Buscar en este blog

sábado, 25 de febrero de 2012

ANALIZANDO TRÁFICO EN WIRESHARK

logo wiresharkEs un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos,Wireshark es un capturador/analizador de paquetes de red (llamado a veces, sniffer o esnifer). Wireshark  permitirá ver, aun nivel bajo y detallado, qué está pasando en tu red. Además es multiplataforma. Posee una interfaz gráfica y muchas opciones de organización y filtrado de informacion. Así, permite ver todo el tráfico que pasa a través de una red e incluso averiguar las contraseñas de la gente que esta usando los protocolos como FTP y TELNET.
Antes de trabajar con wireshark  es importante explicar las áreas que nos muestra el programa cuando inicia  la toma de datos.

-Área 1:es el área de definición de filtros y, como veremos más adelante, permite definir patrones de búsqueda para visualizar aquellos paquetes o protocolos que nos interesen.
-Área 2:se corresponde con la lista de visualización de todos los paquetes que se están capturando en tiempo real. Saber interpretar correctamente los datos proporcionados en esta zona (tipo de protocolo, números de secuencia, flags, marcas de tiempo, puertos, etc.) nos va a permitir deducir el problema.
-Área 3:permite desglosar por capas cada una de las cabeceras de los paquetes seleccionados en la zona 2 y nos facilitará movernos por cada uno de los campos de las mismas.Ahora tratare de explicar algo básico de wireshark con un ejemplo simple.

PASOS PARA ANALIZAR TRAFICO CON WIRESHARK

1.Una ves se tiene instalado el programa abrimos wireshark para visualizar la pantallla principal, wireshark tiene una variedad de  herramientas, lo que vamos a ver es ir a lo mas básico para capturar la informacion, vamos a opciones, lista de dispositivos y elegimos por cual queremos analizar los protocolos, elegimos la tarjeta de red ya que esta conectada directamente al router y para saber que esta haciendo nuestro ordenador, que paquetes entran o salen de el, colocar nuestra tarjeta de red en promiscuo y va monitorear todo el trafico que salga de la computadora que estemos utilizando,clic en start.



2.Aparece la pantalla donde va a empezar a capturar la información y empieza a capturar paquetes a lo más a cargado variedad de paquetes damos clic en stop. En este caso me muestra el paquete cuando envie solicitud para abrir el correo de hotmail, de misena,facebook,la llegada de los paquetes del video que estoy viendo en youtube,entre otras.



3.Si no queremos que nos muestre todos los paquetes de todas las cosas que salen o entran a nuestro ordenador podemos limitar con que ordenador me interesa solo ver las tramas, en este caso eligire filtar solo la actividad con www.youtube.com, paquetes que vayan o esten dirigidos a este host, clic en start.



4. Aparece un cuadro preguntando si quiero guardar esas capturas le digo que no.



5. A continuacion tengo que ir a un navegador y abrir la página que escogí que es la de you tube, seleccionar el video que me interesa capturar en mi caso quiero ver el video de la cancion regresa a mi de il divo.





6.Puedo empezar a reproducirlo, en este momento deberia parar el wireshark ya que me a recogido suficiente informacion como para que me averigue como se llama este archivo que estoy viendo.





7. Después de pararlo ya e obtenido todos los paquetes que a capturado wireshark,  podemos ver que hay mucha informacion y hay  entradas GET  que es cuando se le solicitan archivos al servidor y son las que nos interesan ver,por ejemplo hay unas entradas GET  dibujo .jpg, otras .xml, archivos flash.etc.



8. Si queremos ver la informacion con solo los GET  podemos colocar en el filtro, si no sabemos como escribrirlo podemos darle clic en Expression  para seleccionar la información que queremos ver.



9.Como se puede ver el la ventana de wireshark casi todas las capturas son de HTTP y TCP, si queremos filtrar los GET de HTTP tengo que elegir en la lista de reglas el protocolo HTTP y luego http.request.method-Request Method(HTTP Request Method), relacion == y elegir el método de petición que es GET, clic en start.


10.Ahora se a compuesto una regla que dice que la regla de petición el GET  se le aplica y severa que solo se muestra la petición pedida.


11.Ahora solo se ven lospaquetes GET   que muestran la página solicitada y el nombre del video que  escritos en un explorador puede llevarnos  al vídeo il divo seleccionado al principio del programa.


Esto es solo una introducción muy básica para aprender mas sobre wireshark le dejo este documento muy completo sobre este programa, es una revista en linea que pueden descargar.



No hay comentarios:

Publicar un comentario