domingo, 25 de diciembre de 2011

De Vacaciones

Seguro la falta de actualizaciones recientes ya hara sospechar eso, pero en el momento me encuentro de vacaciones, por lo que, hasta aproximadamente el 3 de Enero no habra ninguna actualización.

Incluso con este periodo vacacional las actualizaciones futuras tendran un cambio de tema, esto se debe a que la investigación sobre Wireshark necesaria para mi tesis esta practicamente completa y ya solo es necesario transcribir y pulir la redacción de las entradas.

Ya que para la entrega de la tesis mi asesor me a proporcionado el formato en LaTeX oficial de la facultad este sistema de composición de texto recibira unas cuantas entradas, las cuales seran:
  • El sistema de composición de textos LaTeX.
  • Instalación y peculiaridades de TeX Live, la distribución TeX usada en los sistemas Linux.
  • Tablas en LaTex
  • Manejo de bibliografia con BibTex.
El tema de WireShark regresara una vez que comienze el ciclo escolar y tenga acceso a laboratorio de computación necesario para planear las practicas faltantes.

Hasta entonces, que pasen unas buenas vacaciones (si ese es el caso) , tengan un prospero y feliz año nuevo y nos vemos de nuevo aproximadamente el 3 de enero.

lunes, 12 de diciembre de 2011

Filtros de Visualización


La forma mas inmediata y sencilla de utilizar un filtro en Wireshark es el filtro de visualización, este consiste en aplicar un filtro a los paquetes ya capturados de modo que el área de datos visualice únicamente los paquetes que cumplan con las condiciones impuestas por el filtro.

Las ventajas que presentan este tipo de filtros es una mayor versatilidad y simplicidad, puesto que en lugar de seleccionar el filtro y luego capturar los paquetes basta capturar todos los paquetes y luego filtrarlos según sea conveniente lo cual es de gran utilidad si aun no se conoce perfectamente como se manifiesta la situación que se desea analizar.

Sin embargo este tipo de filtros puede causar problemas si se desea realizar un análisis de los paquetes enviados por un tiempo prolongado, ya que el capturar todos los paquetes requiere usar una gran cantidad de memoria y ciclos de procesador para llevar a cabo en análisis.

Para efectuar este filtrado el primer paso a realizar es haber realizado o estar efectuando una captura de paquetes de red, una vez que halla cumplido dicha condición aplicar el filtro es tan sencillo como introducir la expresión del filtro en la barra de filtros.

Para mostrar la operación básica de los filtros de visualización se presenta el siguiente ejemplo

Ejemplo.

Inicialice Wireshark y comience una captura de datos.

Figura 1: Capturando paquetes.

Mientras la captura se esta realizando acceda con el navegador de internet a alguna pagina web, como puede ser http://slashdot.org/

Una vez que la pagina halla descargado por completo y sin detener la captura introduzca en la barra de filtros la expresión

http

Tras lo cual el área de datos lucirá como en la figura.

Figura 2: Filtro http.

Pruebe con las expresiones:

dns
Figura 3: Filtro dns.


arp
Figura 4: Filtro arp.

tcp
Figura 5: Filtro tcp.

También pueden aplicarse filtros mas elaborados, como lo es mostrar solo los paquetes http que provengan de una dirección especifica

ip.addr == 216.34.181.45 && http

Figura 6: http desde 216.34.181.4


Estas son solo algunas de las posibilidades para filtrado, la lista completa puede consultarse desde la documentación oficial de Wireshark.


Referencias


martes, 6 de diciembre de 2011

Filtros de captura


Una de las formas en que son aplicables las capacidades de filtrado de Wireshark son los filtros de captura, estos funcionan imponiendo una serie de condiciones que los paquetes deben de cumplir para ser capturados y almacenados en memoria.
Estos requisitos son expresados como cadenas de texto siguiendo el formato de los filtros de Wireshark detallado con anterioridad.

