1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).

|SeguridadyRedes

SeguridadyRedes
PginapersonaldeAlfon.

AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).
Publicadoel25noviembre,2008

Yavimos,ensumomento,comointerpretarlosdatosmostradosenlascapturasdeWireshark.Hemosvisto
tambinotrosaspectosdeWiresharkcomoladeteccindetrficoP2P,deteccindearchivosborradosyotros
eventos,deteccindeArppoison,interpretacindecapturadecorreo,etc.

Vamosahoraainiciarunaseriedecaptulosdedicadosalasgrficas.

EnWiresharktenemosvariasformasdeverytratarlospaquetescapturados.Dependiendo,entonces,dela
informacinquenecesitemosextraerdenuestrascapturas,Wiresharknosproporcionadiferentesherramientas
grficas.

Vamosaestudiarestasgrficas,comosiempre,desdelomsbsicoeiremoscomplicandoenotroscaptulos.

EmpezamosconIOGraphsyFlowGraph.

IOGraphs

Grficapersonalizableycondiversasopcionesquenosmuestraeltraficodeentradaysalidadeunacaptura.

AccedemosaestetipodegrficamedianteStatistics>IOGraphs.

Enestetipodegrficostenemos,comovemosenlacapturadearriba,unazonadeedicindelasgrficasyuna
zonadeopciones.Lazonadeedicintienedosejes:

https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 1/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes

EjeXdetiempo.EnesteejepodemosajustarelTickIntervalointervalodetiempodesdecentsimasde
segundoa10minutos.TenemostambinunaespeciedeZoom,elPixelperTicks,ajustablede1a10.Eneste
ejevisualizaremoslostiemposdeformarelativaoatendiendoalahoradelacapturaViewastimeofday.
EjeYdepaquetescapturados.PodemosvisualizarlosdatosporPaquetes,Bytes,Bits,odeformaavanzada
realizandociertasoperaciones.PodemostambinajustarlaescaladelejeenScale.

Enlazonadedatospodemosvisualizarhasta5graficas,cadaunadeuncolordiferentequenosepuede
cambiar,podemosespecificartambineltipooStyle,yacadaunadeestasgrficasasociarunfiltro.

FlowGraph

Permitelavisualizacingrficadelflujodedatosentrelasdiferentesconexionesrealizadasentrehosts.
AccedemosaestaopcindesdeStatistics>FlowGraphs.

Paraellodebemosantesseleccionarunaseriedeopcionescomoqupaquetesquequeremostratar:todoso
losvisualizados.eltipodeflujo:todoelflujodelacapturacontodoslosprotocolosinvolucradososoloelflujo
TCP.

Enestagrficapodemosver:

Datosdetiempo.
Mquinasinvolucradasenelflujodeconexinrepresentadasporlaslneasverticales.
Sentidodelflujodelosdatos.Representadoloslasflechasque,adems,nosindicanentrequehostso
mquinasseestablececonexin.

https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 2/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes

Puertos.Representadoentreparntesis.
Nmerosdesecuenciayacusesderecibo.Representadosenlacolumnadeladerecha(Comments).
Vemosquelosnmerosdesecuenciaserepresentandeformarelativa,esdecir,elprimero0(paranomostrar
nmerosdesecuenciademasiadoaltosymejorcompresindelosdatos).
VemostambinlosindicadoresusadosindicandoelcontenidoypropsitodelsegmentoTCP.vamosa
recordarestoltimo:

URG.ElcampoPunterodeurgenciacontieneinformacinvlida.

ACK.ElcampoNmerodeacusederecibocontieneinformacinvlida,esdecir,el
segmentoactualllevaunACK.Observemosqueunmismosegmentopuede
transportarlosdatosdeunsentidoylasconfirmacionesdelotrosentidodela
comunicacin.

PSH.Laaplicacinhasolicitadounaoperacinpush(enviarlosdatosexistentesenla
memoriatemporalsinesperaracompletarelsegmento).

RST.Interrupcindelaconexinactual.

