1. 1. ING. SISTEMAS COMPUTACIONALES M.C. FRANCISCO VAZQUEZ GUZMAN INTEGRANTES JUAREZ ROJAS HEIDI ROMERO GARCIA DULCE ROSARIO WIRESHARK
2. 2. Qu es? Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para realizar anlisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didctica. Cuenta con todas las caractersticas estndar de un analizador de protocolos de forma nicamente hueca. La funcionalidad que provee es similar a la de tcpdump, pero aade una interfaz grfica y muchas opciones de organizacin y filtrado de informacin. As, permite ver todo el trfico que pasa a travs de una red (usualmente una red Ethernet, aunque es compatible con algunas otras) estableciendo la configuracin en modo promiscuo. Tambin incluye una versin basada en texto llamada tshark.
3. 3. Qu es? Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la informacin capturada, a travs de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la habilidad de mostrar el flujo reconstruido de una sesin de TCP. Wireshark es software libre, y se ejecuta sobre la mayora de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y Mac OS X, as como en Microsoft Windows.
4. 4. Algunas de las caractersticas de WireShark son las siguientes: Permite obtener detalladamente la informacin del protocolo utilizado Cuenta con la capacidad de importar/exportar los paquetes capturados desde/hacia otros programas. Filtra los paquetes que cumplan con un criterio definido previamente. Realiza la bsqueda de los paquetes que cumplan con un criterio definido previamente. Permite obtener estadsticas.
5. 5. ASPECTOS MAS IMPORTANTES DE WIRESHARCK Mantenido bajo la licencia GPL. Muy robusto, tanto en modo promiscuo como en modo no promiscuo. Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura previa). Basado en la librera pcap. Tiene una interfaz muy flexible. Gran capacidad de filtrado. Admite el formato estndar de archivos tcpdump. Reconstruccin de sesiones TCP Se ejecuta en ms de 20 plataformas. Es compatible con ms de 480 protocolos. Puede leer archivos de captura de ms de 20 productos. Puede traducir protocolos TCP IP Genera TSM y SUX momentneamente
6. 6. SEGURIDAD Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecucin especiales. Es por esta razn que Wireshark es ejecutado con permisos de Superusuario. Tomando en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el cdigo del analizador podra poner en riesgo la seguridad del sistema (como por ejemplo permitir la ejecucin de cdigo externo). Por sta razn el equipo de desarrolladores de OpenBSD decidi quitar Ethereal antes del lanzamiento de la versin 3.6.1 Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribucin de Wireshark en modo Superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos en el disco, para despus analizarlos ejecutando Wireshark con menores privilegios y leyendo el archivo con los paquetes para su posterior anlisis.
7. 7. Instalacin en UNIX Para iniciar la instalacin debemos contar con las siguientes utilidades instaladas: GTK+, GIMP Tool Kit y Glib (puede obtener en el siguiente site: www.gtk.org) libpcap (puede obtener en el siguiente site: www.tcpdump.org) Si es el caso de obtener los archivos fuentes los siguientes pasos describen el proceso para descomprimir los archivos y generar el ejecutable: 1. Segn la distribucin de UNIX, se aplica el comando correspondiente para descomprimir el archivo obtenido. En versiones de UNIX con GNU tar tar zxvf wireshark-1.0.0-tar.gz
8. 8. En caso contrario se deber ejecutar los siguientes comandos gzip d wireshark-1.0.0-tar.gz tar xvf wireshark-1.0.0-tar 2.-Cambiar al directorio raz de WireShark. cd 3.-Configuracin de los archivos fuentes con el objetivo de asegurar su buen funcionamiento en la versin de UNIX correspondiente. ./configure
9. 9. 4.-Para generar el archivo ejecutable se debe aplicar el siguiente comando. make 5.-Finalmente para culminar la instalacin de la aplicacin se ejecuta el comando: make install Otros mtodos son aplicados para la instalacin segn las distribuciones de UNIX todos estos disponibles en el siguiente link http://www.wireshark.org/docs/wsug_html_chunked/ChBuildInstallUnixInstallBins.html, particularmente para el caso de DEBIAN se aplica el siguiente comando para hacer uso de la interfaz grfica para APT: aptitude install wireshark
10. 10. MENU PRINCIPAL
11. 11. BARRA DE HERRAMIENTAS BARRA DE FILTRO
12. 12. PANEL DE PAQUETES En este panel se despliega la lista de paquetes capturados. Cada lnea corresponde a un paquete capturado al seleccionar una de estas, ciertos detalles son desplegados en el resto de los paneles.
13. 13. PANEL DE DETALLES PANEL DE BYTS BARRA DE ESTADO
14. 14. ANALISIS DE TRAFICO