Soporte de Redes: Wireshark 101 - Como capturar trafico

lunes, marzo 26, 2007

Wireshark 101 - Como capturar trafico

Con este post, estoy dando inicio a lo que se podría llamar un tutorial sobre Wireshark, como he comentado en otros posts, Wireshark es un analizador de protocolos open source y es una de mis herramientas favoritas, que además es de suma utilidad para la resolución de problemas de redes.

Antes que nada, una palabra de advertencia, la captura de tráfico en una red puede ser ilegal, o puede estar prohibida por las reglas de seguridad de la empresa, asi que antes de conectar un analizador de tráfico a cualquier red, favor asegurarse que cuenta con el permiso respectivo y que esta conciente de las implicaciones que puedan derivarse de esta actividad, para efectos de este tuturial, lo mejor es establecer un laboratorio aislado sin conexión a la red de la empresa, o hacerlo desde una red casera.

Una vez hecha la advertencia, el primer aspecto que me gustaría tratar, es sobre como capturar tráfico, especificamente donde ubicar el wireshark para poder capturar el tráfico que se desea ver en la red, para ello estaré haciendo referencia a la siguiente figura

Supongamos que queremos capturar (desde una laptop), el tráfico entre un servidor y la PC de un usuario que esta experimientando problemas para acceder a dicho servidor. Lo más probable es que esten conectados a través de un switch como se muestra en la figura 1a, si este es el caso, al conectar la laptop, no podremos ver el tráfico entre la PC y el Servidor, unicamente será posible ver el tráfico destinado a la laptop y tráfico de Broadcast, para sobreponernos a esto tenemos tres opciones:

Opción 1 El switch es administrable: En este caso, consultar en la documentación del mismo, como configurar un Port Mirroring, suponiendo que el Servidor esta ubicado en el puerto 1, la PC en el puerto 2, y la laptop con wireshark en el puerto 3, debería configurarse el port mirroring para copiar los puertos 1 y 2 en el puerto 3. Como configurar el port mirroring depende de cada fabricante, lo ideal es consultar el manual del switch, o en la página web del fabricante, en el caso de Cisco, el port mirroring se le denomina SPAN (Switch Port Analizer).

Opción 2 El switch es administrable pero no soporta port mirroring, o no es administrable: En este caso, la opción que tenemos es conectar un pequeño hub, como se ilustra en la figura 1b, en este caso, la idea es conectar el hub a un puerto del switch y conectar la PC, el servidor y la laptop al hub, en este caso si se podrá ver todo el tráfico ya que en un hub, el tráfico en cada puerto es visible en todos los demás puertos. Las desventajas de esto, es que el hub no funciona a full duplex, además es muy probable que la velocidad sea a 10 mientras que los puertos del switch funcionen a 100 o aún a 1000, así que si esta es una red en producción el acceso al servidor se puede ver severamente afectado para el resto de usuarios, asi que usar esta opción con mucha precaución y solo despues de haber considerado el impacto que tendrá en los usuarios.

Opción 3 Utilizar un network tap: Esta pienso que es la poción ideal, un network tap, es un dispositivo pasivo que se puede insertar en la red y permite ver el tráfico que esta pasando a través de la misma, por ser un dispositivo pasivo no interfiere en ninguna manera en la configuración, incluso en caso de falla del tap el tráfico sigue pasando por la red. Existen diferentes tipos de taps, pero en esencia la función es la misma, permitirnos visibilidad del tráfico. Aunque esta es la opción ideal, es probable que sea la más dificil de conseguir, sin embargo, si es posible, vale la pena conseguir algunos taps y tenerlos a la mano para cuando se presenten esos problemas extraños en la red, para aprender más sobre taps, y ver lo que es posible con estos, recomiendo visitar la página de algunos fabricantes, normalmente se encontraran descritas las diferentes tecnologías de taps, y como utilizarlos eficientemente, entre los fabricamentes de taps puede mencionar, Datacom Systems, Netoptics, y Network Critical.

Estos son solo algunos de los escenarios, pero en general la idea es la misma, en un hub se puede observar todo el tráfico de la red (sin embargo es muy poco comun hoy en día encontrar una red basada unicamente en hubs), en un switch es necesario configurar port mirroring, y con un tap se pueden establecer puntos de monitoreo permanentes.

