martes, 19 de agosto de 2008

Wireshark: Analizador de protocolos (Ethereal)

Wireshark es una excelente herramienta, con una cómoda interfaz gráfica que nos permite analizar y rastrear todos los paquetes de red que pasan por nuestra NIC. Permitiendo analizar mensajería interna como el net send, http, https, ftp, etc...

Wireshark, antiguamente llamada Ethereal, es gratuito para windows, Linux, Unix y Mac OS X.


Uso:


Una de las maneras más sencillas de ejecutar wireshark es en un archivo de captura de paquetes que ya ha sido creado usando tcpdump -w capture.dump.
En ese caso podemos abrir el archivo de volcado (seleccionamos File>Open). Se abrirá el cuadro de dialogo Open Capture File.

Elejimos el archivo que queremos abrir, y podemos especificar opciones como la reolución de nombres y filtros de paquetes adicionales. Los filtros de paquetes pueden especificarse al leer los archivos de captura o al realizar capturas.

Una vez estemos capturando datos, observamos que la interfaz gráfica es muy simple y cómoda a la vista:


En el panel superior contiene información similar a las otras 2 herramientas (tcpdump y windump) con la ventaja de poder desplazarnos por los datos.

En el panel central podemos ver información detallada sobre cada encabezado del paquete, incluyendo la información de encabezado Ethernet, TCP e IP. Si el paquete es parte de un protocolo a nivel de aplicación como http, podemos ver información específica del protocolo de la aplicación.
El tercer panel contiene un volcado hexadecimal y ASCII del contenido real del paquete, podemos obtener cualquier información que queramos sobre cualquier paquete de la conexión, incluyendo los datos.

Descargar Wireshark:
http://sourceforge.net/project/downloading.php?groupname=wireshark&filename=wireshark-setup-1.0.2.exe&use_mirror=osdn

Web de Wireshark:
http://www.wireshark.org/

Información de Wireshark:
http://es.wikipedia.org/wiki/Ethereal

No hay comentarios: