Analizar un paquete en Wireshark

En este apartado, vamos a aprender a analizar un paquete en Wireshark.

En la siguiente imagen, se puede observar la interfície gráfica de Wireshark. Si seleccionamos uno de los paquetes (en la imagen se selecciona el quinto paquete) en la segunda ventana podemos ver la información relativa a dicho paquete.




Los campos de información que aparecen en este caso son:

  • Frame
  • Ethernet
  • Internet Protocol
  • User Datagram Protocol
  • Domain Name System
  • TRANSUM RTE Data

Los más relevantes son los cuatro primeros, sobretodo para los estudiantes cuyo objetivo sea analizar los paquetes para una finalidad didáctica, que es el punto de vista de este blog. De estos cuatro campos, se puede extraer información relevante del paquete. Para expandir cada campo, lo que hacemos es hacer click sobre la flecha de la izquierda del campo (>).

Primero, vamos a analizar el campo Frame:


A continuación, se explica el significado de los campos que contienen información importante para el análisis del paquete:

  • Encapsulation type. Nos indica el tipo de encapsulación, que a efectos prácticos, suele ser el protocolo usado a nivel de capa de enlace. Podemos ver que en este caso es Ethernet.
  • Arrival Time. Es el momento exacto en que se capturó el paquete.
  • Epoch Time. Solo indica el tiempo que transcurrio desde el momento en que se capturo el paquete hasta ahora en segundos. No tiene mayor importancia.
  • Time delta from previous captured frame. Indica la diferencia de tiempo con el anterior paquete capturado.
  • Time delta from previuos displayed frame. Igual que el anterior, pero en este caso, la diferencia es con el paquete anterior en caso de haber aplicado un filtro (Ver la explicación de filtros).
  • Frame Number. Indica el número de paquete capturado. En este caso es 5 porque es el quinto paquete de la captura.
  • Frame Length. Indica la longitud de la trama, tanto en bytes como en bits.
  • Capture Length, Indica los bytes o bits que se han capturado de la trama. En el supuesto que se hubiera limitado a X bytes el nº de bytes de cada paquete este valor seria inferior al número de bytes o bits de la trama. Como aquí no se ha aplicado ningún tipo de limitación, el número que aparece es idéntico al de Frame Length.
  • Frame is marked i Frame is ignored pueden tomar como valores true o false. Serán true si se marcan o se ignoran. Esto se puede determinar haciendo click derecho y seleccionando la Mark/Unmark Paquet para marcar o desmarcar un paquete o seleccionando Ignore/Unignore Paquet para ignorar o dejar de ignorar un paquete. 


El paquete superior estaria marcado, mientras el paquete de abajo estaria ignorado. En el segundo caso, no se verían los campos de información que estamos analizando en esta "Entrada".

  • Protocols in Frame. El paquete puede contener muchos protocolos encapsulados. Aquí se muestran todos los protocolos que contiene la trama.

A continuación, vamos con el siguiente campo, que es Ethernt II. En éste, podemos ver la dirección física o MAC del destino (Destination) y el origen (Source), además, del tipo, que en este caso es IPv4. 




En el siguiente campo, viene toda la información relativa al protocolo IP4 con sus respectivos campos, que son inherentes del protocolo. Como el objetivo de este blog no son los conocimientos teóricos, se realiza una breve explicación de lo que significa cada campo, pero sin profundizar. 

En el caso de que quieran una explicación más extensa, les dejo el siguiente enlace: 
https://es.wikipedia.org/wiki/Cabecera_IP



Dicho esto, vamos a ver los campos de la cabecera de IPv4 que nos da la cabecera.
  • Version. Indica la versión del protocolo IP.
  • Header Length. Indica la longitud de la cabecera IPv4 del paquete. 
  • Differentiated Services Field. Son un conjunto de bits que indican el tipo de servicio que realiza el protocolo. 
  • Total Length. Indica el tamaño total del paquete. 
  • Identification. Numero de identificación del paquete.
  • Flags. Son las banderas, donde cada bit simboliza algo diferente.
  • Time to live. El tiempo de vida del paquete. Resta 1 a cada nodo que llega. Si llega a 0, el paquete se elimina dentro de la red.
  • Protocol. Indica el protocolo que encapsula. Como IPv4 es del nivel de red, el protocolo que suele especificar es el protocolo usado en la capa de transporte, que en este caso es UDP.
  • Header checksum. Es la suma de comprobación. Es un mecanismo de control de errores. 
  • Source. Indica la dirección IP del host de origen.
  • Destination. Indica la dirección IP del host de destino. 

Finalmente, vemos el protocolo de capa de transporte, que en este caso es UDP.





  • Source Port. Indica el puerto de origen.
  • Destination Port. Indica el puerto de destino.
  • Length. Indica la longitud del paquete.
  • Checksum. Es la suma de comprobación. Como podemos observar, es inverificada.

Y aquí acaba esta lección. Espero que la información presente en esta entrada les haya ayudado a analizar un paquete en Wireshark. 



Comentarios

Publicar un comentario

Entradas populares de este blog

Analizar la información general de la traza capturada

Imagen
El objetivo de esta entrada es conocer los datos más relevantes cuando analizamos una traza en general. En otros apartados hemos aprendido a analizar los paquetes uno a uno, pero ahora vamos a aprender a analizar la información de la traza, es decir, de todos los paquetes. Toda o la mayoría de la información la vamos a sacar de "Stadistics", una opción de la barra de menú. Ahora veamos las opciones más relevantes de "Stadistics".  CAPTURE FILE PROPERTIES Primero, analizamos Capture File Properties, donde podemos ver las características más generales de la traza. Lo que vamos a analizar nosotros es lo que se vé en la imagen siguiente. De aquí, podemos sacar información tal como el número de paquetes capturados, el tiemp de la captura, etc. En la columna Captured, está la información relativa a los paquetes de la captura, a todos ellos. Por otro lado, en la columna Displayed, está la información relativa a los paquetes que se vi...
Leer más

Capturar paquetes con Wireshark

Imagen
Uno de las funciones más importantes de Wireshark, por no decir la que más, es la captura de paquetes de red. A partir de cualquier captura, después podemos analizarla con tranquilidad, conocer su número de paquetes, los protocolos que están en ella, direcciones IP, etc. Pero lo primero de todo es saber cómo capturar una traza en Wireshark. Para realizar una captura en Wireshark, simplemente hacemos click en la aleta de tiburón de la parte superior izquierda de sus pantallas y verán como se empieza a realizar la captura. Llevar acabo una captura senzilla no tiene más misterio. El problema llega cuando nos adentrado en las opciones de captura, donde la cosa se complica un poquito más, pero no mucho, pueden estar tranquilos. Primero, nos vamos a Capture en la barra de menú, tal y como se muestra en la imagen. Haciendo clic, en la segunda opción Start también se iniciaría la captura. Pero nosotros, nos vamos a Options... para establecer cómo queremos que sea nuestra captura. ...
Leer más