La posibilidad de aplicar filtros durante la captura es una herramienta útil para casos donde capturar todo el trafico en una red, el cual es el comportamiento predeterminado de Wireshark, sea indeseable, ya sea por los altos requerimientos de memoria y procesador que esto requeriría, por que se desea analizar solo una sección de esa red o examinar el comportamiento de un protocolo en particular.

Estos filtros son aplicables en el dialogo de Opciones de captura, el cual puede ser accedido antes de comenzar una captura desde la barra de herramientas o desde el menú “Capture”, al accederlo el dialogo luciera como la figura 1.

Figura 1: Opciones de Captura.
Como podrá observar existe un cuadro de dialogo a la derecha de un botón con la etiqueta “Capture Filter”, es en este campo donde puede ingresar directamente la cadena del filtro, como en el caso del campo de filtro de la barra de herramientas el color de fondo del campo cambiara a verde si se siguió la sintaxis correctamente o a rojo si existe algún error sintáctico.

Una forma mas sencilla de ingresar el filtro es por medio del dialogo de Filtro de Captura, el cual puede accederse al pulsar el botón “Capture Filter”

Figura 2: Filtros de Captura.
Este filtro contiene una serie de ejemplos los cuales puede usar como base, adaptar a sus necesidades y almacenar para poder usarlos con facilidad en el futuro.

Ejemplo.

Digamos que se desea capturar únicamente los paquetes HTTP provenientes de un sitio web en particular.

En este ejemplo particular se desea capturar unicamente los paquetes provenientes del sitio de noticias http://arstechnica.com/ por lo que se accederá al dialogo de opciones de captura y se introducira el filtro:


como muestra la figura

Figura 3: Filtrando del host www.arstechnica.com.

hecho esto comience la captura, en un principio no aparecerá absolutamente nada, esto es lógico puesto que no hay ningún paquete enviado o recibido desde el post indicado.

Ahora inicie un navegador de internet y diríjase a la dirección: www.arstechnica.com

Al momento que el sitio comienze a descargar Wireshark comenzara a capturar paquetes, lo que le dara una pantalla similar a la figura

Figura 4: Paquetes capturados.
Notara que la columna “Destination” solo aparecen dos valores, la dirección IP de su computadora y la dirección IP de arstechnica.com

Referencias

WireShark wiki – Capture Filters: http://wiki.wireshark.org/CaptureFilters (visitado el 5-dic-2011)

jueves, 1 de diciembre de 2011

Filtrado de paquetes con Wireshark.


Una de las características proporcionadas por Wireshark para facilitar el análisis de los paquetes que circulan por una red es la capacidad de aplicar filtros de modo que el numero de paquetes visualizados o capturados se reduzca a únicamente los que son de interés para el usuario.

La correcta aplicación del filtrado proporciona una serie de ventajas tanto en el óptimo uso de los recursos del equipo, al no almacenar en memoria ni procesar paquetes de ningún interés, como al usuario al limitar el análisis únicamente a los protocolos, direcciones IP, tiempos y rangos que se estén examinando.

Sintaxis de filtros en Wireshark.

Antes de pasar a como aplicar los filtros es adecuado tener una comprensión básica de la sintaxis para aplicar los mismos, esto se hace por medio de una cadena de texto con un formato especifico, de forma similar a las condiciones booleanas de los lenguajes de programación.

Para Wireshark el formato utilizado es el siguiente:

<campo a filtrar> <relación a cumplir> <valor de referencia>

Donde:

Campo a filtrar: Indica cual de los posibles campos contenidos en el paquete de datos debe de cumplir la condición indicada, para indicarlo basta con poner la cadena de texto que identifica a dicho campo.
Puesto que la lista de posibles campos a filtrar es demasiado extensa para intentar listarla se recomienda ir a la documentación oficial de Wireshark para conocerla en detalle.

