Uso básico de Wireshark (Parte 1: Elementos del programa)

  Wireshark, antes conocido como Ethereal, es un analizador de protocolos multiplataforma (se puede usar en la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows) y de software libre utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador de protocolos de forma únicamente hueca.
  Este programa, permite ver todo el tráfico que pasa a través de una red [usualmente una red cableada ("ethernet", en inglés), aunque es compatible con algunas otras] estableciendo la configuración en modo promiscuo.
  Además, permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que el usuario quiere ver y la habilidad de mostrar el flujo reconstruido de una sesión de TCP.
  Como para capturar paquetes directamente de la interfaz de red, generalmente se necesitan permisos de ejecución especiales, Wireshark es ejecutado con permisos de administrador. Teniendo en cuenta la gran cantidad de analizadores de protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el riesgo de un error en el código del analizador podría poner en riesgo la seguridad del sistema (como por ejemplo permitir la ejecución de código externo).
  Los usos más típicos (aunque hay más) que un usuario informático le puede dar a Wireshark son:
  • Solucionar problemas de red.
  • Examinar los problemas de seguridad.
  • Depurar implementaciones del protocolo.
  • Aprender partes internas del protocolo de red.
Se puede instalar este programa descargando el instalador de su  sitio web oficial  y ejecutándolo (si es para Windows o Mac OS), o bien desde los repositorios de paquetes (si se trata de un sistema operativo Unix).
  Una vez instalado, se puede ejecutar el programa (varía según el sistema operativo), y aparecerá una pantalla de bienvenida con una lista de interfaces de red disponibles en el equipo.
Imagen de comofriki
  Para poder empezar a capturar paquetes, sólo hay que pulsar dos veces seguidas sobre la interfaz que se desea examinar (mejor si se ven cambios en su flujo de red, es decir, si la línea que tiene al lado presenta ondulaciones). Si no se aplica ningún filtro específico antes de activar la captura de paquetes (se escribiría en el recuadro que hay encima de la lista de interfaces), capturará todos los paquetes existentes en la interfaz elegida. Esta acción cierra la pantalla de bienvenida y abre la del propio programa donde se pueden ver el menú y la barra de herramientas con las herramientas de uso más habitual en el programa, así como las zonas de datos de los paquetes capturados.

COMPONENTES DEL PROGRAMA

  En la pantalla de bienvenida pueden verse todos los componentes de Wireshark.
Imagen de Equipo 1 SyM
  •   Barra de menús: Una barra clásica en la mayoría de los programas informáticos, donde se pueden desplegar los diferentes menús con las opciones que tiene este programa. Dichas opciones pueden variar según la versión del mismo.
  •   Barra de herramientas: Este es uno de los componentes de la interfaz, muy típico también en la mayoría de los programas informáticos, del que más uso se hace durante una captura de paquetes, debido a que proporciona un acceso rápido a las funciones más comúnmente usadas. Sin embargo, sus iconos no se parecen a los usados en otras aplicaciones y se habilitan o deshabilitan durante la operación del programa. Sus opciones pueden variar según la verisón del programa.
  •   Barra de filtros: Donde se pueden utilizar los filtros para las capturas. Esto puede hacerse en la pantalla de inicio, o cuando el programa está ya trabajando.
  •  Área de datos: Durante la pantalla de bienvenida, es donde se ven la lista de interfaces de red y el recuadro para la aplicación de filtros. Cuando el programa está realmente funcionando, se divide en tres paneles: uno con los paquetes capturados, otro donde se ven los detalles de un paquete seleccionado del panel anterior, y el último con los paquetes codificados en bytes (debido a su complejidad, este elemento se explicará con más detenimiento en la próxima entrada sobre este tema).
  •   Barra de estado: Despliega información sobre la captura actual mostrando: El nombre del archivo actual, la cantidad de paquetes capturados, la cantidad de paquetes mostrados, el tiempo, y el perfil de configuración.

BARRA DE MENÚS

    Como sucede con casi todos los programas informáticos, lo primero que muestra Wireshark (arriba de todo) es su barra de menús, que por defecto está en inglés.
 
