WireShark
Ethereal ahora conocido como wireshark es una herramienta con interfaz gráfica que se encarga de analizar todo tipo de tráfico que circula por la red, analiza paquetes (sniffers); con el fin de solucionar problemas en la red y un propósito didáctico. Es compatible tanto como para Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y Mac OS X, así como en Microsoft Windows.
Wireshark:
Instalación por consola
Instalación por Ubuntu Software Center
La misma herramienta wireshark, nos la opción de escuchar a varios tipos de interfaces, con la ayuda del botón "list the available capture interfaces" señalado en el recuadro en rojo. el cual nos mostrará la ventana contenida en el centro de la imagen.
Para realizar un filtrado es necesario ejecutar el programa wireshark desde la consola anteponiendo el comando sudo para poder tener acceso a las distintas interfaces de red como son eht0, loopback, nflog,etc.
A continuación se mostrará la siguiente ventana:
Donde los botones básicamente más importantes son:
Lista de interfaces.- permite elegir rápidamente las interfaces con las cuales trabajaremos, mostrándonos una ventana con una lista rápida.
Opciones de captura.- nos permite elegir y detallar las interfaces con las cuales trabajaremos., aqui podemos especificar el filtrado y sus interfaces mostrándonos una ventana mas completa.
Control de filtrado.- con la ayuda de estos botones podemos iniciar, parar o volver a cargar un filtrado.
Barra de filtrado.- aquí especificamos los parámetros que queremos que contengan las líneas filtradas.
Antes de realizar un filtrado es necesario especificar las interfaces por medio del botón de lista de interfaces, , activando todas los recuadros excepto any; o por medio de del botón opciones de captura, o a través de las mismas opciones pero direccionadas por la barra de menús del programa.
Filtrado de http
En la barra de filtrado digitamos http tomando en cuenta lo mencionado anteriormente y necesariamente para poder evidenciar el filtrado estar conectados a una red, y abrir un navegador web.
.
.
http es un Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol) es un método de intercambio de información más utilizado en la world wide web, el método mediante el cual se transfieren las páginas web a un ordenador.
Al momento de filtrar http podemos danos cuenta que aparecen varios protocolos de red por ejemplo:
SSDP.- es un protocolo que encuentra de dispositivos UPnP en una red.
Al momento de abrir el navegador web:
SSDP
TCP
DNS.- es un servicio que se encarga de traducir una dirección IP a una dirección web.
TLSv1.2.- es un protocolo criptográfico versión 1.2 que proporciona comunicaciones seguras por una red.
Filtrado de icmp
En la barra de filtrado digitamos icmp tomando en cuenta lo mencionado anteriormente y necesariamente para poder evidenciar el filtrado hacer ping hacia una máquina o que una máquina nos este enviando paquetes icmp haciendo ping; si se hace ping desde la misma máquina tenemos tomar en cuenta que la interface loopback este activada.
icmp es un Protocolo de Mensajes de Control de Internet (Internet Control Message Protocol) es un sub protocolo de control y notificación de errores de una IP, sin dejar de notar que es una herramienta herramienta ping y traceroute, que envían mensajes de petición echo icmp para determinar si un host está disponible.
Al momento de filtrar htt podemos danos cuenta que aparecen varios protocolos de red por ejemplo:
ICMP
ARP.- es un protocolo de la capa de enlace de datos que se encarga de encontrar la dirección hardware a la cual pertenece una dirección IP determinada.
SSDP.- es un protocolo que encuentra de dispositivos UPnP en una red.
Dentro del filtrado icmp, como ya conocemos que ping envía datos a otra máquina y esta los devuelve , wireshark nos ayuda a reconocer la la máquina con la dirección IP de origen como la de destino, como en el caso resaltado, la IP origen 192.168.107.138 empieza enviado un paquete de datos icmp a la dirección IP destino 192.168.107.1, después el ordenador con dirección IP 192.168.107.1 recibe los datos y devuelve una respuesta se convierte en origen, y el la IP destino es 192.168.107.138.
Referencias:
https://www.wireshark.org/
http://sistemasoperativosepn.blogspot.com/
http://blog.elevenpaths.com/
https://www.wireshark.org/docs/wsug_html_chunked/ChCapInterfaceSection.html
http://unix.stackexchange.com/questions/138135/whats-the-difference-between-ulog-and-nflog
http://www.masadelante.com/faqs/que-significa-http
http://www.mastermagazine.info/termino/4930.php
- Captura los paquetes directamente desde una interfaz de red.
- Obtiene detalladamente la información del protocolo utilizado en el paquete capturado.
- Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas.
- Filtra los paquetes que cumplan con un criterio definido previamente.
- Realiza la búsqueda de los paquetes que cumplan con un criterio definido previamente.
- Permite obtener estadísticas.
- Sus funciones gráficas son muy poderosas ya que identifica mediante el uso de colores los paquetes que cumplen con los filtros establecidos.
Instalación sobre Ubuntu
Instalación por consola
- Comprobar que tengamos acceso a Internet.
- En el terminal si trabajamos en el entorno gráfico o directamende en el entorno consola ejecutamos el comando sudo apt-get install wireshark; y nos autenticamos..
- Elegimos y (yes/si) o n (no) según si queremos continuar con la instalación; en este caso elegimos y..
- Esperemos que nuestra instalación concluya y listo, la aplicación esta lista para usarse...
%5E$.png)
- Comprobamos su funcionamiento ejecutando el comando sudo wireshark; es necesario anteponer el comando sudo para que se tenga permiso de acceso a la tarjeta de red, lopback, etc; el el programa empezará a ejecutarse..
%5E%24.png)
Instalación por Ubuntu Software Center
- Comprobar el acceso a Internet.