Relación a cumplir: Esta parte del filtro indica como se desea que sea el dato contenido en el campo en relación con el valor de referencia, esta parte se muestra como operadores lógicos idénticos a los usados en el lenguaje de programación C, mas tres condiciones extra todos los operadores disponibles se listan a continuación

  • Present: El operador por defecto devuelve verdadero si el campo esta presente en los paquetes capturados.
  • == : Igual a, retorna verdadero si el valor contenido en el campo es igual al valor de referencia.
  • != : Diferente a, este operador se cumple cuando el contenido del campo es diferente al valor de referencia.
  • > : Mayor que, verdadero solo si el campo contiene un valor mayor que el valor de referencia.
  • < : Menos que, regresa verdadero cuando el valor en el campo sea menor que la referencia.
  • >=: Mayor o Igual, se cumple cuando el campo contiene un valor igual o mayor a la referencia.
  • <=: Menor o Igual, si el campo contiene una valor menor o igual a la referencia este operador regresara verdadero.
  • Contains: contiene, verdadero si el campo contiene alguno de los elementos proporcionados como un rango en el valor de referencia.
  • Matches: coincide, retornara verdadero si el el contenido del campo coincide perfectamente con el rango de valores de referencia.

Valor de referencia.
Este es el valor con el que deseamos filtrar los paquetes, su valor y formato variaran dependiendo de lo que se desee realizar pudiendo pasar de un simple valor booleano, una dirección IP, un numero de secuencia o un rango de valores a comparar.


Para explicar el funcionamiento de la forma mas sencilla posible se presenta el siguiente ejemplo de un filtro sencillo.
ip.dst == 128.30.52.45

Este filtro en particular le indica a Wireshark que solo debe mostrar los paquetes donde el campo destino de la cabecera IP contenga la dirección 128.30.52.45, de esto y basándonos en los expuesto anteriormente podemos separar los tres elementos del filtro, siendo:

  • Campo a filtrar: ip.dst, la dirección destino del protocolo IP.
  • Relación a cumplir: ==, queremos que el campo sea igual al valor de referencia.
  • Valor deseado: 128.30.52.45, la dirección IP a la que queremos sea igual el valor contenido en el campo ip.dst.

Dialogo de expresiones.

Con el propósito de simplificar la creación de filtros Wireshark proporciona un dialogo especializado desde el cual diseñar los filtros, de modo que no sea necesario memorizar la larga lista de campos que pueden filtrarse, este dialogo puede accederse pulsando el botón “Expression...” en la barra de filtros y se muestra en la Figura 1

Figura 1: Dialogo de expresiones.

Este dialogo facilita la creación de los filtros ya que solo hay que seleccionar el campo a filtrar y la relación que se desea se cumpla, el único dato que debe ser introducido manualmente es el valor de referencia o el rango de valores de referencia, cada uno con su campo de texto.

Combinación de filtros.

Otra de las capacidades de los filtros en Wireshark es el poder aplicar mas de un filtro simultáneamente utilizando los conectores lógicos and y or para definir cuales son los resultados deseables, su funcionamiento se describe a continuación.

  • And: Y, este conector logico regresara verdadero solo si ambas condiciones de filtrado se cumplen
  • Or: O, regresa verdadero si alguna de las condiciones de filtro de cumple.

Como en el caso anterior se presentara un ejemplo para demostrar como funcionan los conectores, en este caso se desea filtrar los paquetes que contengan la cabecera http y su cabecera TCP contenga activa la bandera FIN, para esto el filtro a utilizar es:

http and tcp.flags.fin

Examinando los componentes del filtro se tiene

  • http: cuando solo se indica el campo Wireshark solo muestra los paquetes que lo contengan, en esta caso mostrara los paquetes que contengan la cabecera http.
  • and: el conector Y, deseamos que se cumpla la condición anterior y la siguiente.
  • tcp.flags.fin: pedimos que solo se muestren los paquetes cuya cabecera tcp contenga la bandera Fin activada.

Al aplicar este filtro Wireshark solo desplegara los paquetes que cumplan con ambas condiciones.

Referencias



jueves, 17 de noviembre de 2011

Analizadores de Protocolos de red

Un analizador de protocolos de red es una herramienta para examinar con detalle los paquetes que se estén transmitiendo atravez de una red de datos.