Imagen de Manual Wireshark en español
  En primer lugar, de izquierda a derecha, como en la mayoría de los programas informáticos, se encuentra el menú "Archivo" ("File", en inglés), que consta de los siguientes elementos:
  1.   Abrir ("Open", en inglés): Abre la ventana de "Abrir archivo...", que permite cargar un archivo de captura para su visualización.
  2.   Abrir reciente ("Open Recent", en inglés): Muestra un submenú que contiene los archivos de captura abiertos recientemente.
  3.   Combinar ("Merge", en inglés): Abre la ventana de archivo de combinación que le permite combinar un archivo de captura a la carga en la actualidad.
  4.   Importar ("Import", en inglés): Abre la ventana de importación de archivos que permite importar un archivo de texto en una nueva captura temporal.
  5.   Cerrar ("Close", en inglés): Cierra la toma de corriente. Si no se ha guardado la captura, se pedirá al usuario que lo haga primero (esto puede ser desactivado mediante la configuración de "Preferencias").
  6.   Guardar ("Save", en inglés): Guarda la captura actual. Si no se ha configurado un nombre de archivo de captura por defecto (tal vez con la opción-w <capfile>), Wireshark hace aparecer la ventana "Guardar como..." para el archivo de captura.
  7.   Guardar como... ("Save as...", en inglés):  Permite guardar el archivo de captura actual a cualquier archivo que se desee.
  8.   Lista de archivos ("File Set", en inglés): Permite mostrar una lista de archivos en un conjunto de archivos.
  9.   Exportar paquetes específicos ("Export Specified Packets", en inglés): Permite exportar todos (o algunos) de los paquetes del archivo de captura en un archivo.
  10.    Exportar pedazos de paquetes ("Export Packet Dissections", en inglés): Permite exportar datos concretos de un paquete en el archivo de captura en un archivo.
  11.   Exportar bytes de paquete seleccionado ("Export Selected Packet Bytes", en inglés): Permite exportar los bytes seleccionados actualmente en el panel de bytes del área de datos en un archivo binario.
  12.   Exportar claves de sesión SSL ("Export SSL Session Keys", en inglés): Permite exportar las claves de sesión SSL seleccionadas actualmente en un archivo.
  13.   Exportar objetos ("Export Objects", en inglés): Permite exportar todos o algunos de los objetos de cierto tipo concreto capturados en archivos locales. Los tipos de objetos soportados son: HTTP, DICOM, y SMB.
  14.   Imprimir ("Print", en inglés): Permite imprimir todos (o algunos) de los paquetes en el archivo de captura.
  15.   Salir ("Quit", en inglés): Permite salir del programa. Wireshark pedirá al usuario que guarde el archivo de captura si no se ha guardado anteriormente (esto puede desactivarse mediante un ajuste en "Preferencias").
Imagen de Manual Wireshark en español
  El segundo menú que aparece es el de "Editar" ("Edit", en inglés), que se compone de:
  1.   Copiar ("Copy", en inglés): Copia un elemento seleccionado en el portapapeles. Sus opciones de copia son: "Descripción", "Nombre del campo", "Valor", y "Como filtro" (crea un filtro de pantalla).
  2.   Buscar paquete ("Find Packet", en inglés): Permite buscar un paquete mediante muchos criterios.
  3.   Buscar siguiente ("Find next", en ingles): Intenta encontrar el siguiente paquete seleccionado según la configuración de "Buscar Paquete".
  4.   Buscar anterior ("Find Previous", en inglés): Intenta encontrar el paquete anterior que coincida con los ajustes de "Buscar paquete".
  5.   Marcar paquete (conmutar) ["Mark Packet (toggle)", en inglés"]: Cambia el estado marcado de un solo paquete.
  6.   Marcar todos los paquetes mostrados ("Mark All Displayed Packets", en inglés): Establece el estado de "marcado" en todos los paquetes.
  7.   Desmarcar todos los paquetes mostrados ("Unmark All Displayed Packets", en inglés): Restablece su estado anterior a todos los paquetes.
  8.   Encontrar siguiente marca ("Find Next Mark", en inglés): Buscar el siguiente paquete marcado.
  9.   Encontrar marca anterior ("Find Previous Mark", en inglés): Buscar el paquete marcado anterior.
  10.   Ignorar paquete (conmutación) ["Ignore Packet (toggle)", en inglés]: Se muestra el paquete seleccionado como ignorado.
  11.   Ignorar todos los paquetes mostrados (conmutación) ["Ignore All Displayed Packets (toggle)", en inglés]: Marca todos los paquetes que se muestran como ignorados.
  12.   No ignorar todos los paquetes ("Un-Ignore All Packets", en inglés): Quita la marca de todos los paquetes ignorados.
  13.   Establecer referencia temporal (conmutación) ["Set Time Reference", en inglés]: Establece una referencia de tiempo en el paquete seleccionado.
  14.   Quitar referencia temporal de todos los paquetes ("Un-Time Reference All Packets", en inglés): Elimina todas las referencias de tiempo de los paquetes.
  15.   Buscar siguiente referencia temporal ("Find Next Time Reference", en inglés): Trata de encontrar la siguiente referencia de tiempo en los paquetes.