- Esta forma solo es posible si se trabaja dentro del entorno gráfico de ubuntu; abrimos la aplicación Ubuntu Software Center.
- En al barra de búsqueda escribimos el nombre de la aplicación wireshark..
- El siguiente paso es dar clic en install, y esperar que se instale el programa..
- Una vez instalado en ícono del programa tendrá in visto y esta lista nuestra aplicación para usarse y la opción de remover o desinstalar aparecerá..
- Comprobamos su funcionamiento a través del terminal ejecutando el comando sudo wireshark; es necesario anteponer el comando sudo para que se tenga permiso de acceso a la tarjeta de red, lopback, etc; el el programa empezará a ejecutarse.
Interfaces a escuchar
La misma herramienta wireshark, nos la opción de escuchar a varios tipos de interfaces, con la ayuda del botón "list the available capture interfaces" señalado en el recuadro en rojo. el cual nos mostrará la ventana contenida en el centro de la imagen.
La interfaces disponibles son:
eth0.- tarjeta de red ethernet de nombre eth0.
nflog.- es el registro genérico de espacio de usuario original añadido en Kernel 2.4 para IPv4.
nfqueue.- delega la decisión sobre qué hacer con un paquete de red a un programa que se ejecute en el espacio de usuario.
lo = loopback.- es una interfaz de red virtual, que los hots la emplean para dirigir el tráfico hacia ellos mismos.
Filtrado en Ubuntu
Para realizar un filtrado es necesario ejecutar el programa wireshark desde la consola anteponiendo el comando sudo para poder tener acceso a las distintas interfaces de red como son eht0, loopback, nflog,etc.
A continuación se mostrará la siguiente ventana:
Donde los botones básicamente más importantes son:
Lista de interfaces.- permite elegir rápidamente las interfaces con las cuales trabajaremos, mostrándonos una ventana con una lista rápida.
Opciones de captura.- nos permite elegir y detallar las interfaces con las cuales trabajaremos., aqui podemos especificar el filtrado y sus interfaces mostrándonos una ventana mas completa.
Control de filtrado.- con la ayuda de estos botones podemos iniciar, parar o volver a cargar un filtrado.
Barra de filtrado.- aquí especificamos los parámetros que queremos que contengan las líneas filtradas.
Antes de realizar un filtrado es necesario especificar las interfaces por medio del botón de lista de interfaces, , activando todas los recuadros excepto any; o por medio de del botón opciones de captura, o a través de las mismas opciones pero direccionadas por la barra de menús del programa.
Filtrado de http
En la barra de filtrado digitamos http tomando en cuenta lo mencionado anteriormente y necesariamente para poder evidenciar el filtrado estar conectados a una red, y abrir un navegador web.
.
http es un Protocolo de Transferencia de Hipertexto (HyperText Transfer Protocol) es un método de intercambio de información más utilizado en la world wide web, el método mediante el cual se transfieren las páginas web a un ordenador.
Al momento de filtrar http podemos danos cuenta que aparecen varios protocolos de red por ejemplo:
SSDP.- es un protocolo que encuentra de dispositivos UPnP en una red.
Al momento de abrir el navegador web:
SSDP
TCP
DNS.- es un servicio que se encarga de traducir una dirección IP a una dirección web.
TLSv1.2.- es un protocolo criptográfico versión 1.2 que proporciona comunicaciones seguras por una red.
Filtrado de icmp
En la barra de filtrado digitamos icmp tomando en cuenta lo mencionado anteriormente y necesariamente para poder evidenciar el filtrado hacer ping hacia una máquina o que una máquina nos este enviando paquetes icmp haciendo ping; si se hace ping desde la misma máquina tenemos tomar en cuenta que la interface loopback este activada.
icmp es un Protocolo de Mensajes de Control de Internet (Internet Control Message Protocol) es un sub protocolo de control y notificación de errores de una IP, sin dejar de notar que es una herramienta herramienta ping y traceroute, que envían mensajes de petición echo icmp para determinar si un host está disponible.
Al momento de filtrar htt podemos danos cuenta que aparecen varios protocolos de red por ejemplo:
ICMP
ARP.- es un protocolo de la capa de enlace de datos que se encarga de encontrar la dirección hardware a la cual pertenece una dirección IP determinada.
SSDP.- es un protocolo que encuentra de dispositivos UPnP en una red.
Dentro del filtrado icmp, como ya conocemos que ping envía datos a otra máquina y esta los devuelve , wireshark nos ayuda a reconocer la la máquina con la dirección IP de origen como la de destino, como en el caso resaltado, la IP origen 192.168.107.138 empieza enviado un paquete de datos icmp a la dirección IP destino 192.168.107.1, después el ordenador con dirección IP 192.168.107.1 recibe los datos y devuelve una respuesta se convierte en origen, y el la IP destino es 192.168.107.138.
Paquete ICMP
Al momento de dar doble clic sobre un paquete ICMP dentro del filtrado podemos obtener sus características y descripción del mismo. Obtenemos lo siguiente:
Tamaño del paquete enviado
Tamaño del paquete receptado
Tamaño del paquete receptado
Tarjeta de red origen
Tarjeta de red destino
Dirección IP origen
Dirección IP destino
Referencias:
https://www.wireshark.org/
http://sistemasoperativosepn.blogspot.com/
http://blog.elevenpaths.com/
https://www.wireshark.org/docs/wsug_html_chunked/ChCapInterfaceSection.html
http://unix.stackexchange.com/questions/138135/whats-the-difference-between-ulog-and-nflog
http://www.masadelante.com/faqs/que-significa-http
http://www.mastermagazine.info/termino/4930.php
No hay comentarios.:
Publicar un comentario