Para realizar esta función lo primero que debe realizarse es una captura de paquetes, esto consiste en escuchar el medio en el cual se están transmitiendo los paquetes y almacenar todos los datos recibidos en la memoria.

Ya que los paquetes han sido capturados en la memoria, se puede proceder a examinar su contenido el hacer esto permite tener una idea clara tanto del contenido del paquete de datos como de las cabeceras agregadas por los diferentes protocolos que atravezo el paquete.

Esto ultimo es una de las funciones mas importantes, puesto que pueden obtenerse las direcciones tanto físicas como lógicas de un paquete y los diversos parámetros de los protocolos, datos que permiten la detección y corrección de errores de diseño e implementación de una red de datos.

Sin embargo pese a sus usos legítimos un analizador de protocolos puede ser fácilmente convertido en una herramienta de espionaje por usuarios maliciosos permitiendo capturar datos sensitivos si se están usando protocolos no cifrados, y aun si se usa el cifrado de datos, los datos paquetes capturados pueden examinarse con los programas adecuados para descifrar su contenido.

Es por esto que el uso estas herramientas esta usualmente limitado a administradores y su uso no autorizado es disuadido en las políticas y reglamentos de las empresas e instituciones que manejen datos delicados.

Referencias

Redes – Manual de Referencia primera edición, Craig Zacker.

domingo, 13 de noviembre de 2011

La interfaz de Wireshark.


Cuando se comienza a utilizar el analizador de paquetes de red Wireshark, uno de los aspectos que saltan a la vista de manera mas inmediata es la distintiva interfaz gráfica, que si bien da un fácil y veloz acceso a las funciones de Wireshark, puede resultar un tanto confusa la primera vez que se utiliza.

Es por esto que se presentaran sus componentes y varios de los diálogos comúnmente utilizados.

Figura 1: Pantalla de inicio de Wireshark.

La figura 1 muestra la pantalla de inicio de Wireshark, esta se divide en varios componentes los cuales se han numerado en la figura y se lista a continuación:
  1. Barra de menú.
  2. Barra de herramientas.
  3. Barra de Filtros.
  4. Área de datos.
  5. Barra de estado.
Cada uno de estos componentes se describirá a continuación

Barra de Menú.

Figura 2: Barra de menús.

Ubicado en la parte superior de la ventana principal del programa esta barra proporciona un acceso a todas las funciones y opciones de Wireshark,

Dado que la mayoría de las opciones avanzadas queda muy fuera del ámbito de lo que se desea mostrar y como las opciones mas comúnmente utilizadas para hacer una captura pueden accederse desde las demás barras de herramientas no se describirá en mas detalle los menús.

Barra de herramientas.

Figura 3: Barra de herramientas.

Este es uno de los componentes de la interfaz del que mas uso se hace durante una captura de paquetes, debido a que proporciona un acceso veloz a las las funciones mas comúnmente usadas.

Un detalle que puede resultar abrumador cuando se hace uso de Wireshark por primera vez son los iconos de dicha barra, puesto que no se parecen a los usados en otras aplicaciones y se habilitan o deshabilitan durante la operación del programa, es por esto que cada icono se presentara a continuación indicando su función y en que circunstancias se encuentra habilitado.


Listar interfaces de red.
Figura 4: Listar interfaces de red.
Al presionar este botón aparecerá un dialogo que muestra las interfaces de red disponibles y permite iniciar una captura o modificar las opciones de captura, esta función no se puede acceder mientras se capturan los paquetes

Opciones de captura.
Figura 5: Opciones de captura.
Inicia el dialogo con las opciones para realizar la captura de paquetes, este botón se deshabilita durante la captura de paquetes

Iniciar captura.
Figura 6: Iniciar Captura.
Inicia la captura con la interfaz seleccionada, no disponible durante la captura de paquetes.

Detener captura.
Figura 7: Detener la captura.
Detiene la captura de paquetes, este botón solo esta habilitado si esta capturando paquetes

Reiniciar captura de paquetes.
Figura 8: Reiniciar captura de paquetes.
Comienza de nuevo la captura, agregando los paquetes a continuación de los ya capturados, esta función solo se activa si a detenido una captura en curso.