  16.   Buscar referencia temporal anterior ("Find Previous Time Reference", en inglés): Trata de encontrar la  referencia de tiempo anterior en los paquetes.
  17.   Perfiles de configuración ("Configuration Profiles", en inglés): Abre una ventana para el manejo de perfiles de configuración. Se puede utilizar para configurar y utilizar más de un conjunto de preferencias y configuraciones.
  18.   Preferencias ("Preferences", en inglés): Se trata de los ajustes del programa que se le permite hacer al usuario.
Imagen de Manual Wireshark en español
  El menú "Ver" ("View", en inglés) es el tercero que aparece en esta barra. Este menú tiene los siguientes elementos, la mayoría de los cuales se pueden marcar y desmarcar:
  1.   Barra principal de herramientas ("Main Toolbar", en inglés): Muestra u oculta la barra de herramientas principal; esta opción está marcada predeterminadamente.
  2.   Barra de filtros ("Filter Toolbar", en inglés): Oculta o muestra la barra de filtros; esta opción está marcada predeterminadamente.
  3.   Barra de herramientas inalámbricas ("Wireless Toolbar", en inglés): Oculta o muestra la barra de herramientas inalámbricas.
  4.   Barra de estado ("Statusbar", en inglés): Oculta o muestra la barra de estado; esta opción está marcada predeterminadamente.
  5.   Lista de paquetes ("Packet List", en inglés):  Oculta o muestra el panel de la lista de paquetes en el área de datos; esta opción está marcada predeterminadamente.
  6.   Detalles del paquete ("Packet Details"; en inglés): Oculta o muestra el panel de detalles de paquetes en el área de datos; esta opción está marcada predeterminadamente.
  7.   Bytes del paquete ("Packet Bytes", en inglés): Oculta o muestra el panel de bytes de paquetes en el área de datos; esta opción está marcada predeterminadamente.
  8.   Formato de tiempo mostrado ("Time Display Format", en inglés): Cambia el modo en el que se ven las marcas de tiempo de los paquetes.
  9.   Resolución de nombres ("Name Resolution", en inglés): Activar la resolución de un nombre del paquete seleccionado. La resolución de nombres intenta convertir algunos de los valores de las direcciones numéricas en un formato legible para las personas.
  10.   Colorear la lista de paquetes ("Colorize Packet List", en inglés): Permite controlar si este programa debe colorear la lista de paquetes; esta opción está marcada predeterminadamente.
  11.   Desplazamiento automático durante la captura ("Auto Scroll in Live Capture", en inglés): Permite especificar que Wireshark debe desplazar el panel de lista de paquetes cuando entran los nuevos paquetes, por lo que siempre se está buscando en el último paquete. Si no se especifica esto, el programa simplemente añade nuevos paquetes en el extremo de la lista, pero no se desplaza el panel de la lista de paquetes capturados.
  12.   Acercarse ("Zoom In", en inglés): Aumenta el tamaño de la fuente de los paquetes.
  13.   Alejarse ("Zoom Out", en inglés):  Reduce el tamaño de la fuente en los paquetes.
  14.   Tamaño normal ("Normal Size", en inglés): Ajusta el tamaño de la fuente de los paquetes a su tamaño predeterminado.
  15.   Cambiar el tamaño a todas las columnas ("Resize All Columns", en inglés):  Cambia el tamaño de todos los anchos de las columnas para que el contenido se ajuste a ella.
  16.   Columnas mostradas ("Displayed Columns", en inglés): Muestra u oculta las columnas del panel de paquetes capturados.
  17.   Expandir subárboles ("Expand Subtrees", en inglés): Permite al usuario observar la información que contiene un árbol del panel de detalles del paquete mediante el despliegue del mismo.
  18.   Expandir todo ("Expand All", en inglés): Expande todas las ramas de los detalles del paquete.
  19.   Contraer todo ("Collapse All"): Contrae todas las ramas de los detalles del paquete.
  20.   Colorear conversación ("Colorize Conversation", en inglés): Permite dar color a los paquetes en el panel de la lista de paquetes basados ​​en las direcciones del paquete seleccionado. Esto hace que sea fácil de distinguir los paquetes que pertenecen a diferentes conversaciones.
  21.   Reiniciar coloreado 1-10 ("Reset Coloring 1-10", en inglés): Reinicia los colores de las conversaciones.
  22.   Reglas de coloreado ("Coloring Rules", en inglés): Permite colorear los paquetes del panel de lista de paquetes de acuerdo a las expresiones de filtro escogidos por el usuario. Puede ser muy útil para detectar ciertos tipos de paquetes.
  23.   Mostrar paquete en nueva ventana ("Show Packet in New Window", en inglés): Abre el paquete seleccionado en una ventana separada, que sólo muestra la vista de árbol y el panel de paquetes codificados en bytes.
  24.   Recargar ("Reload", en inglés): Actualiza un archivo de captura.
  El menú "Ir" ("Go", en inglés), que es el cuarto, permite desplazarse al usuario por los diferentes paquetes. Se compone de los siguientes elementos:

