Análisis de red con Wireshark. Interpretando los datos

Análisis de red con Wireshark. Interpretando los datos.

Wireshark es una herramieta multiplataforma de análisis de red, producto de la evolución de Ethereal. Funciona al igual que lo puede hacer cualquier otro sniffer tal como Windump, TCPDump ó dsniff. Pero, al contrario de estos, lo hace mostrando los datos a través de un entorno gráfico y de forma más amigable y entendible. Este artículo es fruto de varios correos que me han llegado sobre como interpretar los datos mostrados en una captura.

Si bien, el uso de Wireshark esta suficientemente documentado en la red, vamos a repasar muy superficialmente su uso para centrarnos después en como interpretar esos los capturados.

Antes que nada, tras arrancar Wireshark, el menu Capture > Interfaces.... nos muestra la siguiente pantalla:

Solo tendremos que pulsar en Start para capturar a través de la interface que nos interese. Inmeditamente Wireshark comienza a capturar.

El problema es que nos lo captura todo, todos los protocolos, etc:

Igual no nos interesa capturarlo todo. Queremos filtrar. Para filtrar podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya q ue usa la misma libreria libpcap.

Podemos filtrar a través de Capture Filter o usar el campo correspondiente:

Capturamos los paquetesde segmento TCP cuyo destino sea el puerto 34. Pero como ya hemos aprendido a usar filtros más avanzados, introducimos directamente el filtro de esta forma:

icmp[0:1] == 08 (en windump es sufciciente con un solo signo =)

Con lo que capturaríamos los icmp de tipo echo request.

O cualquiera de estos:

ip[9] == 1

tcp dst port 110

http contains "http://www.forosdelweb.com"

frame contains "@miempresa.es"

Con este último filtro capturamos todos los correos con origen y destivo al dominio miempresa.es, incluyendo usuarios, pass, etc.

En suma podemos usar cualquier tipo de filtro de los que usamos con Windump o TCPDump y alguno más propio de Wireshark. En otra ocasión nos centraremos en estos filtros y todas las nuevas posibilidades que nos ofrece wireshark. Ahora vamos a estudiar un poco la intrerpretación de los datos.

Tras una captura nos encontramos con esta salida:

Se establecen 3 zonas de datos. La primera es la zona de listado de los paquetes capturados con información del Numero de Frame, tiempo en segurdos de la captura, Origen, Destino, protocolo involucrado y por último un campo de información extra que previamente Wireshark a decodificado.

La segunda zona muestra los datos del Frame capturado. En este caso Frame 23 o captura 23 (las numera secuencialmente). nos da información de todos los protocolos involucrados en la captura:

En campo Frame nos muestra información completa de la trama capturada. Tamaño total, etc. A continuación Ethernet II que nos muestra la cabecera Ethernet II que a su vez pertenece a la capa de enlace de datos:

0000 00 04 75 ed 89 c3 00 14 22 5f a9 25 08 00

Nos muestra parte de la cabecer de la trama Ethener II, en este caso:

Destino 6 bytes 00 04 75 ed 89 c3 : MAC destino
Origen 6 bytes 00 14 22 5f a9 25 : MAC origen
Tipo 2 bytes 08 00 : protocolo que viaja en la parte de datos de la trama en este caso IP. 0x0800.

A continuación vemos Internet Protocol con los datos de la cabecera del datagrama IP:

0000 45 00 02 93 e1 8f 00 00 80 06 6f b2 d9 7e 4b de E.........o..~K.
0010 c0 a8 01 1e

Esto ya lo hemos estudiado aquí.

Después no escontramos con Transmission Control Protocol. (TCP):

0000 00 50 12 67 21 9e b2 a5 99 28 f1 c8 50 18 fd b2 .P.g!....(..P...
0010 f5 79 00 00 .y..

Se trata del Segmento TCP. Protocolo involucrado en esta captura. Lo hemos estudiado aquí.

Como ya hemos visto, tenemos información del Puerto de origen, destino, número de secuencia, etc.

Y para finalizar tenemos TCP Segment Data, con todo el contenido del campo Data del segmento TCP.

En el proximo artículo dedicado a wireshark nos centraremos exclusivamente en los Filtros de Wireshark.