9/8/07

Wireshark 101 - Estadísticas Parte I

Continuando con la serie de post sobre Wireshark, en esta oportunidad me gustaría comentar sobre las estadísticas disponibles en Wireshark, estas tienen muchas aplicaciones prácticas para conocer por ejemplo que protocolos hay presentes en la red, o que hosts son los que estan consumiendo el mayor ancho de banda.

En esta primera parte, se describen dos tipos de estadística, reservando algunos más para futuros postst, el primero de ellos es la opción Protocol Hierarchy y Conversations, ambas disponibles desde el menú Statitiscs.

La opción de Protocol Hierarchy despliega todos los protocolos detectados en la captura, indicando el porcentaje encontrado de cada uno, por ejemplo en la figura abajo, muestra que para esta captura en particular, el 100% del trafico es ethernet, lo cual no es de sorprender ya que ethernet es el protocolo dominante, aunque si se captura con una máquina que tenga la capacidad de tener visibilidad en una red WLAN se encontraria un porcentaje diferente.



En el caso ilustrado en esta figura, también se puede ver que el protocolo dominante es IP con el 97.3%, el otro 0.3% corresponde a ARP (no mostrado en la figura). En el siguiente nivel, el protocolo dominante es el TCP con 94.87%, el resto es tráfico UDP, desglosando el TCP, se observa que el http ocupa casí el 10% del tráfico.

Espero que este breve ejemplo sirva para ilustrar el potencial de esta estadística, para identificar que protocolos son los que más estan consumiendo el ancho de banda, también podríamos detectar protocolos que en realidad no deberían estar pressentes, por ejemplo si se tiene restricción sobre algun protocolo específico, acá se puede detectar con mayor facilidad y observar el impacto que tiene sobre la red.

La segunda estadística a describir en este post, es la de conversations, esta proporciona información sobre las conversaciones presentes en la red, con quien se esta comunicando cada host, en el caso especifico ilustrado se puede observar que se detectaron 25 conversaciones ethernet, 197 conversaciones ipv4, 1141 conversaciones tcp y 779 conversaciones udp.



En el ejemplo ilustrado se pueden ver las conversaciones de ipv4, para cada conversación es posible ver la cantidad de packetes y byte transmitidos en cada dirección, esto puede ayudar a identificar que hosts son los que estan acaparando más el ancho de banda, es posible ordenar en orden ascendente o descendente, en este caso, se ordeno por la mayor cantidad de bytes (observar el pequeño triangulo en el campo bytes), con un clic en cualquiera de los campos se ordena en basea a ese parametro, otro click en ese mismo campo invierte el orden, por ejemplo otro click en bytes, ordeara en forma ascendente.

En la parte inferior aparece un boton de copy, con este se copia el contenido de estadisticas y se puede pegar en un documento de texto con todos los valores separados por comas, por lo que posterioremente es posible abrir el archivo en excel o en cualquier hoja de calculo, para genera gráficas, o hacer un análisis más a fondo.

Para que las estadísticas tengan sentido, es importante situar a wireshark en una ubicación que haga sentido y hay que recordar que estas estadísticas serán utilies de acuerdo al contexto de captura, por ejemplo, si unicamente se esta capturando tráfico entre dos hosts, la estadística será valida para estos dos hosts, si se esta capturando tráfico en un enlace de salida, esta estadística tendrá sentido en el contexto del tráfico que esta pasando por ese enlace, el mensaje aquí es que hay que interpretar las estadísticas de acuerdo a su contexto.

Eso es todo por el momento, en al menos dos post futuros se discutiran más opciones para análizar estadísticas de la red con Wireshark.

6 comentarios:

Gabriel Avila Gonzalez dijo...

Tengo una duda, en las opciones que explicas, que te indica si un host esta enviando muchos paquetes a otro y el host destino tiene poco trafico en respuesta al host origen.

esto puede ser causa de algun problema?

Leonel Munguia dijo...

Gabriel, todo depende del contexto, por ejemplo, si estas bajando un archivo de internet, lo normal es que haya bastante trafico de "bajada" y poco de "subida", la ventaja que tienes con Wireshark, es que en base a lo observado en las estadisticas, puedes ir a los paquetes y examinar que tipo de trafico esta pasando, para determinar si es sospechoso o no, para ello puedes aplicar filtros que te muestren unicamente las dos direcciones en cuestion y de esa manera determinar si lo que estas viendo es normal o no.

Anónimo dijo...

Hola Leonel.
Hoy acabo de instalar el wireshark V.0.99.6a, y a empezar a probar el programa siguiendo tus indicaciones. El objetivo principal es reconocer que maquina esta generando mayor trafico, en especial el envio de mails. Esto porque ya varias veces nuestro dominio a aparecido en listas de spam. Podrias indicarme como podria lograr esta operacion. Desde ya gracias por la ayuda.
Un saludo desde Peru y gracias por el apoyo moral en estos tiempos dificiles.
Richard

Leonel Munguia dijo...

Richard, mi primera pregunta es si en tu organización cuentan con un servidor de correo, es decir, si ustedes administran las cuentas de correo de tu dominio?, porque si es así, el primer lugar a investigar es el servidor de correo, ahora, volviendo al uso del wireshark, lo clave es identificar, es donde colocarlo para capturar el tráfico que sea relevante a tu investigación, esto depende de la topología de red que tienes y el equipo con el que cuentas, supongo que en tu caso específico, deberia estar ubicado en un punto en el que pueda ver todo el tráfico que sale a internet, puede ser la interface ethernet del router de salida. Bueno amigo, espero que este tip te sea de utilidad, de todas formas, tu caso no es tan sencillo y si necesitas más apoyo, no dudes en escribirme a lmunguia@soportederedes.com

Analisis Matemático dijo...

Hola Leonel

Tengo una consulta sobre las estadisticas que presenta Wireshark, en las estadisticas que significan los datos de la columna End Packets y End Bytes, cual es la diferencia con el Packets y Bytes.

Anónimo dijo...

Por favor tengo una duda de cual es el parametro que me indica el consumo de ancho de banda por favor ayuda