Imagen de Manual Wireshark en español
  1.    Atrás ("Back", en inglés): Salta al paquete recientemente visitado en el historial de paquetes.
  2.    Adelante ("Forward", en inglés): Salta al siguiente paquete recientemente visitado en el historial de paquetes.
  3.   Ir al paquete ("Go to Packet", en inglés): Se salta a un paquete determinado por su número.
  4.   Ir al paquete correspondiente ("Go to Corresponding Packet", en inglés): Se va al paquete correspondiente del campo de protocolo seleccionado actualmente. Si el campo seleccionado no se corresponde con un paquete, este elemento aparece desactivado.
  5.   Paquete anterior ("Previous Packet", en inglés): Va al paquete anterior en la lista. Esto se puede utilizar para moverse al paquete anterior, incluso si la lista de paquetes no tiene el foco del teclado.
  6.   Paquete siguiente ("Next Packet", en inglés): Pasa al siguiente paquete de la lista. Esto se puede utilizar para moverse al paquete siguiente, incluso si la lista de paquetes no tiene el foco del teclado.
  7.   Primer paquete ("First Packet", en inglés): Va al primer paquete del archivo de captura.
  8.   Último paquete ("Last Packet", en inglés): Va al último paquete del archivo de captura.
  9.   Paquete anterior de la conversación ("Previous Packet in Conversation", en inglés): Va al paquete anterior en la conversación actual. Esto se puede utilizar para moverse al paquete anterior, incluso si la lista de paquetes no tiene el foco del teclado.
  10.   Siguiente paquete de la conversación ("Next Packet in Conversation", en inglés): Va al siguiente paquete en la conversación actual. Esto se puede utilizar para moverse al paquete siguiente, incluso si la lista de paquetes no tiene el foco del teclado.
  El quinto menú es el de "Captura" ("Capture", en inglés), y tiene los siguientes elementos:
  1.   Interfaces: Muestra lo que está pasando en las interfaces de red que Wireshark conoce.
  2.   Opciones ("Options", en inglés): Muestra las opciones de configuración para una interfaz de red para especificar el nombre de archivo y su ubicación. Si esto no se hace, se creará un archivo temporal para celebrar la captura situado en el directorio por defecto del programa ("/tmp", normalmente).
  3.   Iniciar ("Start", en inglés): Wireshark comienza a capturar paquetes.
  4.   Detener ("Stop", en inglés): Wireshark deja de capturar paquetes.
  5.   Reiniciar ("Restart", en inglés): Se detiene la captura que se está ejecutando y se inicia de nuevo con las mismas opciones.
  6.   Filtros de captura ("Capture Filters", en inglés): Permite crear y editar los filtros de captura. Es posible nombrar los filtros y guardarlos para su uso futuro.
Imagen de Manual Wireshark en español
  El sexto menú es el de "Análisis" ("Analize", en inglés), y se compone de:
  1.   Filtros de visualización ("Display Filters", en inglés): Permite crear y editar filtros de visualización. Se puede nombrar a los filtros y guardarlos para su uso futuro.
  2.   Macros de filtros de visualización ("Display Filter Macros", en inglés): Permite crear y editar macros de filtro de visualización. Permite nombrar a macros de filtro y guardarlos para su uso futuro.
  3.  Aplicar como columna ("Apply as Column", en inglés): Agrega el elemento protocolo seleccionado en el panel de detalles de paquetes como una columna de la lista de paquetes.
  4.   Aplicar como filtro ("Apply as Filter", en inglés): Cambia el filtro de visualización actual y aplica el filtro cambiado inmediatamente. Dependiendo de la opción elegida, la cadena actual del filtro de presentación será reemplazado o añadido por el campo de protocolo seleccionado en el panel de detalles de paquetes.
  5.   Preparar un filtro ("Prepare a Filter", en inglés): Cambia el filtro de presentación actual, pero no se aplica el filtro cambiado. Dependiendo de la opción elegida, la cadena actual filtro de presentación será reemplazado o añadido por el campo de protocolo seleccionado en el panel de detalles de paquetes.
  6.   Habilitar protocolos ("Enabled Protocols", en inglés): Permite al usuario estudiar qué protocolo determinado está activado o desactivado, o bien activar o desactivar un protocolo. Esta opción está marcada predeterminadamente.
  7.   Descodificar como ("Decode As", en inglés): Permite al usuario forzar Wireshark para decodificar ciertos paquetes como un protocolo particular. Permite desviar temporalmente sectores divididos de un protocolo específico.
  8.   Códigos específicos del usuario ("User Speficied Decodes", en inglés): Permite al usuario forzar este programa para decodificar ciertos paquetes como un protocolo particular. En este caso se muestra al usuario activo especificado. Estas entradas se pueden guardar en el perfil actual para la siguiente sesión.
  9.   Sigue la corriente TCP ("Follow TCP Stream", en inglés): Muestra todos los segmentos TCP que son capturados en la misma conexión TCP como un paquete seleccionado en una ventana nueva.
  10.  Sigue la corriente UDP ("Follow UDP Stream", en inglés): Muestra todos los segmentos UDP que son capturados en la misma conexión UDP como un paquete seleccionado en una ventana nueva.
  11.  Sigue la corriente SSL ("Follow SSL Stream", en inglés): Muestra todos los segmentos SSL que son capturados en la misma conexión SSL como un paquete seleccionado en una ventana nueva.
  12.   Información para expertos ("Expert Info", en inglés): Muestra algunas informaciones para expertos acerca de los paquetes capturados, especialmente anomalías. La cantidad de información dependerá del protocolo y varía desde muy detallada a inexistente.
  13.   Filtro de conversación ("Conversation Filter", en inglés): Filtro de conversación para varios protocolos.
Imagen de Manual Wireshark en español

