INVESTIGACION WIRESHARK

1. ING. SISTEMAS COMPUTACIONALES
M.C. FRANCISCO VAZQUEZ GUZMAN
INTEGRANTES
JUAREZ ROJAS HEIDI
ROMERO GARCIA DULCE ROSARIO
WIRESHARK

2. ¿Qué es?
• Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para
realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo
de software y protocolos, y como una herramienta didáctica. Cuenta con todas las
características estándar de un analizador de protocolos de forma únicamente hueca.
• La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica y
muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico
que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con
algunas otras) estableciendo la configuración en modo promiscuo. También incluye una
versión basada en texto llamada tshark.

3. ¿Qué es?
• Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se
puede analizar la información capturada, a través de los detalles y sumarios por cada
paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la
habilidad de mostrar el flujo reconstruido de una sesión de TCP.
• Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y
compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y Mac
OS X, así como en Microsoft Windows.

4. Algunas de las características de WireShark
son las siguientes:
• Permite obtener detalladamente la información del protocolo utilizado
• Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas.
• Filtra los paquetes que cumplan con un criterio definido previamente.
• Realiza la búsqueda de los paquetes que cumplan con un criterio definido previamente.
• Permite obtener estadísticas.

5. ASPECTOS MAS IMPORTANTES DE
WIRESHARCK
• Mantenido bajo la licencia GPL.
• Muy robusto, tanto en modo promiscuo como en modo no promiscuo.
• Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa).
• Basado en la librería pcap.
• Tiene una interfaz muy flexible.
• Gran capacidad de filtrado.
• Admite el formato estándar de archivos tcpdump.
• Reconstrucción de sesiones TCP
• Se ejecuta en más de 20 plataformas.
• Es compatible con más de 480 protocolos.
• Puede leer archivos de captura de más de 20 productos.
• Puede traducir protocolos TCP IP
• Genera TSM y SUX momentáneamente

6. SEGURIDAD
• Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan
permisos de ejecución especiales. Es por esta razón que Wireshark es ejecutado con
permisos de Superusuario. Tomando en cuenta la gran cantidad de analizadores de
protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el
riesgo de un error en el código del analizador podría poner en riesgo la seguridad del
sistema (como por ejemplo permitir la ejecución de código externo). Por ésta razón el
equipo de desarrolladores de OpenBSD decidió quitar Ethereal antes del lanzamiento de
la versión 3.6.1
• Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribución de
Wireshark en modo Superusuario, para capturar los paquetes desde la interfaz de red y
almacenarlos en el disco, para después analizarlos ejecutando Wireshark con menores
privilegios y leyendo el archivo con los paquetes para su posterior análisis.

7. Instalación en UNIX
Para iniciar la instalación debemos contar con las siguientes utilidades instaladas:
GTK+, GIMP Tool Kit y Glib (puede obtener en el siguiente site: www.gtk.org)
libpcap (puede obtener en el siguiente site: www.tcpdump.org)
Si es el caso de obtener los archivos fuentes los siguientes pasos describen el proceso para
descomprimir los archivos y generar el ejecutable:
1. Según la distribución de UNIX, se aplica el comando correspondiente para
descomprimir el archivo obtenido.
En versiones de UNIX con GNU tar
tar zxvf wireshark-1.0.0-tar.gz

8. En caso contrario se deberá ejecutar los siguientes comandos
gzip –d wireshark-1.0.0-tar.gz
tar xvf wireshark-1.0.0-tar
2.-Cambiar al directorio raíz de WireShark.
cd <ruta_directorio_wireshark>
3.-Configuración de los archivos fuentes con el objetivo de asegurar su buen funcionamiento
en la versión de UNIX correspondiente.
./configure

9. 4.-Para generar el archivo ejecutable se debe aplicar el siguiente comando.
make
5.-Finalmente para culminar la instalación de la aplicación se ejecuta el comando:
make install
• Otros métodos son aplicados para la instalación según las distribuciones de UNIX todos
estos disponibles en el siguiente link
http://www.wireshark.org/docs/wsug_html_chunked/ChBuildInstallUnixInstallBins.html,
particularmente para el caso de DEBIAN se aplica el siguiente comando para hacer uso
de la interfaz gráfica para APT:
aptitude install wireshark

10. MENU PRINCIPAL

11. BARRA DE HERRAMIENTAS
BARRA DE FILTRO

12. • PANEL DE PAQUETES
En este panel se despliega la lista de paquetes capturados. Cada línea corresponde a un
paquete capturado al seleccionar una de estas, ciertos detalles son desplegados en el resto
de los paneles.

13. • PANEL DE DETALLES
• PANEL DE BYTS
• BARRA DE ESTADO

14. ANALISIS DE TRAFICO