Abrir un archivo de capturas.
Figura 9: Abrir archivo.
Permite abrir un archivo con paquetes ya capturados, no disponible si esta ejecutando una captura.

Guardar archivo de capturas.
Figura 10: Guardar archivo.
Almacena los paquetes ya capturados para posterior análisis, no accesible durante la captura de paquetes.

Cerrar archivo de captura.
Figura 11: Cerrar archivo.
Cierra el archivo actual, no disponible mientras se estén capturando paquetes.

Recargar archivo de captura actual.
Figura 12: Recargar.
Elimina los cambios realizados y carga de nuevo el archivo de capturas actual, botón deshabilitado durante la captura de paquetes.

Imprimir paquetes.
Figura 13: Imprimir.
Imprime los paquetes capturados hasta el momento.

Buscar un paquete.
Figura 14: Buscar paquete.
Busca un paquete que coincida con los parámetros establecidos

Ir hacia atrás.
Figura 15: Atrás.
Va al paquete seleccionado anteriormente

Ir hacia adelante.
Figura 16: Adelante.
Va al paquete que se selecciono después del actual, solo disponible si uso el botón “Ir hacia atrás” anteriormente.

Ir al paquete con numero.
Figura 17: Ir a.
Va al paquete con el numero indicado

Ir al primer paquete.
Figura 18: Inicio.
Selecciona el primer paquete que se halla capturado

Ir al ultimo paquete.
Figura 19: Fin.
Lleva al ultimo paquete que se a capturado

Colorear lista de paquetes.
Figura 20: Colorear.

Activa o desactiva el coloreado de la lista de paquetes, activado por defecto.

Autocorrimiento.
Figura 21: Autocorrimiento.
Al activarse mantiene visibles los paquetes mas recientemente capturados, activa por defecto.

Acercamiento.
Figura 22: Zoom in.
Aumenta el tamaño de los elementos en la lista de paquetes

Alejamiento.
Figura 23: Zoom out.
Reduce el tamaño de los elementos en la lista de paquetes

Escala normal.
Figura 24: Escala 100%.
Regresa los elementos de la lista de paquetes a su tamaño por defecto

Redimensionar columnas.
Figura 25: Redimensionar columnas.
Ajusta el tamaño de las columnas en la lista de paquetes

Editar filtro de captura.
Figura 26: Filtro de captura.
Abre el dialogo para aplicar un filtro a a la capturados

Aplicar un filtro a los paquetes capturados.
Figura 27: Filtrar paquetes.
Filtra los paquetes ya capturados

Editar reglas de coloreado.
Figura 29: Coloreado.
Permite modificar como se colorea la lista de paquetes.

Preferencias
Figura 29: Preferencias.
Modificar las preferencias del programa.

Ayuda.
Figura 30: Ayuda.
Abre la ayuda en linea.

Barra de filtros

Figura 31: Barra de filtros.
Esta barra permite filtrar los paquetes ya capturados de manera rápida sus componentes son, de izquierda a derecha.
  1. Campo de filtro: En este campo de texto puede escribirse el filtro que se desea aplicar directamente.
  2. Expresión: abre el editor de expresiones para general un filtro.
  3. Aplicar: Aplica el filtro indicado por el campo de filtro.
  4. Limpiar: Elimina el filtro aplicado.

Área de datos.

La interfaz de Wireshark esta dominada por una sección en particular que abarca casi la totalidad de la ventana, esta es el área de datos, esta sección puede desplegar dos conjuntos de datos dependiendo de las acciones que se hallan realizado.

Figura 32: Área de datos al inicio.

La figura 31 muestra el área de datos justo al arrancan el programa, esta vista en particular esta accesible al iniciar el programa o cuando se ha cerrado el archivo de capturas en el que se estaba trabajando.

