Administración de Redes

Introducción a Wireshark
1. ¿Qué es Wireshark?
Wireshark es un software conocido como sniffer (to snif significa “oler” en inglés). En términos senci-
llos, un sniffer se utiliza para detectar (no bloquear, ni modificar) las comunicaciones que pasan a
través de una interfaz de red. Wireshark, en particular, es capaz de identificar las frames Ethernet y
analizar su contenido, por eso, además de sniffer, es un analizador. Si bien existen muchas
aplicaciones que realizan esta tarea, Wireshark tiene la gracia de funcionar en muchos sistemas
operativos (en particular, Linux y Windows). Además, Wireshark es software libre, lo que, entre otras
cosas, permite usarlo gratuitamente.

2. Privilegios de ejecución
Dado que un sniffer es un software poderoso y que puede ser mal utilizado, los sistemas operativos
sólo permiten su ejecución a los usuarios que poseen privilegios de administrador o usuarios que ha-
yan sido explícitamente autorizados por un administrador. Es por esta razón que utilizaremos Wi-
reshark en una sesión especial llamada aredes, creada específicamente para este curso.

3. Iniciando la aplicación
Primero iniciaremos Wireshark: accede al menú Inicio, desde ahí a Programas y finalmente haz clic en
Wireshark. Aparecerá una ventana como la siguiente:

4. Preparando la aplicación
Si bien Wireshark ofrece innumerables opciones de configuración, tanto en términos funcionales
como de despliegue de la información, por ahora trabajaremos con las funcionalidad más básicas y la
interfaz por defecto.
El proceso de análisis de frames involucra dos pasos elementales. En primer lugar, se instruye a la
aplicación para que “escuche” la comunicación que ocurre en una de las interfaces de red del compu-
tador. En el caso particular de la sala Enlaces, los computadores tienen una sola interfaz de red. Luego
de capturar, empieza el análisis propiamente tal.
Wireshark puede analizar la mayoría de los protocolos existentes, en los 5 niveles del modelo TCP/IP.
Como aún no hemos estudiado las capas de nivel 3 hacia arriba, configuraremos Wireshark para que
sólo analice el protocolo Ethernet, a nivel 2.
En el menú Analyze, accede a la opción Enabled Protocols. En la ventana que aparece, deshabilita to-
dos los protocolos excepto Ethernet y luego presiona OK.

5. Capturando
Luego, accede a Capture>Options. Ajusta los parámetros según se muestra en la figura.

Finalmente, presiona Start. Wireshark iniciará la captura. Mientras esto sucede, accede a algunos sitios
web de tu preferencia. Es necesario hacer esto para generar tráfico a través de la intefaz de red y, por
tanto, permitir que Wireshark pueda capturar las frames Ethernet correspondientes.
Transcurrido aproximadamente un minuto, termina la captura en Capture>Stop. La ventana principal
de Wireshark aparece ahora dividida en 3 secciones. La sección superior es un listado de las frames, en
el mismo orden cronológico en que fueron capturados.
La columna No. es sencillamente un número correlativo que identifica las frames capturadas en esta
sesión por Wireshark, pero no es parte de la frame Ethernet. La columna Time indica, en segundos,
el momento en que fue capturada la frame desde que se dio inicio a la captura. Las columnas Source y
Destination indican la dirección MAC de las máquinas de origen y destino, respectivamente. La
columna protocol indica el EtherType de cada frame, en formato de octeto, en tanto la columna Info
interpreta tal octeto en forma textual.
La segunda sección es la que realiza el verdadero análisis de cada una de las frames. En ella se mues-
tran los detalles de la frame seleccionada en el listado superior:

Los triángulos indican que se puede expandir una línea para obtener más detalles sobre ella.
Finalmente, la tercera sección muestra el contenido de la frame en formato hexadecimal a la izquierda
y de carácteres a la derecha. Éste es el contenido que Wireshark analiza para poder generar las dos sec-
ciones superiores:

6. Preguntas
Tomando en cuenta lo realizado hasta ahora, analiza y responde las siguientes preguntas.
1. ¿Cuál es la frame más grande? ¿Cuál es su tamaño?
2. ¿Qué porcentaje utiliza el encabezado de la frame Ethernet de mayor tamaño?
3. ¿Cuál es la dirección MAC del computador que estás utilizando?
4. ¿Cómo puedes distinguir cuáles frames son las que salen por la interfaz de red y cuáles son las
que entran?
5. Averigua qué significa la dirección MAC ff:ff:ff:ff:ff:ff.
6. Confecciona un listado con todos los EtherTypes que aparezcan en las frames capturadas e
identifica a cuál protocolo de nivel 3 corresponde cada uno.
7. Usando las direcciones MAC, averigua cuál es el fabricante de la interfaz de red de este compu-
tador y de la intefaz del otro extremo de la conexión.
8. Aproximadamente, ¿cuántas frames por segundo pasan a través de la interfaz?
9. ¿Cuántos bytes corresponden al encabezado de un frame Ethernet?
10. Busca algún paquete que tenga un contenido legible (en inglés o español) en la sección de con-
tenido.
11. ¿Cuáles es la conversación (pares de nodos) que más se repite? Explora el menú Statistics para
buscar más fácilmente esta información. Indica las direcciones MAC y a qué nodos
corresponden.