Capturar paquetes con Wireshark

Uno de las funciones más importantes de Wireshark, por no decir la que más, es la captura de paquetes de red. A partir de cualquier captura, después podemos analizarla con tranquilidad, conocer su número de paquetes, los protocolos que están en ella, direcciones IP, etc. Pero lo primero de todo es saber cómo capturar una traza en Wireshark.

Para realizar una captura en Wireshark, simplemente hacemos click en la aleta de tiburón de la parte superior izquierda de sus pantallas y verán como se empieza a realizar la captura.


Llevar acabo una captura senzilla no tiene más misterio. El problema llega cuando nos adentrado en las opciones de captura, donde la cosa se complica un poquito más, pero no mucho, pueden estar tranquilos.

Primero, nos vamos a Capture en la barra de menú, tal y como se muestra en la imagen. Haciendo clic, en la segunda opción Start también se iniciaría la captura. Pero nosotros, nos vamos a Options... para establecer cómo queremos que sea nuestra captura.



Tras haber abierto las opciones de captura nos saldrá una ventana como la que podemos ver en la imagen siguiente. En la parte de inteficíes podemos ver todas las conexiones que tenemos disponibles y podemos capturar. Podemos seleccionar cualquiera de ellas haciendo doble click. 

En la parte inferior de la ventana, vemos una opción que dice "Enable promiscuous mode on all interfaces" y en las interfícies vemos una columna que se titula "Promisciuos", que es la cuarta. Seleccionando esta opción, lo que hacemos es permitir la captura del tráfico de todo lo que circula por la red, no sólo el tráfico que llega a nuestra máquina. Obviamente, para hacerlo se tienen que tener permiso, ya que se podría acceder a información confidencial de otra persona que estuviera conectada a la misma red que estamos haciendo la captura.


De esta ventana, lo último que deseo destacar es la columna Snaplen. Haciendo doble click sobre el default de la conexión que queramos hacer una captura nos aparecerá un número, que podremos modificar. Aquí lo que estamos determinando es la longitud máxima de bytes que queremos que capture. En otras palabras, si un paquete tiene 80 bytes y nosotros lo limitamos a 60, solo capturará los 60 primeros bytes y nos aparecerá algún mensaje en la ventana de información del paquete diciendo que el paquete está truncado. Obviamente, solo podremos ver los protocolos que estén presentes en los primeros 60 bytes. El resto no los podremos analizar.

Dicho esto, sin movernos de la ventana, vamos a pasar a la opción Output haciendo click en esta palabra en la barra superior de la ventana. Aquí tenemos las opciones para guardar la captura de forma automática. No tiene mayor importancia. También podemos guardar tal y como haríamos en cualquier otro programa en "Save as" cuando tengamos la traza capturada.


Para terminar, tenemos la opción "Options". De esta vamos a destacar la parte Name Resolution y Stop capture automatically after...

En Name Resolution, podemos seleccionar tres opciones: resolver la dirección MAC, resolver los nombres de red y los nombres de transporte. Esto se utiliza para identificar cada máquina. Si hacemos click en cualquiera de la opciones y nos viene un paquete con una determinada dirección, el programa Wireshark nos dirá a quien pertenece dicha dirección. Es muy útil para saber con quien está nuestra máquina comunicándose.

En Stop capture automatically after..., las opciones que hay son para detener la captura cuando se hayan alcanzado un número concreto de paquetes, ficheros, bytes o segundos, respectivamente. Es muy útil cuando queremos hacer una captura de un número en concreto de los elementos mencionados sin tener que estar pendiente todo el tiempo de la captura.


Y esto es todo lo que ha dado de sí este apartado. Espero que la información proporcionada les haya sido de utilidad.

Comentarios

Publicar un comentario

Entradas populares de este blog

Analizar un paquete en Wireshark

Imagen
En este apartado, vamos a aprender a analizar un paquete en Wireshark. En la siguiente imagen, se puede observar la interfície gráfica de Wireshark. Si seleccionamos uno de los paquetes (en la imagen se selecciona el quinto paquete) en la segunda ventana podemos ver la información relativa a dicho paquete. Los campos de información que aparecen en este caso son: Frame Ethernet Internet Protocol User Datagram Protocol Domain Name System TRANSUM RTE Data Los más relevantes son los cuatro primeros, sobretodo para los estudiantes cuyo objetivo sea analizar los paquetes para una finalidad didáctica, que es el punto de vista de este blog. De estos cuatro campos, se puede extraer información relevante del paquete. Para expandir cada campo, lo que hacemos es hacer click sobre la flecha de la izquierda del campo (>). Primero, vamos a analizar el campo Frame: A continuación, se explica el significado de los campos que contienen información importante para el anál...
Leer más

Analizar la información general de la traza capturada

Imagen
El objetivo de esta entrada es conocer los datos más relevantes cuando analizamos una traza en general. En otros apartados hemos aprendido a analizar los paquetes uno a uno, pero ahora vamos a aprender a analizar la información de la traza, es decir, de todos los paquetes. Toda o la mayoría de la información la vamos a sacar de "Stadistics", una opción de la barra de menú. Ahora veamos las opciones más relevantes de "Stadistics".  CAPTURE FILE PROPERTIES Primero, analizamos Capture File Properties, donde podemos ver las características más generales de la traza. Lo que vamos a analizar nosotros es lo que se vé en la imagen siguiente. De aquí, podemos sacar información tal como el número de paquetes capturados, el tiemp de la captura, etc. En la columna Captured, está la información relativa a los paquetes de la captura, a todos ellos. Por otro lado, en la columna Displayed, está la información relativa a los paquetes que se vi...
Leer más