Desde esta vista en particular se tiene un acceso fácil a una serie de funciones que son

  • Capturar desde una de las interfaces disponibles, mostrado bajo la etiqueta “Capture”.
  • Los temas de ayuda sobre como realizar la captura, bajo la etiqueta “Capture Help”.
  • La función para abrir un archivo ya existente o uno de los ejemplos incluidos con el programa, esto bajo la etiqueta “Files”.
  • Los recursos en linea de Wireshark bajo la etiqueta “Online”.


Figura 33: Vista de paquetes.


La otra vista que presenta esta sección, mostrada en la figura 32, es la vista de paquetes capturados, esta la vista que mas se usara en Wireshark.

Notara que esta vista esta dividida en 3 paneles verticales cada uno desplegando información diferente, lo que estos paneles despliegan es:
  • La lista de paquetes: Muestra los paquetes que han sido capturados mostrando el numero de paquete, el momento en que fue capturado, la dirección fuente, la dirección destino, el protocolo del paquete e información adicional.
  • Detalles del paquete: Muestra las cabeceras y datos que componen el paquete seleccionado en la lista de paquetes.
  • Bits del paquete: Los mismos datos que en el panel anterior, solo que presentados en hexadecimal.
Barra de estado

Figura 34: Barra de estado

Ubicada en la parte inferior de la ventana esta barra despliega información sobre la captura actual mostrando

  • El nombre del archivo actual.
  • La cantidad de paquetes capturados.
  • La cantidad de paquetes mostrados.
  • El tiempo.
  • El perfil de configuración.


Referencias

viernes, 4 de noviembre de 2011

Capturar paquetes de red con Wireshark.


El primer paso para el análisis de paquetes de red, por supuesto, la captura de los paquetes de modo que sea posible examinar a detalle como fueron recibidos por los diferentes equipos.

Ya que la interfaz de Wireshark puede ser bastante abrumadora si no se tiene experiencia en su uso se presenta este tutorial, cuyo objetivo es mostrar como realizar una captura de paquetes.


Paso 1 – Inicializar Wireshark

Inicie Wireshark, una vez que el programa cargue por completo obtendrá una pantalla similar a la figura 1

Figura 1: Pantalla principal de Wireshark.

Sin embargo existe la posibilidad de que al iniciar obtenga una pantalla como la figura 2

Figura 2: Ejecutando Wireshark sin permisos de administrador.

Observe a la izquierda de la figura 2, en la seccion de “Capture” aparece el mensaje “No interface can be used for capturing in this system with the current configuration”

A menos que su computadora carezca por completo de una interfaz de red alámbrica Ethernet o USB este mensaje simplemente significa que no tiene los permisos necesarios para acceder directamente a las interfaces de red, en este caso sera necesario que ejecute Wireshark como administrador.

Ya que haga eso y Wireshark muestre la lista de interfaces de red como en la figura 1 puede proceder.

Paso 2 – Seleccionar la interfaz de red.

Como notara en la figura 1, Wireshark le presenta todas las interfaces de red disponibles en el equipo, estas se muestran con el nombre con las que las identifica el sistema operativo por lo que no debe preocuparse si la lista mostrara es diferente a la de este tutorial.

Ahora es necesario que seleccione sobre que interfaz quiere realizar la captura de paquetes de datos, para este tutorial se capturaran datos de la interfaz conectada a internet, el nombre de esta interfaz puede consultarlo en la configuración de red de su sistema operativo.

Ahora presione “Interface List” y obtendra una ventana como la figura 3

Figura 3: Interfaces de red.
Desde esta ventana puede observar algunos detalles de las conexiones, como lo es la dirección IP de la interfaz, el numero de paquetes recibidos y el numero de paquetes por segundo así como dos botones uno para iniciar la captura y otro para seleccionar las opciones de captura de paquetes, con el texto “Start” y “Options” respectivamente, ahora presione el boton “Options”


Figura 4: Opciones de captura.
Tomara un par de segundos pero aparecerá una ventana similar a la figura 4

Es desde esta ventana donde puede configurar la captura a sus necesidades, las opciones de captura presentadas son, avanzando de arriba hacia abajo:
  • Cabecera de la capa de enlace
  • Tamaño del buffer
  • Capturar en modo promiscuo
  • Capturar paquetes en formato pcap-ng
  • Limitar el tamaño en bytes de cada paquete
  • Aplicar un filtro a la captura

Debajo de estas encontrara opciones que modifican el archivo en que se almacenara la captura, las opciones de visualización, de resolución de nombre y opciones de temporizador.

