Wireshark - PowerPoint PPT Presentation

1 / 39
About This Presentation
Title:

Wireshark

Description:

Filtro (segun tcpdump) ... Teclear el filtro en el cuadro. de texto. Presionar enter. Ejemplos: ip.addr==192.168.23.254 ... Conversaci n es el flujo de paquetes ... – PowerPoint PPT presentation

Number of Views:311
Avg rating:3.0/5.0
Slides: 40
Provided by: intromisio
Category:
Tags: el | filtro | wireshark

less

Transcript and Presenter's Notes

Title: Wireshark


1
Wireshark
  • Mario Arturo Pérez Rangel
  • 26/11/2008

2
Antecedentes
  • BSD packet filter
  • tcpdump
  • ethereal

3
Antecedentes
  • Wireshark es el sucesor deethereal
  • tcpdump, ethereal y wiresharkestan basados en
    pcap.

4
Pcap
  • Biblioteca para captura de paquetes
  • Abstrae la capa de acceso al medio
  • Proporciona rutinas para mirarel tráfico

5
Pcap
  • Al interior tiene una máquinay lenguaje para
    seleccionarpaquetes
  • También es usado por Net-Pcap(módule de perl)?

6
TCP/IP
  • Ethernet
  • ARP
  • RARP
  • IP

7
Frame de Ethernet
8
TCP/IP
  • IP
  • ICMP
  • UDP
  • TCP

9
TCP/IP
  • Ethernet
  • ARP
  • IP
  • TCP
  • HTTP
  • Telnet
  • UDP
  • DNS

10
Formato de paquetes
11
Puertos TCP/UDP
  • /etc/services
  • 20 ftp-data
  • 21 ftp
  • 22 ssh
  • 23 telnet
  • 80 http

12
Puertos TCP/UDP
  • Puertos críticos
  • 4661-4662 edonkey
  • 6881-6999 bittorrent
  • 6436Gnutella / Bearshare
  • 6436-6437LimeWire

13
Monitoreo con tcpdump
14
Wireshark
  • Qué es?
  • Herramienta para captura de paquetes
  • Conjunto de plugins
  • Una interfaz gráfica (wireshark-gnome)?

15
Wireshark
  • Modo gráfico (wireshark)?
  • Modo texto (tshark)?
  • Versiones
  • Linux
  • windows

16
tshark
  • Monitoreo en modo texto tshark
  • Captura en linea de comando tshark -w
    archivo.pcap -a accion_para_detener
    filtro

17
Monitoreo con tshark
18
tshark
  • Ejemplos tshark -a filesize1024 \
    -w archivo.pcap tshark -a duration60
    \ -w archivo.pcap \
    tcp port 4661 or \ tcp port
    4662 or \ tcp port 4663 or \
    tcp port 4664 or \
    tcp port 4665

19
Wireshark
  • Correr desde la lineade comandos
    wireshark
  • Abriendo un archivo existente wireshark
    capture.pcap

20
Wireshark
  • Captura paquetes por evento(como tshark)?
  • Número de paquetes
  • Número de megabytes
  • Número de ?segundos

21
Wireshark
  • Empezar la pesca
  • Ctl-k
  • Capture
  • Options

22
Inicio de captura
23
Botón de paro de wireshark
24
Filtros de captura
  • Definir nuestros filtros, ejemplo
  • Nombre edonkey
  • Filtro (segun tcpdump)tcp port 4661 or tcp port
    4662 or tcp port 4663 or tcp port 4664 or tcp
    port 4665

25
Manejo de filtros
26
Wireshark
27
Filtros de la muestra
  • Teclear el filtro en el cuadrode texto
  • Presionar enter
  • Ejemplosip.addr192.168.23.254ip.addr192.168
    .23.11 and tcp.port80

28
Filtro por host
29
Filtro aplicado
30
Conversaciones
  • Conversación es el flujo de paquetes entre dos
    hosts
  • Estadísticas de uso de ancho de banda por host
  • En el menu Statistics
  • Conversations

31
conversaciones
32
Endpoints
  • Estadísticas de uso de ancho de banda por host
  • En el menu Statistics
  • Endpoints

33
Endpoints
34
Conversaciones
  • Revisar un caso en particular(sólo paquetes TCP
    o UDP)?
  • Boton-derecho del ratón
  • Follow TCP stream /
  • Follow UDP stream

35
Siguiendo una conversación
36
conversación
37
conversación
38
Conclusión
  • Wireshark no soluciona todo
  • Pero proporciona una ayuda invaluable en la
    detección de problemas en una red

39
Gracias
Write a Comment
User Comments (0)
About PowerShow.com