Es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Cuenta con todas las características estándar de un analizador de protocolos,Wireshark es un capturador/analizador de paquetes de red (llamado a veces, sniffer o esnifer). Wireshark permitirá ver, aun nivel bajo y detallado, qué está pasando en tu red. Además es multiplataforma. Posee una interfaz gráfica y muchas opciones de organización y filtrado de informacion. Así, permite ver todo el tráfico que pasa a través de una red e incluso averiguar las contraseñas de la gente que esta usando los protocolos como FTP y TELNET.Antes de trabajar con wireshark es importante explicar las áreas que nos muestra el programa cuando inicia la toma de datos.
-Área 1:es el área de definición de filtros y, como veremos más adelante, permite definir patrones de búsqueda para visualizar aquellos paquetes o protocolos que nos interesen.
-Área 2:se corresponde con la lista de visualización de todos los paquetes que se están capturando en tiempo real. Saber interpretar correctamente los datos proporcionados en esta zona (tipo de protocolo, números de secuencia, flags, marcas de tiempo, puertos, etc.) nos va a permitir deducir el problema.
-Área 3:permite desglosar por capas cada una de las cabeceras de los paquetes seleccionados en la zona 2 y nos facilitará movernos por cada uno de los campos de las mismas.Ahora tratare de explicar algo básico de wireshark con un ejemplo simple.
PASOS PARA ANALIZAR TRAFICO CON WIRESHARK
2.Aparece la pantalla donde va a empezar a capturar la información y empieza a capturar paquetes a lo más a cargado variedad de paquetes damos clic en stop. En este caso me muestra el paquete cuando envie solicitud para abrir el correo de hotmail, de misena,facebook,la llegada de los paquetes del video que estoy viendo en youtube,entre otras.
3.Si no queremos que nos muestre todos los paquetes de todas las cosas que salen o entran a nuestro ordenador podemos limitar con que ordenador me interesa solo ver las tramas, en este caso eligire filtar solo la actividad con www.youtube.com, paquetes que vayan o esten dirigidos a este host, clic en start.
4. Aparece un cuadro preguntando si quiero guardar esas capturas le digo que no.
5. A continuacion tengo que ir a un navegador y abrir la página que escogí que es la de you tube, seleccionar el video que me interesa capturar en mi caso quiero ver el video de la cancion regresa a mi de il divo.
6.Puedo empezar a reproducirlo, en este momento deberia parar el wireshark ya que me a recogido suficiente informacion como para que me averigue como se llama este archivo que estoy viendo.
7. Después de pararlo ya e obtenido todos los paquetes que a capturado wireshark, podemos ver que hay mucha informacion y hay entradas GET que es cuando se le solicitan archivos al servidor y son las que nos interesan ver,por ejemplo hay unas entradas GET dibujo .jpg, otras .xml, archivos flash.etc.
8. Si queremos ver la informacion con solo los GET podemos colocar en el filtro, si no sabemos como escribrirlo podemos darle clic en Expression para seleccionar la información que queremos ver.
9.Como se puede ver el la ventana de wireshark casi todas las capturas son de HTTP y TCP, si queremos filtrar los GET de HTTP tengo que elegir en la lista de reglas el protocolo HTTP y luego http.request.method-Request Method(HTTP Request Method), relacion == y elegir el método de petición que es GET, clic en start.
10.Ahora se a compuesto una regla que dice que la regla de petición el GET se le aplica y severa que solo se muestra la petición pedida.
Esto es solo una introducción muy básica para aprender mas sobre wireshark le dejo este documento muy completo sobre este programa, es una revista en linea que pueden descargar.
No hay comentarios:
Publicar un comentario