Wireshark

Grficas de tcptrace

GSyC 2008

wireshark

Wireshark es una herramienta grfica

que nos permite visualizar los paquetes
capturados, navegando a travs de los
campos de cabecera y datos de cada
uno de los protocolos utilizados.
Por ejemplo, arrancaremos wireshark
desde la mquina real (por ejemplo
zeta25) de la siguiente forma:

usuario@zeta25:~# wireshark pc1.eth0.cap

GSyC 2008

wireshark
Resumen de
los paquetes
capturados

Detalle de las
cabeceras del
paquete
seleccionado

Contenido del
paquete
seleccionado en
hexadecimal y
ASCII

GSyC 2008

Filtros de wireshark

Los paquetes de un mismo protocolo se muestran de un

color determinado. Por ejemplo, el trfico TCP es azul
claro.
Para visualizar paquetes que cumplan ciertas
caractersticas (por ejemplo, todos los segmentos TCP)
se pueden definir Filtros.

En la caja de dilogo dedicada al manejo de filtros se puede

aadir una expresin que caracterice al trfico que
queremos visualizar.

El botn Expression muestra una ventana para editar

fcilmente el filtro que deseamos.

Si un fichero de captura contiene mucho trfico y

deseamos visualizar slo los segmentos de una conexin
TCP determinada, seleccionamos un segmento TCP de
dicha conexin y utilizamos la barra de men:

Analyze -> Follow TCP Stream -> Close

GSyC 2008

Ejemplos de filtros de
wireshark

ip.src == 10.0.0.1

ip.dst == 10.0.0.2

ip.addr == 10.0.0.3

Paquetes cuya direccin IP origen sea 10.0.0.1

Paquetes cuya direccin IP destino sea 10.0.0.2

Paquetes cuya direccin origen o destino sea 10.0.0.1

tcp

tcp.srcport==80 or tcp.dstport==80

Todos los segmentos TCP

Todos los segmentos TCP cuyo puerto origen o puerto destino sea
el puerto 80 (trfico HTTP).

ip.addr==10.0.0.2 and tcp.flags.fin

Segmentos TCP con el flag FIN activo y que lleve direccin IP

origen o destino 10.0.0.2
5

GSyC 2008

Grfica de tcptrace

Muestra informacin de los segmentos enviados (dados por

su nmero de secuencia) con respecto al tiempo.
Una conexin TCP entre dos aplicaciones permite la
comunicacin en ambos sentidos. Por tanto, por cada
conexin es posible visualizar 2 grficas de tcptrace
diferentes: a -> b y b->a
Para obtener la grfica de tcptrace dentro de Wireshark es
necesario:
1.

Cargar el fichero de captura de una conexin TCP.

2.

Seleccionar un segmento de la conexin que determinar cul de

las 2 grficas deseamos visualizar. Por ejemplo, si el segmento
muestra comunicacin a ->b, entonces la grfica mostrar dicho
sentido de la comunicacin.

3.

Seleccionar la siguiente entrada en el men de Wireshark:

Statistics->TCP Stream Graph -> Time-Sequence Graph (tcptrace)

GSyC 2008

Grfica de tcptrace

GSyC 2008

Lnea superior gris

claro: ventana
anunciada por el
otro extremo
Segmentos verticales
negros: segmentos
TCP enviados. Cada
segmento ocupa un
conjunto de nmeros de
secuencia: el nmero de
secuencia del segmento
TCP ms la longitud en
bytes de ese segmento
TCP. En el instante 0.22
segundos se envan dos
segmentos con nmeros
de secuencia 1 y 1449,
cuya longitus es 1448
bytes.

GSyC 2008

Lnea inferior gris claro:

acks recibidos

Retransmisin

3 ACKs duplicados

GSyC 2008

Acciones sobre el
grfico

Click del botn izquierdo sobre un segmento: selecciona el

paquete concreto en la lista de paquetes de Wireshark.

Click del botn del centro: zoom in

Click de May+botn del centro: zoom out

Botn derecho y arrastre: se mueve dentro del grfico (til

cuando zoom in)

Ctrl + botn derecho y arrastre: lupa

Tecla espacio: muestra guas para la posicin del ratn.

Tecla s: conmuta entre nmeros de secuencia relativos y

absolutos

10

GSyC 2008