  El séptimo menú, el de "Estadísticas" ("Statistics", en inglés), permite al usuario mostrar información resumida acerca de la captura, y se compone de los siguientes elementos:
  1.  Resumen ("Summary", en inglés): Muestra información esquematizada sobre los datos capturados.
  2.  Jerarquía de protocolos ("Protocol Hierarchy", en inglés): Muestra un árbol jerárquico de las estadísticas del protocolo.
  3.   Conversaciones ("Conversations", en inglés): Muestra una lista de conversaciones (tráfico entre dos puntos finales).
  4.    Puntos finales ("Endpoints", en inglés):  Muestra una lista de puntos finales (el tráfico hacia/desde una dirección). Un punto final de red es el punto final lógico de tráfico de protocolo separado de una capa de protocolo específico.
  5.   Longitudes de paquete ("Packet Lenghts", en inglés):  Permite al usuario agrupar cargos de longitud de paquete (0 a 19 bytes, los bytes de 20 a 30).
  6.   Gráfico OI ("IO Graph", en inglés): Ve gráficas específicadas por el usuario.
  7.    Lista de conversaciones ("Conversation List", en inglés): Muestra una lista de conversaciones entre los dos extremos.
  8.   Lista de puntos finales ("Endpoint List", en inglés): Muestra una lista de puntos finales entre los dos extremos.
  9.   Servicio de tiempo de respuesta ("Service Response Time", en inglés): Muestra el tiempo transcurrido entre la solicitud y la respuesta correspondiente.
  10.   ANCP: Muestra los paquetes con el protocolo ANCP.
  11.   BACnet: Muestra los paquetes relacionados con el protocolo BACnet.
  12.   BOOTP-DHCP: Muestra los paquetes de DHCP.
  13.   Coleccionar ("Collectd", en inglés): Muestra estadísticas de paquetes según el filtro indicado por el usuario.
  14.    Comparar ("Compare", en inglés): Compara dos archivos de captura.
  15.    Gráfico de flujo ("Flow Graph", en inglés): Muestra el gráfico de flujo general/TCP.
  16.    HART-IP: Muestra estadísticas sobre los paquetes con el protocolo HART-IP.
  17.    HTTP: Muestra estadísticas sobre los paquetes con el protocolo HTTP.
  18.    Direcciones IP ("IP Adresses", en inglés)Muestra estadísticas sobre los paquetes según su dirección IP.
  19.   Destinos IP ("IP Destinations", en inglés): Muestra estadísticas sobre los paquetes según su dirección IP/protocolo/puerto.
  20.    Tipos de protocolo IP ("IP Protocol Types", en inglés): Muestra estadísticas sobre los paquetes según su tipo de protocolo IP.
  21.    Programas ONC-RPC ("ONC-RPC Programs", en inglés): Muestra estadísticas agregadas RTT de todos los programas ONC-RPC/versiones del archivo de captura.
  22.   Sametime: Muestra estadísticas sobre los paquetes con el protocolo Sametime.
  23.   Gráfico de corriente TCP ("TCP StreamGraph", en inglés): Muestra un gráfico de la corriente TCP de la captura.
  24.   Corrientes múltiples UDP ("UDP Multicast Streams", en inglés): Muestra estadísticas sobre los paquetes con el protocolo UDP y corrientes múltiples.
  25.   Tráfico inalámbrico ("WLAN Traffic", en inglés): Estadísticas de tráfico inalámbrico capturado.
Imagen de Manual Wireshark en español
  El siguiente menú es el de "Telefonía" ("Telephony", en inglés). Proporciona una amplia gama de estadísticas de la red relacionadas con la telefonía que abarcan desde protocolos de señalización específicos, el análisis de los flujos de señalización y medios de comunicación. Si está codificado en una codificación compatible con el flujo de los medios de comunicación, incluso se puede reproducir. Sus secciones son:
  1.   ANSI: Muestra estadísticas de paquetes de datos con el protocolo ANSI.
  2.   GSM: Muestra estadísticas de paquetes de datos con el protocolo GSM.
  3.   H.255: Muestra estadísticas de paquetes de datos con el protocolo H.255 (un protocolo de señalización y paquetización de trenes de medios para sistemas de comunicación multimedios por paquetes).
  4.   IAX2: Muestra estadísticas de paquetes de datos con el protocolo IAX2.
  5.   Mensajes ISUP ("ISUP Messages", en inglés): Muestra estadísticas de paquetes de datos con el protocolo ISUP.
  6.   LTE: Resume el tráfico LTE que se encuentra en la captura.
  7.   MTP3: Muestra estadísticas de paquetes de datos con el protocolo MTP3.
  8.   RTP: Toma el flujo RTP seleccionado (y la corriente inversa, si es posible) y genera una lista de estadísticas sobre el mismo.
  9.   SCTP: Muestra estadísticas de paquetes de datos con el protocolo SCTP.
  10.   SIP: Muestra estadísticas de paquetes de datos con el protocolo SIP, o bien gráficos de flujo de llamadas de dicho protocolo.
  11.   Operaciones SMPP (SMPP Operations", en inglés): Disecciona la mayoría de los campos específicos de los paquetes con el protocolo SMPP.
  12.   Mensajes UCP ("UCP Messages", en inglés): Muestra estadísticas de paquetes de datos con el protocolo UCP.
  13.   Llamadas VoIP ("VoIP Calls", en inglés): Muestra una lista de todas las llamadas VoIP detectadas en el tráfico capturado. Se encuentra a las llamadas por su señalización.
  14.    WAP-WSP: Muestra estadísticas de paquetes de datos con los protocolos WAP y WSP. 
Imagen de Manual Wireshark en español