Ya que el propósito de este tutorial es mostrar como realizar la captura no se modificara ninguna de las opciones por lo que puede presionar el boton “Start” en la parte inferior derecha para comenzar la captura de datos.

Paso 3 – Interfaz de captura de paquetes

Figura 5: Capturando paquetes de red.

Como notara en la figura 5, la interfaz de Wireshark cambia al momento de iniciar la captura y aparecen tres nuevos paneles.

Ya que estos paneles contienen información sobre como esta ocurriendo la captura de datos y sobre el contenido de los paquetes sera conveniente describir su función y la información que presentan antes de realizar una captura propiamente dicha.

Los paneles que aparecen al iniciar la captura de datos son, de arriba hacia abajo:

Lista de paquetes
Este panel muestra los paquetes de red que han sido capturados mostrando:

  • “No.”: El orden en que fueron capturados los paquetes.
  • “Time”: En que segundo de la captura se obtuvo ese paquete.
  • “Source”: La dirección de donde proviene ese paquete.
  • “Destination”: A que dirección esta dirigido ese paquete.
  • “Protocol”: El protocolo del paquete de red.
  • “Length”: El tamaño en bytes del paquete
  • “Info”: Información sobre el paquete.

Detalles del paquete
Este panel se ubica debajo de la lista de paquetes y le muestra las distintas cabeceras y datos que componen el paquete seleccionado en la lista de paquetes, es en esta sección donde puede analizar propiamente dicho el contenido de un paquete de red.

Bits del paquete
Esta sección muestra en hexadecimal el contenido del paquete de datos.

Los últimos dos paneles también pueden accederse al dar doble click sobre un paquete en la lista de paquetes, al hacer esto aparecerá una ventana como la figura 6

Figura 6: Contenido de un paquete de datos.
Paso 4 – Capturando paquetes de red

La captura de paquetes puede iniciarse ya sea desde el dialogo interfaces de red mostrado en la figura 3 ,el dialogo de opciones de interfaz mostrado en la figura 4 o directamente desde la pantalla de inicio en la sección “Capture” de la figura 1, cualquiera de esas opciones le dara como resultado una ventana similar a la figura 7

Figura 7: Capturando paquetes.

Como una demostración de lo que se puede hacer abra un navegador de internet y acceda a un sitio web, para este ejemplo se usara http://arstechnica.com/ y mientras el sitio descarga observe la lista de paquetes en Wireshark( puede ser necesario que avance manualmente la barra de desplazamiento), al momento que el sitio comience a cargar notara que aparecen paquetes coloreados en verde como muestra la figura 8

Figura 8: Paquetes TCP.

Y que una vez que el sitio carga completamente esos paquetes se vuelven cada ves menos comunes, cuando llegue a este punto presione el botón Detener captura el cual se muestra en la figura 9

Figura  9 : Detener captura.
Cuando haga esto Wireshark dejara de capturar los paquetes de datos de modo que podrá analizarlos con mas calma, ahora si bien es posible analizarlos “en vivo” mientras se capturan esto requiere de muchos recursos del sistema, por lo que se recomienda detener la captura antes de comenzar el análisis.

Paso 5 – Almacenar los paquetes capturados

Ahora que a capturado los paquetes es una buena idea que los almacene en caso de que desee analizarlos después.

Para esto vaya al menú archivo y seleccione la opción Guardar, esto también puede lograrlo desde la barra de herramientas o con la combinación de teclas Ctrl+S

Esto abrirá un dialogo para guardar archivos como muestra la figura 10

Figura 10: Guardar archivo.

Es de esperar que el dialogo luzca diferente dependiendo del sistema operativo que este usando, en cualquier caso escriba el nombre del archivo con extensión .pcap y guarde el archivo.