viernes, 4 de noviembre de 2011

Capturar paquetes de red con Wireshark.


El primer paso para el análisis de paquetes de red, por supuesto, la captura de los paquetes de modo que sea posible examinar a detalle como fueron recibidos por los diferentes equipos.

Ya que la interfaz de Wireshark puede ser bastante abrumadora si no se tiene experiencia en su uso se presenta este tutorial, cuyo objetivo es mostrar como realizar una captura de paquetes.


Paso 1 – Inicializar Wireshark

Inicie Wireshark, una vez que el programa cargue por completo obtendrá una pantalla similar a la figura 1

Figura 1: Pantalla principal de Wireshark.

Sin embargo existe la posibilidad de que al iniciar obtenga una pantalla como la figura 2

Figura 2: Ejecutando Wireshark sin permisos de administrador.

Observe a la izquierda de la figura 2, en la seccion de “Capture” aparece el mensaje “No interface can be used for capturing in this system with the current configuration”

A menos que su computadora carezca por completo de una interfaz de red alámbrica Ethernet o USB este mensaje simplemente significa que no tiene los permisos necesarios para acceder directamente a las interfaces de red, en este caso sera necesario que ejecute Wireshark como administrador.

Ya que haga eso y Wireshark muestre la lista de interfaces de red como en la figura 1 puede proceder.

Paso 2 – Seleccionar la interfaz de red.

Como notara en la figura 1, Wireshark le presenta todas las interfaces de red disponibles en el equipo, estas se muestran con el nombre con las que las identifica el sistema operativo por lo que no debe preocuparse si la lista mostrara es diferente a la de este tutorial.

Ahora es necesario que seleccione sobre que interfaz quiere realizar la captura de paquetes de datos, para este tutorial se capturaran datos de la interfaz conectada a internet, el nombre de esta interfaz puede consultarlo en la configuración de red de su sistema operativo.

Ahora presione “Interface List” y obtendra una ventana como la figura 3

Figura 3: Interfaces de red.
Desde esta ventana puede observar algunos detalles de las conexiones, como lo es la dirección IP de la interfaz, el numero de paquetes recibidos y el numero de paquetes por segundo así como dos botones uno para iniciar la captura y otro para seleccionar las opciones de captura de paquetes, con el texto “Start” y “Options” respectivamente, ahora presione el boton “Options”


Figura 4: Opciones de captura.
Tomara un par de segundos pero aparecerá una ventana similar a la figura 4

Es desde esta ventana donde puede configurar la captura a sus necesidades, las opciones de captura presentadas son, avanzando de arriba hacia abajo:
  • Cabecera de la capa de enlace
  • Tamaño del buffer
  • Capturar en modo promiscuo
  • Capturar paquetes en formato pcap-ng
  • Limitar el tamaño en bytes de cada paquete
  • Aplicar un filtro a la captura

Debajo de estas encontrara opciones que modifican el archivo en que se almacenara la captura, las opciones de visualización, de resolución de nombre y opciones de temporizador.

Ya que el propósito de este tutorial es mostrar como realizar la captura no se modificara ninguna de las opciones por lo que puede presionar el boton “Start” en la parte inferior derecha para comenzar la captura de datos.

Paso 3 – Interfaz de captura de paquetes

Figura 5: Capturando paquetes de red.

Como notara en la figura 5, la interfaz de Wireshark cambia al momento de iniciar la captura y aparecen tres nuevos paneles.

Ya que estos paneles contienen información sobre como esta ocurriendo la captura de datos y sobre el contenido de los paquetes sera conveniente describir su función y la información que presentan antes de realizar una captura propiamente dicha.

Los paneles que aparecen al iniciar la captura de datos son, de arriba hacia abajo:

Lista de paquetes
Este panel muestra los paquetes de red que han sido capturados mostrando:

  • “No.”: El orden en que fueron capturados los paquetes.
  • “Time”: En que segundo de la captura se obtuvo ese paquete.
  • “Source”: La dirección de donde proviene ese paquete.
  • “Destination”: A que dirección esta dirigido ese paquete.
  • “Protocol”: El protocolo del paquete de red.
  • “Length”: El tamaño en bytes del paquete
  • “Info”: Información sobre el paquete.

Detalles del paquete
Este panel se ubica debajo de la lista de paquetes y le muestra las distintas cabeceras y datos que componen el paquete seleccionado en la lista de paquetes, es en esta sección donde puede analizar propiamente dicho el contenido de un paquete de red.

Bits del paquete
Esta sección muestra en hexadecimal el contenido del paquete de datos.

Los últimos dos paneles también pueden accederse al dar doble click sobre un paquete en la lista de paquetes, al hacer esto aparecerá una ventana como la figura 6

Figura 6: Contenido de un paquete de datos.
Paso 4 – Capturando paquetes de red

La captura de paquetes puede iniciarse ya sea desde el dialogo interfaces de red mostrado en la figura 3 ,el dialogo de opciones de interfaz mostrado en la figura 4 o directamente desde la pantalla de inicio en la sección “Capture” de la figura 1, cualquiera de esas opciones le dara como resultado una ventana similar a la figura 7

Figura 7: Capturando paquetes.

Como una demostración de lo que se puede hacer abra un navegador de internet y acceda a un sitio web, para este ejemplo se usara http://arstechnica.com/ y mientras el sitio descarga observe la lista de paquetes en Wireshark( puede ser necesario que avance manualmente la barra de desplazamiento), al momento que el sitio comience a cargar notara que aparecen paquetes coloreados en verde como muestra la figura 8

Figura 8: Paquetes TCP.

Y que una vez que el sitio carga completamente esos paquetes se vuelven cada ves menos comunes, cuando llegue a este punto presione el botón Detener captura el cual se muestra en la figura 9

Figura  9 : Detener captura.
Cuando haga esto Wireshark dejara de capturar los paquetes de datos de modo que podrá analizarlos con mas calma, ahora si bien es posible analizarlos “en vivo” mientras se capturan esto requiere de muchos recursos del sistema, por lo que se recomienda detener la captura antes de comenzar el análisis.

Paso 5 – Almacenar los paquetes capturados

Ahora que a capturado los paquetes es una buena idea que los almacene en caso de que desee analizarlos después.

Para esto vaya al menú archivo y seleccione la opción Guardar, esto también puede lograrlo desde la barra de herramientas o con la combinación de teclas Ctrl+S

Esto abrirá un dialogo para guardar archivos como muestra la figura 10

Figura 10: Guardar archivo.

Es de esperar que el dialogo luzca diferente dependiendo del sistema operativo que este usando, en cualquier caso escriba el nombre del archivo con extensión .pcap y guarde el archivo.