  El noveno menú es el de "Herramientas" ("Tools", en inglés), que posee los siguientes elementos:
  1.    Reglas de cortafuegos ACL ("Firewall ACL Rules", en inglés): Permite crear reglas de ACL de línea de comandos para muchos productos diferentes, incluyendo Firewall Cisco IOS, Netfilter de Linux ("iptables"), OpenBSD pf y el cortafuegos de Windows (a través de "netsh"). Se admiten reglas para las direcciones MAC, direcciones IPv4, TCP y UDP, y combinaciones de IPv4 + puerto.
  2.   Lua: Permite trabajar con el intérprete Lua (lenguaje de programación) opcionalmente en Wireshark para escribir disectores y grifos. Esta opción ha sido eliminada de las versiones más actuales de Wireshark, pero todavía persiste en otras más antiguas.
Imagen de Manual Wireshark en español
  El décimo menú, que ha desaparecido como tal  en versiones más recientes de este programa (se encuentra en el menú "Ver"), pero aún persiste en versiones más antiguas pero que aún se pueden utilizar, es el de "Internos" ("Internals", en inglés). Posee dos partes:
  1.    Tablas disector ("Dissector Tables", en inglés): muestra las tablas con relaciones "subdissector".
  2.   Protocolos soportados (¡lento!) ["Supported Protocols (slow!)", en inglés]: Muestra los protocolos soportados y los campos de protocolo.
  El menú "Inalámbrico" ("Wireless", en inglés) es el que ha sustituído al anterior en las versiones más actuales de Wireshark, y tiene varias secciones:
  1.   Atributos de servidor ATT bluetooth ("Bluetooth ATT Server Atributes", en inglés): Muestra estadísticas de paquetes de datos capturados con un servidor ATT bluetooth.
  2.  Dispositivos Bluetooth ("Bluetooth Devices", en inglés): Muestra los dispotivios bluetooth existentes en la red analizada y sus paquetes de datos.
  3.   Resumen del bluetooth HCI ("Bluetooth HCI Summary", en inglés): Muestra estadísticas de paquetes de datos capturados con bluetooth HCI.
  4.   Tráfico inalámbrico ("WLAN Traffic", en inglés): Muestra estadísticas de paquetes de datos con el protocolo 802.11 de red inalámbrica.
  Por último, se encuentra el típico menú de "Ayuda" ("Help", en inglés), desde donde se puede acceder a diferentes archivos de ayuda y ejemplos de capturas, la mayoría de estos en el sitio web oficial de Wireshark.