SYN.Sincronizacindelosnmerosdesecuencia.Seutilizaalcrearunaconexinparaindicaralotro
extremocualvaaserelprimernmerodesecuenciaconelquevaacomenzaratransmitir(veremosque
notieneporquserelcero).

FIN.Indicaalotroextremoquelaaplicacinyanotienemsdatosparaenviar.Se
utilizaparasolicitarelcierredelaconexinactual.

Paraunmejorestudiodelasconexiones,lomejoresfiltraranteslospaquetescapturadosyluegousarFlow
Graph.

Conestetipodegrficospodemosestudiar,porejemplo,losproblemasquepudiesensurgirenunestablecimiento
decomnexin.

Comorecordatorio:

EstablecimientodeunaconexinTCP.

Unejerciciointeresantepuedeseranalizarlasalidaenhexadecimalttratandodecomprenderunestablecimiento
deconexinTCP.Paracomprendercomoserealiza,acontinuacinunabreveexplicacin.

EnlosejemplosveremosloscamposdelsegmentoTCPqueacabamosdeestudiasdeunaformamsprctica.

VeremosenesteapndicecmoserealizaunaconexinTCP.Nosayudarainterpretarlogs,trazasy
tcnicasdeescaneo.VeremostambinalgunoscomponentesdelospaquetesTCPapartedelospuertosde
lamquinaorigenydestino.Estoscomponentesimportantessonlosnmerosdesecuenciayde
confirmacin(SEQyACK)queseutilizanparaasegurarlaintegridaddelaconexinylosflagsobanderas
quesonlosencargadosdeindicarlafinalidaddelpaquete(parainiciarofinalizarunaconexin,para
transmitirdatos,etc).
https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 3/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes

UnaconexinTCPserealizaentrespasos.Esloquetcnicamentesellamathreewayhandshake:

1.Enelsistema/hostqueinicialaconexinocliente(TCPA),envaunpaquetedeSYNconun
nmerodesecuenciainicialasociadoaestaconexinalsistema/hostdestinatariooservidor(TCPB).

2.EsterespondeconunpaqueteSYNACK(acusederecibo)confirmandolarecepcindelSYNinicial
enviadopor(TCPA)yenvindoleasuvezsupropionmerodesecuencia.

3.Parafinalizar,elcliente(TCPA)reconocelarecepcindelSYNdelservidor(TCPB)medianteelenvo
deunACK.Esteeselmomentoenquequedaestablecidalaconexin.Yasepuedeiniciarlatransferenciade
datosentre(TCPA)y(TCPB).

Vamosaavanzarunpocomsyaqueocurrenalgunasotrascosas.Lovemosgrficamente:

SeandoshostspretendeninciciarunaconexinTCP.TCPAyTCPB,siguiendolaanalogadelaexplicacin
anterior.

1.TCPA_SYN(SEQ=x)>yTCPB

2.TCPB_SYN(SEQ=y,ACK=x+1)>TCPA,

3.TCPA_SYN(SEQ=x+1,ACK=y+1)>TCPB.

VemoscomoTCPAenvaunpaqueteSYNconunnmerodesecuenciainicialxqueademsesaleatorio
aTCPB.Elrestoesfcildeducir.

Lasletrasxeysonlosnmerosdesecuencia(SEQ).Seutilizannmerosdesecuenciadistintospara
cadasentidodelacomunicacin.Elprimernmeroparacadasentidoseacuerdaalestablecerla
comunicacin.Cadaextremoseinventaunnmeroaleatorioyenvastecomoiniciodesecuencia.

UnpasomsparaterminardecomprenderlaconexinTCPtotalmenteimprescindibleparaentendermuchas
tcnicasdeescaneo.

Ejemplo:

Seandoshosts(TCPA)y(TCPB)quepretendeniniciarunaconexin.Veremostambinquepasaconlos
nmerosdesecuencia(SEQ):

TodoestoesloqueocurrecuandorealizamosunescaneadodepuertoTCPconect().

https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 4/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes

SilaopcinelegidaesTCPSYNnodejamosqueseestablezcatotalmentelaconexin,estosignificaraelenvo
porpartedeTCPAdeunRST(reset)cerrandoaslaconexin.

