En una entrada anterior presente la
forma básica de llevar a cabo un filtrado de paquetes en Wireshark,
mostrando las dos opciones principales disponibles que son el
filtrado de visualización y el filtrado de captura.
Del filtrado de visualización ya se
hablo antes, consiste, en escancie, en capturar todos los paquetes en
la red almacenándolos en la memoria y luego visualizar los que se
deseen.
Por su parte los filtros de captura le
indican a Wireshark solo capturar y almacenar en memoria los paquetes
que coincidan con las características indicadas en dicho filtro.
La diferencia entre estos dos filtros
puede llegar a ser decisiva si se planea capturar y analizar una
cantidad inmensa de paquetes o capturar por un periodo de tiempo
prolongado, ya que por muy exagerado que suene si es posible que una
red conlleve un trafico de tal magnitud que una captura de paquetes
pueda llenar por completo la memoria de una computadora en cuestión
de unas horas, lo que llevaría a que el sistema operativo se caiga o
cierre el programa que esta consumiendo la memoria, en ambos casos
todos los datos se perderían.
Para prevenir este caso podemos usar un
filtro de captura el cual, como ya se menciono, le indicara a
Wireshark a solo almacenar los paquetes que deseamos analizar y
descartar el resto lo que ahorrara memoria y hará mas sencillo el
análisis, al eliminar datos innecesarios que solo pueden ser
considerados ruido al momento de examinar la captura.
Para ejemplificar esto se hará un
sencillo experimento en el que veremos la diferencia entre ambos
filtros, el experimento consistirá en capturar un tipo muy
especifico de paquetes, que en este caso serán las respuestas a un
ping.
Procedimiento
Antes de comenzar sera necesario que
tenga a la mano tanto Wireshark (y privilegios de administración si
es que Wireshark no se configuro para cuentas de usuario regular), el
programa ping y una conexión a Internet, ya que tenga ambos
programas y acceso a Internet puede comenzar.
Para comenzar sera necesario que haga
un ping a una pagina conocida, en este caso particular haremos dicho
ping a google.com, si esta usando Windows es posible que necesite la
opción -t para que ping se mantenga enviando paquetes, hecho esto
inicie wireshark y comience a capturar datos.
Figura 1: Ping a google.com |
Espere un par de minutos y después
detenga la captura, si lo desea en ese tiempo acceda a una pagina de Internet para dar mas variedad a los paquetes capturados.
Figura 2: Paquetes Capturados. |
Figura 3: Últimos paquetes capturados. |
Como podrá ver en este ejemplo se
capturaron 11167 paquetes en 121 segundos como muestra la Figura 3 y
de tipos muy variados como muestra la Figura 2
Sin embargo de esos paquetes solo unos
son los paquetes que deseamos ver
Por esto vamos a filtrar las respuestas
de ping esto se hace con la expresión “icmp.type==8”, la cual
pondremos en el campo de filtros y nos dará un resultado como el
mostrado en la Figura 4
Figura 4: Respuestas al Ping |
Como nota adicional el tipo de paquete
ICMP se puede consultar dentro del propio paquete en el campo “Type”
como se ve ne la Figura 4.
Ahora pasaremos al filtro de captura
para observar las diferencias, antes de comenzar es necesario hacer
énfasis en que cada tipo de filtro tiene sus propios términos para
identificar el tipo de paquetes, esto se puede consultar a mas
detalle en la documentación de Wireshark.
Para comenzar necesita acceder a las
opciones de captura y poner el filtro “icmp[icmptype]=icmp-echoreply”
como muestra la figura 5
Figura 5: Opciones de captura. |
Hecho eso acceda a las paginas de
internet que desee, mande correos, abra programas de mensajeria, vea
algun video en internet, wireshark mostrara una pantalla como la de
la Figura 6
Figura 6: Capturados |
Ahora sera necesario que abra dos
ventanas de la linea de comandos y ponga en una el comando “ping -t
www.google.com” y en la otra
“ping -t www.yahoo.com.mx”
como se ve en la Figura 7
Figura 7: Ping a google y yahoo |
Y que de pronto en Wireshark se vera
una pantalla como la figura 8
Figura 8: Paquetes capturados |
Que como puede ver son las respuestas
de google y yahoo
Aqui puede observar la principal
diferencia y ventaja de los filtros de captura ya que estos solo
capturan lo que se desea ignorando todo lo demás, de modo que si se
sabe que se desea analizar puede ignorar el resto, ahorrando memoria
y haciendo mas legibles las estadísticas que se pueden generar desde
Wireshark.