BARRA DE HERRAMIENTAS

  En este elemento del programa, que también aparece tanto en la pantalla de bienvenida como en la del programa totalmente activo y que se encuentra justo bajo la barra anterior, pueden verse iconos de las opciones más típicas del programa. Ya que sus funciones ya se han comentado más arriba, simplemente se enumerarán los controles menos obvios desde abajo hacia arriba del 1 al 15.

BARRA DE FILTROS

Imagen de Manual Wireshark en español

  En esta barra, que está justo debajo de la anterior, se pueden escribir el o los filtros (si son varios deben unirse con "&&") con los que se filtrarán los paquetes de cada captura. Para ello, se escribe el filtro en la caja "Filter:" (si es correcto, se pondrá verde, si no, rosado) y se pulsa en el botón "Apply" (o bien directamente en la tecla "Enter") para que el programa lo aplique.
  Si no se conocen los filtros adecuados, ya que Wireshark tiene muchísimos, puede pulsarse en la opción "Expression..." y elegir uno de la lista de la ventana emergente.
  Para borrar el filtro basta con pulsar en la opción "Clear".
  Finalmente, es posible guardar las combinaciones de filtros creadas por el usuario pulsando en la opción "Save".

BARRA DE ESTADO

  Es la que se encuentra en la parte inferior de la pantalla del programa. Muestra la información comentada más arriba y, además posee un botón para obtener información para expertos (si está gris no hay dicha información, si está en rojo da un código de error, si está en verde o azul se obtiene un informe normal) a la izquierda y otro para añadir comentarios a la captura justo a la derecha del anterior.

  Espero que esta entrada haya sido útil y/o entretenida al lector. Si es así, compartala y/o coméntela, por favor.
Publicado por en
Etiquetas: , , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)