Introduccion al Wire SHARK

Ing. Freddy Alfonso Beltran

Desarrollado por Gerald Combs programador de ciencias

computacionales de la universidad de misiouri, su primera versión
llamada ethereal fue desarrollada en 1998 bajo GPL

En el año 2006 sale al mundo y el mundo GNU ha aportado a su

desarrollo más de 500 mejoras a la versión Original

Que tipos de Protocolos son soportados por

wireshark:

Son Mas de 850 protocolos para analizar desde los más básicos IP y
TCP hasta los más avanzados como Apple talk y torrent un ejemplo
de ellos tenemos los siguientes
Como se visualizan los paquetes en wireshark?

Panel list

paquetes con
informacion básica
de la captura

Panel detalle de
captura de paquetes
informacion detallada
Panel bytes
lista para decodificar
captura de
paquetes en
formato Raw
Panel de captura: muestra todos los paquetes de la actual captura
mostrados en columnas con los siguientes campos:

N° Numero del paquete

Time: momento en el cual el paquete fue capturado

Source: direccion Ip origen de donde se origino el paquete

Destination: direccion ip destino el cual se origina el paquete

Protocol: tipo de protocolo asociado al paquete

Informacion: informacion asociada a la captura del paquete.

Panel de detalle: muestra la informacion jerarquizada y detallada de

la captura por cada uno de los paquetes capturados como lo muestra
la figura

Estos paneles son expandibles como lo muestra la figura, para este

caso estoy expandiendo informacion detallada de Internet protocol
Panel de Bytes: muestra los paquetes en formato RAW (no
procesados) es decir visualiza los paquetes tal como cruzan por el
medio.

Como personalizo mi wireshark para

efectuar capturas?
Otra opción importante es la Opción preferencias: en la cual se
customiza al wireshark
este dividido en 2 partes principales user Interface, y protocolos cada
uno con sus ítems asociados para ser customizados
un ejemplo de cambiar el layout: es decir la forma de presentar los
paneles

Otro ejemplo :

Si quiero customizar el color de cada paquete que se captura de

paquetes
Se observa que cada paquete tiene un código de color que podrá ser
cambiado según su necesidad

Escogiendo la Opcion edit

escojo la opción ICMP errors

se definen dos parámetros forground color de la letra y background

color de fondo

Para este caso ICMP tiene color de fondo negro y color fore verde
Ejemplo: definir un nuevo código color para DNS

Defino el nombreura de la captura el filtro de la captura para este caso

DNS en el puerto TCP 53

Escogemos el color foregorund rojo

Y el background en negro
Ok , se observa su cambio , y en el momento de la captura vamos a
identificar mas fácilmente los paquetes ya que nosotros hemos
personalizado su color

Como buscar o filtrar informacion en

wireshark?

Bueno para buscar un paquete en el panel lista de paquetes filtrar la

búsqueda de dos formas

Una forma larga

Por ejemplo tenemos los tipos de paquetes que queremos filtrar
L a otra forma es la corta más fácil, utilizando la opción filter y
expresssion en el panel principal

COMO USO EL WIRESHARK

DEFINIR Y APLICAR UN FILTRO PARA CONOCER PUERTOS

ABIERTOS EN LA MAQUINA REMOTA.
Antes de empezar a escanear se debe tener Nmap y wireshark
instalado en la maquina window
Ahora se ejecuta el wireshark para tenerlo listo, despues lanzar la
solcitid de nmap a un equipo de la red que he definido con
anterioridad ip destino 172.16.4.254
Abrimos el wireshark escojo la interfaz de captura: para este caso
sera la tarjeta de red local intel pro

Despues lanzo la captura en el wireshark dando click sobre este icono

Se lanza un scaneo basico del nmap sin ningun filtro como lo muestra
la figura, para conocer que puertos tiene abiertos la dirección IP
172.16.4.254.
Ahora paramos el wireshark y comenzamos a mirar cual es el
procedimeinto de escaneo y que puertos estan respondiendo como
abiertos en el sistema.

Aplicando el filtro obetenemos todos los paqutes de la direccion

destino que es 172.16.4.254
Detallando la informacion obtenida en la captura tenemos lo siguiente:
Aquí obtenemos que la información capturada por el wireshark fue
tomada del escaneo que se hizo con el nmap.
Comparando con el nmap se observa el puerto cerrado
Ahora capturemos por puerto TCP, aplicando el fitlro tenemos tcp=445

Se observa la siguiente:
Se observan las dos mac de origen y la destino y además el tipo de
protocolo 0x800 que es el IP
Se observa que la dirección Ip lanza la consulta para este caso es la
172.16.5.3 y la Ip destino es la 172.16.4.254 y el tipo de versión del
protocolo que para este caso es versión 4
Se observa el puerto origen que es un puerto aleatorio que género el
equipo 172.16.5.3 a el equipo 172.16.4.254 a el puerto 445
 Aquí me muestra la MTU (unidad máxima de transmisión) del paquete
enviado.
DEFINIR Y APLICAR UN FILTRO PARA CONOCER LOS PUERTOS
CERRADOS EN LA MAQUINA REMOTA
Ahora viendo los puertos cerrados el parámetro RST tiene que estar
activado
Habiendo lanzado el escaneo con el NMAP capturando tráfico se
define un filtro de entrada por dirección destino 172.16.4.254 para que
solo me capture este tráfico y se obtiene lo siguiente:
Ahora utilizamos un escaneo mediante Flags de TCP donde se
realizara un rastreo mediante la activación de banderas o flags para
determinar la conectividad del equipo utilizando el siguiente filtro:
tcp.flags.reset == 1
Tendríamos que mirar ahora los puertos en las flags del TCP que se
identifiquen como RST se define un filtro por flag del paquete TCP en
1 para identificar que el puerto 3389 efectivamente está cerrado.
Se observa que el puerto de la captura en estado RST concuerda con
el puerto cerrado de la captura con el NMAP.
FORMA DE SABER DESDE LA CAPTURA DE RED QUE SISTEMA
OPERATIVO TIENE LA MAQUINA QUE ESTAMOS ESCANEANDO

Por medio del parametro –O se puede averiguar el sistema operativo

que tiene la maquina que estamos escaneando. Esta opción activa la
detección remota del sistema operativo por medio de la huella TCP/IP.
En otras palabras, usa unas tecnicas para detectar sutilezas en la pila
de red subyacente del sistema operativo de los servidores que se
escanean.

Efectivamente nos muestra que el sistema operativo de la maquina

destino es un Wndows xp.