Anda di halaman 1dari 4

Prctico Wireshark Comunicaciones de Datos - 2010 Mag. Ing.

Laura Vargas

Introduccin al Analizador de Protocolos Wireshark


El Wireshark es una herramienta multiplataforma de anlisis de protocolos de red. Bsicamente es un packet sniffer, o sea un husmeador de paquetes, que se compone de dos partes: 1) La packet capture library recibe una copia de cada trama (frame) del nivel enlace que sea enviada o recibida por la PC. Los mensajes provienen de niveles ms altos, de las capas de aplicacin, transporte o red (protocolos HTTP, FTP, TCP, UDP, DNS, etc.) y terminan encapsulados en la capa de enlace desde donde son transmitidos a travs de un medio fsico, por ejemplo un cable. Nosotros los veremos encapsulados en tramas. Capturarlos en este nivel permite analizar todos los niveles superiores. 2) El packet analyzer que muestra los contenidos de todos los campos dentro de la trama. Esto lo hace porque conoce la estructura de las PDU (Protocol Data Unit). Por ejemplo, reconoce los mensajes: GET, POST, HEAD del HTTP, etc.

En resumen, el Wireshark es un analizador que utiliza para capturar paquetes el pcap. El pcap es una interfaz de una aplicacin de programacin (API) para captura de paquetes. El Wireshark es til para aprender, pero tambin para administrar una red, suministrarle seguridad a la misma, hacer pruebas cuando se trabaja en desarrollo de protocolos. Operacin elemental Es gratuito y se encuentra mucha informacin en la pgina www.wireshark.com Cuando se lo ejecuta, en primer lugar hay que ir a la opcin: 1) Capture- Options, donde se deben puntualizar las opciones de la captura (Figura 2). Si la computadora tiene ms de una interfaz (por ejemplo una Ethernet cableada y otra inalmbrica) se deja la que figura por defecto, o bien se elige otra. En esta ventana aparece la direccin IP propia.

Prctico Wireshark Comunicaciones de Datos - 2010 Mag. Ing. Laura Vargas 2) Se cliquea la opcin Start. 3) Se empieza a ver en pantalla un resumen de la captura (Figura 3), con distintos niveles de detalle (figuras 4 y 5). Para una mejor prctica se recomienda, en forma paralela indicar un nombre de dominio, de un diario, por ejemplo. Esto permitir ver, por ejemplo, el protocolo http corriendo sobre tcp. Puede aplicarse un filtro, en la misma ventana, colocando, por ejemplo, http y cliqueando Apply, ver slo lo que corresponde a este protocolo. Una vez filtrado el http tome el primer mensaje, que ser un GET, all se ven claramente las direcciones IP, los nmeros de puerto (http en el servidor es 80). Para detener la captura se cliquea Stop. Se puede continuar sin grabar, pero tambin permite grabar la captura en un archivo. Permite realizar distintos filtros, lo que es muy til.

Figura 2- Options

Prctico Wireshark Comunicaciones de Datos - 2010 Mag. Ing. Laura Vargas

Figura 3- Resumen de Captura

Figura 4

Prctico Wireshark Comunicaciones de Datos - 2010 Mag. Ing. Laura Vargas

Figura 5 Ejercicio Inicie un web browser cualquiera, como el Mozilla Firefox, que mostrar una pgina inicial. Espere que est completamente cargada y ejecute el Wireshark. 1) Observe la PDU que corresponde a DNS. Sobre qu protocolo de transporte corre? 2) Pida la pgina web de un buscador como el google, por ejemplo. Indique la direccin IP de su computadora y la del destino elegido. 3) Muestre cul es el primer segmento TCP que establece la conexin, cmo lo reconoce? Cmo reconoce la respuesta? 4) La columna de tiempo expresa el mismo en segundos. Cunto tiempo pasa entre el pedido de conexin y la respuesta? Cundo finaliza el handshake? 5) Indique las direcciones Ethernet origen y destino. 6) Vuelva a arrancar la captura. Busque la pgina de un diario, por ejemplo. Indique las direcciones IP origen y destino. 7) a) Indique los nmeros de puerto qu corresponden a http y https. b) Cul es la diferencia entre ambos protocolos? c) Cul aparece en este caso? d) Cul es el primer mensaje de http que aparece? 8) Qu indica el campo window size del protocolo tcp? 9) Indique un campo que sirva para chequear errores. 10) Cargue otra pgina. Puede identificar el final de una conexin? Cmo? Verifique las direcciones IP indicadas como destino mediante el comando nslookup.