Apply (D) [figura 1]. Tenemos
otra alternativa, que consiste en pulsar el botn de filtro (A). Al hacerlo aparece el cuadro de
dilogo de definicin del filtro que tiene el siguiente aspecto:
Con este cuadro de dilogo podemos definir diversos filtros, asignndoles distintos nombres
para su posterior aplicacin. Tambin podemos acceder a este cuadro de dilogo mediante la
opcin del men Analyze > Display Filters
Si no conocemos la sintaxis de los filtros o los parmetros que podemos emplear en los
mismos, podemos utilizar el botn Expresin para crear una expresin de forma visual.
Al pulsarlo accedemos al siguiente cuadro de dilogo:
En la figura vemos c
ip.addr = = 192.168.1.1
3.3.1 Ms ejemplos de filtros de presentacin
Vamos a ver, por ltimo, algunos ejemplos adicionales de filtros de presentacin.
1. tcp Es el tipo de filtro ms sencillo, e indica que se presenten slo los paquetes de
datos del protocolo TCP.
Se propone al alumno que, una vez familiarizado con el funcionamiento del analizador de
protocolos, realice los siguientes experimentos.
4.1 Protocolo ICMP
Este protocolo (Internet Control Message Protocol Protocolo de mensajes de control de
Internet) se emplea para comprobar el estado de las redes. Su funcionamiento bsico
consiste en enviar un paquete de datos destinado a una determinada direccin IP y en ver el
tiempo que tarda en recibirse la respuesta a dicho paquete. Se emplea para ver si existe
conectividad de red entre el ordenador desde el que se emite el comando y el ordenador con
el nombre o la direccin IP indicada en el comando.
Para analizar la estructura de este protocolo con WireShark, vamos a seguir los pasos que se
indican a continuacin:
1
2
3
4
5
1
2
1
2
3
4.
Examinar los paquetes capturados en los paneles (1), (2) y (3) de la ventana principal de
WireShark.
Tambin en este caso deberemos aplicar un filtro de presentacin, para que aparezcan
nicamente los paquetes que nos interesa analizar. La expresin del filtro deber ser similar
a la nmero 3 presentada en el apartado 3.3.1.
WireShark ofrece una funcionalidad que facilita la creacin de la expresin del filtro si,
como ocurre en este caso, queremos que aparezcan nicamente los datos de una sesin TCP
(concretamente, el acceso a una pgina web). Para utilizar esta funcionalidad debemos
identificar algn paquete perteneciente a la sesin que nos ocupa, fcilmente localizable
porque la direccin IP de origen debe ser la de nuestro ordenador y el puerto TCP de destino
debe ser el 80, el habitual en la mayor parte de los servidores web de Internet.
Una vez localizado algn paquete de la sesin, bastar con pulsar con el botn derecho del
ratn sobre l en el panel (1) y seleccionar la opcin Follow TCP Stream en el men
emergente que aparecer. Al hacerlo, adems de crearse la expresin del filtro adecuada en
el recuadro de texto del filtro (B), aparecer una ventana adicional en la que se mostrar
todo el contenido de la sesin TCP correspondiente, como puede verse en la figura siguiente:
A
En esta ventana podemos seleccionar ver toda la conversacin que ha tenido lugar entre
nuestro navegador web (cuyas peticiones se muestran en color rojo) y el servidor web