Es uno de los más famosos analizadores de protocolos
(sniffer u olfateador) que corre bajo Windows y permite la captura del tráfico cursante en la red, siempre y cuando las condiciones y características de la red lo permitan.
Sus distintas versiones pueden ser descargadas en el
las interfaces que tiene el PC sobre el cual corre el Wireshark. Elegir la de interés. Si no aparecen interfaces listadas
En algunas distribuciones de Windows no salen listadas
las interfaces y esto por lo general se debe a que no está corriendo el servicio NPF (Netgroup Packet Filter).
- Primero se debe consultar el estado del servicio
corriendo el siguiente comando: sc qc npf - En caso encontrarse instalado entonces iniciarlo con el siguiente comando: sc start npf
Usualmente ésta solución es apropiada pero en caso de
no encontrarse el servicio instalado entonces probar instalando el Winpcap. Distribución de la pantalla
FILTROS
LISTADO DE FRAMES
CONTENIDO DEL FRAME SELECCIONADO
(LENGUAJE HUMANO)
CONTENIDO DEL FRAME SELECCIONADO
(LENGUAJE MÁQUINA) Zona Listado de Frames
Cada línea es un Frame de la tecnología capa 2
correspondiente. La zona muestra información general de cada frame como el id numérico de la captura, el tiempo transcurrido desde el inicio de la captura, Ips de origen y destino, protocolo, tamaño y una descripción. Zona Contenido del Frame en Lenguaje Humano
Muestra la información organizada y traducida a lenguaje
humano para un fácil entendimiento. Cada uno de los grupos de información, por lo general asociada con una capa del modelo, se puede desplegar para obtener más detalles. Zona Contenido del Frame en Lenguaje Máquina
Es la misma información de la diapositiva anterior pero en
lenguaje máquina. El primer bit del frame en salir de la tarjeta de red está en la parte superior izquierda. Se organizan en líneas y con espacios verticales solo por visualización ya que todos los bits son consecutivos al salir de la tarjeta de red. Uso de Filtros de Visualización (1 de 2) Los filtros se escriben en éste lugar:
Pueden ser filtros por protocolo como:
- icmp - tcp - udp - ftp - ftp-data - http - ssl Uso de Filtros de Visualización Pueden ser filtros por origen o destino: - Por IP de origen: ip.src == {IP de origen} - Por IP de destino: ip.dst == {IP de destino} - Por IP sea de origen o destino: ip.addt == {IP}
Si se desea filtrar por MAC se debe reemplazar ip por eth.
La lógica se puede negar usando != en lugar de == pero en algunos casos y de acuerdo a la necesidad se suele negar toda la expresión con !
La lógica de los filtros se puede combinar mediante el uso
de paréntesis y los operadores lógicos: - AND: && - OR: ||