• Proyecto
QUE ES WIRESHARK
 |
Wireshark
conocido como Ethereal, es un analizador de
protocolos utilizado para
realizar análisis y solucionar problemas en redes de comunicaciones, para
desarrollo de software y protocolos, y como una herramienta didáctica. Cuenta con todas
las características estándar de un analizador de protocolos de forma únicamente
hueca.
La
funcionalidad que provee es similar a la de tcpdump, pero
añade una interfaz gráfica y muchas opciones de organización y filtrado de
información. Así, permite ver todo el tráfico que pasa a través de una red
(usualmente una red Ethernet, aunque es compatible con algunas otras)
estableciendo la configuración en modo.
También incluye una versión basada en texto llamada tshark.
Permite
examinar datos de una red viva o de un archivo de captura salvado en disco. Se
puede analizar la información capturada, a través de los detalles y sumarios
por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que
queremos ver y la habilidad de mostrar el flujo reconstruido de una sesión de
TCP.
Posee una interfaz gráfica y muchas opciones de
organización y filtrado de información. Así, permite ver todo el tráfico que
pasa a través de una red (usualmente una red Ethernet, aunque es compatible con
algunas otras)
Con qué es compatible Wireshark
Wireshark
es de software libre y puede ejecutarse en la mayoría de sistemas operativos
Unix y compatibles incluyendo Linux, Solaris, Android, Mac OS X, NetBSD,
FreeBSD, Microsoft Windows, entre otros.
¿Para que o quien es útil Wireshark?
·
Administradores lo
usan para resolver problemas en la red
·
Ingenieros lo usan
para examinar problemas de seguridad
·
Desarrolladores lo
usan para depurar la implementación de los protocolos de red
·
Estudiantes los
usan para aprender internamente cómo funciona una red
·
Hackers lo usan
para ver configuraciones de equipos como los cisco en este caso capturar tramas
de enrutamiento…bueno la verdad si se maneja esta herramienta se puede hacer de
todo en una red.
Características de Wireshark
·
Disponible para
Linux y Windows
·
Captura de
paquetes en vivo desde una interfaz de red
·
Muestra los
paquetes con información detallada de los mismos
·
Abre y guarda
paquetes capturados
·
Importar y
exportar paquetes en diferentes formatos
·
Filtrado de
información de paquetes
·
Resaltado de
paquetes dependiendo el filtro
·
Crear estadísticas
Beneficios:
Se
mantiene bajo licencia GLP, es capaz de capturar datos de la red o leer datos
almacenados en un archivo, cuenta con una interfaz flexible, una gran capacidad
de filtrado, se ejecuta en más de 20 plataformas y también es compatible con
más de 480 protocolos.
Dónde Realizar la Captura de Datos
El primer paso
para poder auditar la red será definir dónde analizar el tráfico. Imaginemos un
escenario común. Nos encontramos en un entorno conmutado formado por varios
switches, unos cuantos equipos y un servidor de ficheros. El rendimiento de la
red ha disminuido en los últimos días y desconocemos la causa. Carecemos de un
IDS que pueda dar la voz de alarma sobre algún ataque o anomalía en la red y
sabemos que el servidor de ficheros abastece, en cuanto a tasa de transferencia
se refiere, a los equipos de nuestra LAN (Local Area Network) sin problema
alguno. Además, nuestros equipos de red no cuentan con protocolos como Netflow
para poder analizar tráfico remotamente por lo que decidimos utilizar
Wireshark. La primera duda que surge es dónde instalarlo. A pesar de parecer
lógico instalar Wireshark en el propio servidor de ficheros para analizar el
tráfico que transita por ese segmento de red, nos encontraremos con situaciones
en las cuales no podamos tener acceso físico al servidor o simplemente, por
motivos de seguridad, por ejemplo entornos SCADA, no podamos instalar software
en el mismo. En este caso se mostrarán algunas alternativas en el uso de
técnicas que permitan llevar a cabo una captura de tráfico sin necesidad de
portar Wireshark al propio servidor. La excepción a esta regla la veremos en el
último caso, donde se proponen varios métodos de captura remota en los que sí
es necesario ejecutar o al menos instalar aplicaciones en el equipo que se
quiere monitorizar.
Wireshark se divide en tres zonas de
datos.
1. La primera es la lista de paquetes capturados con
información de numero de frame, tiempo en segundos de la captura, origen,
destino, protocolo e información adicional.
2. La segunda zona muestras los datos del frame elegido
(En este caso el 4) siguiendo las capas del modelo TCP/IP: Acceso a red, capa
de red, capa de internet y capa de aplicación. En primer lugar muestra los
datos propios del frame elegido, como hora de captura, tamaño, medidas de
tiempo entre paquete y paquete capturado… A continuación empieza realmente lo
asignado a cada capa. En el primer campo se obtiene los datos correspondientes
a la capa de acceso a red con los datos de destino, origen y tipo, como
direcciones MAC o los medios físicos que atraviesa. Después se encuentran los
datos de la capa de internet, que son los más numerosos y de donde más
información se puede sacar. Los datos principales de este campo son: Versión
del protocolo IP, tamaño de cabecera IP, flags y métodos de corrección de
errores. El tercer campo es el correspondiente a la capa de transporte, con los
datos propios de las cabeceras UDP o TCP, según el protocolo de transporte que
utilice el frame elegido. El último campo de esta zona son los datos de la capa
de aplicación. Este campo es muy variado, y da diferentes datos según el frame
que se haya elegido.
3. La tercera zona
indica el contenido paquete seleccionado en el panel superior en formato
hexadecimal y ASCII.
