1. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 1 -
UNIVERSIDAD DE LOS ANDES
FACULTAD DE INGENIERÍA
DEPARTAMENTO DE SISTEMAS Y
COMPUTACIÓN
INFRAESTRUCTURA DE
COMUNICACIONES
Profesor
Harold Castro
hcastro@uniandes.edu.co
TUTORIAL ANALIZADOR DE PROTOCOLOS “WIRESHARK”
1. OBJETIVO GENERAL
Aprender el funcionamiento básico de un analizador de protocolos, específicamente
Wireshark, y comprender los resultados generados por éste, obteniendo así un mayor
conocimiento sobre algunos protocolos usados comúnmente en una red.
2. LECTURAS PREVIAS
Familiarizarse con los siguientes temas:
o Analizador de protocolos
o Wireshark
3. ANALIZADOR DE PROTOCOLOS WIRESHARK
“Un analizador de protocolos es una herramienta que sirve para desarrollar y depurar
protocolos y aplicaciones de red. Permite al computador capturar diversas tramas de
red para analizarlas, ya sea en tiempo real o después de haberlas capturado. Por
analizar se entiende que el programa puede reconocer que la trama capturada
pertenece a un protocolo concreto (TCP, ICMP...) y muestra al usuario la información
decodificada. De esta forma, el usuario puede ver todo aquello que en un momento
concreto está circulando por la red que se está analizando.” [1]
Wireshark es un analizador de paquetes de red. Un analizador de paquetes de red
intenta capturar paquetes en la red e intenta visualizar los datos de esos paquetes tan
detalladamente como sea posible. Se puede pensar en un analizador de paquetes de
red como un dispositivo de medida usado para examinar que está pasando al interior
de un cable de red.
2. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 2 -
Wireshark tiene todas las características estándares que se pueden esperar en un
analizador de protocolos; su licencia es de código abierto y puede ser ejecutado sobre
plataformas como Unix, Linux y Windows.
4. INSTALACIÓN DE LA HERRAMIENTA WIRESHARK
Realizar la descarga de la última versión estable de Wireshark, versión 1.10.0, de la
página http://www.wireshark.org/download.html. Tener en cuenta las características de
hardware y software de la estación de trabajo sobre la que se va a ejecutar el
programa. Para el caso de este documento se muestra la instalación particular para
Windows de 64 bits.
Ejecutar el wizard de instalación. Hacer clic en “Next”. Luego seleccionar “I Agree” en
el acuerdo de licencia de uso.
Seleccionar todos los componentes a instalar. Luego seleccionar la asociación de las
extensiones mencionadas a la aplicación.
Aceptar la carpeta de instalación por defecto. Para el funcionamiento de Wireshark es
necesaria la instalación de la librería WinPcap. Debido a esto, seleccionar su
instalación si no está previamente instalado o si está instalada una versión anterior a la
sugerida por el instalador.
3. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 3 -
Se inicia la instalación de algunos de los componentes de Wireshark y luego se
muestra el wizard de instalación de la versión 4.1.3 de WinPcap.
Aceptar las condiciones de la licencia de uso de WinPcap.
Seleccionar la opción de iniciar automáticamente el driver de WinPcap al iniciar el
sistema.
4. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 4 -
Cerrar la ventana de instalación e iniciar la aplicación.
5. USO BÁSICO DE WIRESHARK
Una vez se ejecuta el programa Wireshark, se verá una ventana como la siguiente:
5. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 5 -
Para iniciar una captura, seleccionar la opción “Capture Options”, bajo el menú
“Capture”. También se puede acceder a esta opción a través del segundo ícono del
menú, “Show the capture options”.
En la ventana que aparece, realizar las siguientes acciones:
Seleccione la tarjeta de red a usar para capturar los paquetes.
Seleccione la opción para capturar paquetes en modo promiscuo.
Verifique que no haya ningún filtro, en “Capture Filter”.
Remueva las selecciones en “Display Options”
Verifique que las opciones seleccionadas en “Name Resolution” involucren las
direcciones MAC, las direcciones de capa de red y las direcciones de capa de
transporte.
Deseleccionar la opción “Use pcap-ng format”.
6. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 6 -
Al hacer click en “Start”, se podrá ver una ventana que muestra el número de paquetes
capturados, con sus respectivos protocolos.
Para terminar la captura de paquetes, hacer click en “Stop”. Después de esto se podrá
observar una ventana de resultados.
El filtrado de tráfico permite desplegar sólo aquellos paquetes de interés para el
usuario. Para hacer esto, se usa la barra “Filter”. Se puede escribir directamente sobre
ella la condición sobre los paquetes que debe ser cumplida, o se puede usar la
ventana asociada al botón "Expression…". Ahí se selecciona el nombre del campo, y
su relación con un valor.
A continuación se muestra el filtro de paquetes que poseen el puerto 80 TCP como
origen o como destino. Para que un filtro tenga efecto, se debe hacer click en “Apply”.
Si se desea nuevamente mostrar todos los paquetes, se debe hacer click en “Clear”.
7. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 7 -
Para el caso particular del protocolo TCP, la información de cada captura es mostrada
en cuatro partes: “Frame”, “Ethernet”, “Internet Protocol”, y “Transmission Control
Protocol”.
8. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 8 -
Wireshark posee un completo conjunto de herramientas que permiten obtener
estadísticas. Éstas incluyen resúmenes, gráficas, jerarquías de protocolos,
conversaciones, etc. Se accede a la mayoría de ellas a través del menú “Statistics”.
La siguiente figura muestra la opción “Summary”. En ella se muestran datos de tráfico
capturado y mostrado (si ha sido aplicado algún filtro).
9. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 9 -
La siguiente gráfica muestra la opción “Statistics→IO Graphs”, donde se han
seleccionado los parámetros de tráfico TCP y tráfico IP.
Las siguientes gráficas se refieren a la configuración de la opción “Flow Graph” y a la
muestra de resultados del mismo. Esto muestra el flujo de mensajes entre uno o más
sistemas finales, en su orden cronológico.
10. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 10 -
Las siguientes gráficas muestran el uso de la opción “Statistics→Endpoints”. En ellas
se puede observar información referente a cada uno de los endpoints en el caso de los
11. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 11 -
protocolos TCP y UDP.
6. BIBLIOGRAFÍA
[1] “Analizador de protocolos”. http://es.wikipedia.org/wiki/Analizador_de_protocolos.
Revisado el 25 de Julio de 2013.
[2] “Documentación de Wireshark”. http://www.wireshark.org/docs/. Revisado el 25 de
Julio de 2013.
12. Universidad de los Andes – Ingeniería de Sistemas y Computación – Infraestructura de Comunicaciones - 12 -
HISTORIAL DE REVISIONES
Fecha Autor Observaciones
¿?/06/2012 Eliana Bohórquez
ea.bohorquez31@uniandes.edu.co
Versión inicial del
documento
21/01/2013 Rodolfo Cáliz
ra.caliz70@uniandes.edu.co
Correcciones menores de
estilo.
Actualización de la
documentación para la
versión de Wireshark 1.8.4
25/07/2013 Rodolfo Cáliz
ra.caliz70@uniandes.edu.co
Correcciones menores de
estilo.
Actualización de la
documentación para la
versión de Wireshark
1.10.0