Esfacil,entonces,vertodoestoexplicadoenlagrfica:

Anuncios

MIAMI
VUELODESDEBOGOTA
desde

US$377 Buscar
Tarifaidayvuelta

SAOPAULO
VUELODESDECALI

desde

US$595 Buscar
Tarifaidayvuelta

Tuvoto:

RateThis
Sharethis:

Twitter Facebook

Megusta
Selprimeroendecirquetegusta.

Relacionado

AnlisisderedconWireshark.Interpretando Analizandocapturas.pcapTCPcontcptrace. Wireshark/Tshark.UsandoIOGraphpara

losdatos. GeneracindegrficasconXplot.Parte2 relacionarACKsduplicados,lostsegmenty
En"Seguridadyredes" En"Seguridadyredes" retransmisiones
En"Seguridadyredes"

EstaentradafuepublicadaenSeguridadyredes,Wireshark.TsharkyetiquetadaFlowGraph,grficas,IOGraphs,wireshark.Guardaelenlacepermanente.

https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 5/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes

6respuestasaAnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).

manuelhernadezdijo:
10junio,2009en11:25pm

muybuenmaterial,graciasporapoyaralosprincipiantes.ahoritanecesitoinformacionacercadeservidoresdealta
disponibilidad,simepudieranayudarselosagradeceria.heleidoquehayunprogramallamadoheartbeartparacrearcluster
dealtadisponibilidad,peronecesitoayuda.
Responder

GuillermoGomezdijo:
26noviembre,2009en2:12am

Holaestamuybuenalainformacion,peroestoyempezandoautilizaresteprogramayehnotadoqueenlareddemiempresa
hayunacantidaddetraficoARPexcesivo.Esteprogramapuedesacarmealgunporcentajequemeindiquequetantaesta
saturadamireddetraficodebroadcast?mecolaborasMuchasgracias
Responder

Alfondijo:
26noviembre,2009en9:19am

EstimadoGuillermo,graciasportuscomentarios.Paraestudiareltraficoarp,podemos,paraverporcentajes,realizarun
ProtocolHierachyStatistics,tambinfiltrarporarpyhacerunflowGraph.ElIOGraphpuedesverloenestemismopost.con
flowGraphpuedeestudiarcomoserelizanlosdialogosarpbroadcast.Sitienesuntraficoarpexcesivo,tenencuentaque
estopuedeserporovocado,combiensabes,porunvirus/troyanotambinpodradeberseafallosdeconfiguracino
fallosendispositivos.sinosetratadevirus,podraslimitareltamaodedominiodebroadcastsegmentandolared,
configuracinseswitch,VLANs,etc.
Saludos,
Responder

jaimedijo:
6enero,2010en5:23pm

Excelenteherramientayexcelentelaexplicacin,ennombredemuchosqueestamoscomenzandoenestetemalesagradezco
porestetipodematerial.
Responder

ericdijo:
18agosto,2010en8:20am

Tengoungraveproblema,heprobadohartossnifferendistintasplataformas(OSX,Windows,Linunx)ycondistintos
softwaresenloscualestengodistintosresultados,enwireshark,tcpdump,obtengoresultadosiguales,peroentcptesttool
v2.3ysmartsnifobtengolosdatosdeseados.cualseriaelproblema?
Responder

felipecorsodijo:
25marzo,2013en2:44pm

https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 6/7
1/4/2017 AnlisisderedconWireshark.InterpretandoLasgraficas.(IParte).|SeguridadyRedes

buenmaterial
Graciasporsuaporte
Responder

SeguridadyRedes
BlogdeWordPress.com.

https://seguridadyredes.wordpress.com/2008/11/25/analisisderedconwiresharkinterpretandolasgraficasiparte/ 7/7