Cómo
instalo Wireshark
Para la
instalación del software wireshark es muy sencillo. En Windows y OS X, abrimos
la siguiente URL: http://www.wireshark.org/download.html con el fin de descargarlo dels
la pagina oficial, por otra parte, en Linux: escribimos el código
sudo apt-get install wireshark
sudo apt-get install wireshark
Wireshark tiene una interfaz gráfica, la cual facilita mucho su uso, aunque también disponemos de una versión en modo texto llamada tshark.
Una
de las virtudes de Wireshark es el filtrado que podemos hacer de los datos
capturados. Podemos filtrar protocolos, IP origen o destino, por un rango de
direcciones IP, puertos o tráfico unicast, entre una larga lista de opciones.
Podemos introducir nosotros manualmente los filtros en una casilla o
seleccionar estos filtros de una lista:
Además,
podremos seleccionar varias interfaces en las que capturar. En mi caso, tengo
las siguientes y selecciono la que estoy usando:
Cómo empiezo a capturar paquetes
Si
seleccionamos las opciones de interfaces de captura, nos aparece esto.
Capturaremos siempre en modo promiscuo, con el fin de poder capturar los
paquetes de la red en la que estamos, no sólo los nuestros, aunque he de decir
que no todas las tarjetas de red son compatibles con este modo. Para iniciar la
captura, pulsaremos en "Start".
Tras
pulsar "Start", obtendremos lo siguiente:
Tras
pulsar "Start", obtendremos lo siguiente:
Esta
ventana tiene 3 partes importantes:
Aquí
veremos los paquetes capturados. En este caso, estoy mostrando paquetes TCP
desde y hacia mi ordenador (mi IP es la 192.168.142.33).
En
esta parte veremos el desglose y la información detallada de los paquetes
capturados.
Vemos
el contenido de los paquetes.
Doy
por finalizado este tutorial, recopilando la información proporcionada.
Qué
es Wireshark.
Cómo
instalar Wireshark.
Cómo
es Wireshark y cuáles son sus posibilidades.
Cómo
empezar a capturar paquetes.
Este
primer tutorial ha sido la primera toma de contacto con Wireshark. En los
siguientes tutoriales entraremos más a fondo en varios temas, como por ejemplo
el filtrado o los distintos tipos de protocolos.
Espero
que os haya gustado y que sigáis estos tutoriales. Siempre es bueno tener unos
conocimientos mínimos sobre estos temas.
Software que Hacen Auditoria de Redes
WIRESHARK
|
SNNIFER PRO
|
·
Esta aplicación puede llegar a consumir bastantes
recursos por lo que se puede saturar la memoria y espacio en disco, es recomendable
un equipo con las características adecuadas.
·
los requerimientos tanto para Linux como
·
Windows son: Arquitectura para 32 y 64 bits
·
memoria RAM desde 128 (depende el
·
número de paquetes que se vallan acapturar)
·
Espacio disponible 75 MB (dependiendo el número de
paquetes
·
Resolución de pantalla de 1280x2040
·
Tarjetas de red soportadas , en Ethernet cualquiera
y en inalámbricas las 802.11
|
·
Es una herramienta analizadora de red que consiste
en un conjunto
defunciones, la cual no tiene
muchos requerimientos.
● Está diseñado
para Aprovechar las características y ventajas de Windows
32-bitscomo multitarea.
|
1.
Microsoft Network Monitor
Microsoft Network Monitor es un analizador de paquetes
de red gratuito y funciona en PCs Windows. Proporciona capacidad de la red de
expertos para ver todo el tráfico de red en tiempo real en una intuitiva
interfaz gráfica de usuario. Mientras tanto, puede capturar y ver información
de la red más de 300 públicos, propiedad de Microsoft y los protocolos de red,
incluyendo los paquetes de red inalámbrica.
2.
Capsa packet Sniffer
Capsa
es un analizador de red de paquetes es un software gratuito para los
administradores de red para supervisar, diagnosticar y solucionar sus
network.The paquete gratis de la red la versión del analizador viene con
toneladas de características, y es lo suficientemente buena para uso doméstico,
así como su uso en la pequeña empresa
Paquete
de software libre Capsa Sniffer le permite monitorear y capturar 50 direcciones
IP de red de datos de tráfico juntos y análisis de redes eficaces en tiempo
real para los paquetes de red sniffing, y analizarlos
Características del succionador de paquete:
·
Detalle Supervisor
de tráfico de todos los equipos
·
El control de
ancho de banda (para encontrar los equipos que están viendo vídeos en línea)
·
Diagnóstico de Red
para identificar problemas en la red
·
La
actividad Netwok registro (para la grabación de mensajería instantánea y correo
web)
·
Red de monitoreo
del comportamiento
3.
InnoNWSniffer
4.
SniffPass
SniffPass es un succionador de tráfico del paquete
único, que se centra en la captura de contraseñas de tráfico de la red. Cada
vez que se activa rastreadores contraseña Sniffpass, se mantiene sobre el
control de tráfico de red y tan pronto como se intercepta una contraseña, que
inmediatamente pone de manifiesto que en la pantalla. Esta es una gran manera
de encontrar las contraseñas olvidadas de sitios web.
Sniffer Sniffpass contraseña es muy fácil en su uso, y proporciona una agradable interfaz gráfica de usuario para controlar todas las contraseñas capturadas. Contraseña Sniffpass sniffer compatible con la mayoría de los protocolos de redes, tales como: POP3, IMAP4, SMTP, FTP y HTTP.
Sniffer Sniffpass contraseña es muy fácil en su uso, y proporciona una agradable interfaz gráfica de usuario para controlar todas las contraseñas capturadas. Contraseña Sniffpass sniffer compatible con la mayoría de los protocolos de redes, tales como: POP3, IMAP4, SMTP, FTP y HTTP.
Manuales
Los
manuales oficiales en inglés pueden encontrarse en:
En
español, puede encontrarse información en:
Bibliografía