11 comentarios:

Anónimo dijo...: Como puedo realizar una captura por medio de linea de comandos y por este mismo medio exportar a un formato plano o que lo pueda leer en otro formato todo realizarlo por comandos

Gracias; 2:13 PM
Leonel Munguia dijo...: Amigo, para capturar mediante la línea de comandos, debes utilizar tshark (desde el directorio donde esta instalado wireshark), para exportarlo a otro formato, puedes utilizar editcap, ambas son utilerias de línea de comandos de wireshark, si solo ejecutas tshark verás una lista de opciones, igualmente con editcap.; 7:29 AM
santiago dijo...: Quisiera saber por que puerto wireshark realiza las esuchas, es decir este captura tráfico pero por que puerto de nuestra máquina lo hace?; 6:24 PM
Leonel Munguia dijo...: Santiago, Wireshark no utiliza ningun puerto para capturar el trafico, las tarjetas de red normalmente estan programadas para responder al trafico que esta dirigida hacia ellas esto es como un filtro que impide que otro tipo de trafico sea visible para cualquier programa que esta utilizando la tarjeta. Lo que hace Wireshark es poner la tarjeta en modo promiscuo, en otras palabras elimina este filtro y permite que todo el trafico que pasa por la tarjeta sea visible, de esta manera un sniffer puede capturar todo el trafico que pase por la tarjeta.; 9:52 PM
Anónimo dijo...: hola
he leido y me ha gustado, he instalado el wireshark, pero no se como utilizarlo, he visto la documentación, aunqhe no soy muy bueno en ingles.

en donde encuentro o como busco información acerca de lo el programa me muestra, como lo interpreto, se que muestra el protocolo utilizado, la ip origen y la destino, pero hay información la cua no se como interpretarla.

Por lo que he entendido uno puede parametrizar el tráfico que deseo obtener, hay una función acerca de un puerto especíco de la máquina el cual pueda verificar.

gracias.; 2:29 PM
Anónimo dijo...: hola de nuevo, que pena molestrar tanto.

quisiera saber como funciona el protocolo DQDB de la IEEE 802.6.
Entiendo que maneja dos banderas R(Solicitud) y B (ocupado), aparte de tres contadores.
1) las cabeceras manejan los slots los cuales los va poniendo en cola, ¿Cada cabecera maneja los slots para los dos buses?.
2) ¿Cuando las cabeceras envian los datos de los slots esto funciona como un token ring o lo maneja dinámicamente?
3) ¿Si un host hace una petición el algoritmo de cola decide sobre que bus desea enviarlo?

Gracias att grupo_unad@yahoo.com; 2:47 PM
Anónimo dijo...: un enlace para ver el funcionamiento del protocolo DQDB es http://www-entel.upc.es/xavierh/dqdb/index116.htm

att grupo_unad@yahoo.com; 2:49 PM
Anónimo dijo...: saludos a todos en especial a leonel, me ha interesado el wireshark ya que mi necesidad es saber quien hace descargas en una red wireless de musica en mp3 asi como videos, me gustaria saber que filtro se utilizaria para hacer eso y como configurarlo. gracias; 3:35 PM
Anónimo dijo...: JRPRMERLIN: Buenas tardes para detectar quien te consume tu ancho de banda tienes que aplicar el analisis de los resultados o puedes combinar herramientas, por ejemplo un programa de control de contenido sin filtrar esto genera una radiografia de lo que hacen tus usuarios, por otro lado el WireShark te indica que timpo de protocolo tiene mayor actividad, eso te permite combinar el resultado e identificar el problema presente ya que no siempre es un usuario puede ser un virus el del problema; 1:18 PM
Anónimo dijo...: Hola una duda un poco enrevesada: Wireshark cuando captura 1 trama ,cuando marca el tiempo que vemos reflejado?, al inicio de la trama, al final de la trama,... (es decir el tiempo que marca es el del inicio de la captura de esa trama, o el del fin de captura de esa trama o el tiempo de algun punto de referencia).

gracias; 5:15 AM
David Indriago dijo...: Salud amigo tengo la ip de la empresa bloqueada por spam, estoy utilizando el correo de otra empresa (que me bloqueo)porque no tengo servidor de exchange aun,me baje el wireshark 1.0.3 pero me quede como el otro amigo con la duda de como interpretar la información que me arroja donde busco , como se cual estación me está generando spam en mi red.

Muchisimas gracias de antemano; 9:43 PM