Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Wireshark 2.1
Ulf Lamping <ulf.lamping[AT]web.de>Richard Sharpe, programas informticos
y servicios de NS P/L <rsharpe[AT]ns.aus.com>Ed Warnicke
<hagbard[AT]physics.rutgers.edu>
Prefacio
.........................................................................
.................................................... IX 1. Prlogo
.........................................................................
...................................... IX 2. Quin debe leer este
documento?
.........................................................................
...... Ix 3. Agradecimientos
.........................................................................
........................ IX 4. Acerca de este documento
.........................................................................
....................... x 5. Dnde obtener la copia ms reciente de este
documento? .............................................................
X 6. Proporcionar comentarios sobre este documento
...................................................................... x
7. Convenciones tipogrficas
.........................................................................
................. x 7.1. Admoniciones
.........................................................................
........................ x 7.2. Shell y ejemplos de cdigo fuente
......................................................... xi 1.
Introduccin
.........................................................................
........................................... 1 1.1. Qu es Wireshark?
.........................................................................
...................... 1 1.1.1. Algunos propsitos
.........................................................................
..... 1 1.1.2. Caractersticas
.........................................................................
........................... 1 1.1.3. La captura de ejemplares vivos de
muchos diferentes medios de red...... 2 1.1.4. Importar archivos de otros
programas de captura . 2 1.1.5. Exportacin de archivos para otros muchos
programas de captura de.............. 2 1.1.6. Muchos disectores de
protocolo
.........................................................................
.... 2 1.1.7. Open Source Software
.........................................................................
........ 3 1.1.8. Lo que Wireshark no es
.........................................................................
........ 3 1.2. Requisitos del sistema
.........................................................................
.................... 3 1.2.1. Microsoft Windows
.........................................................................
........... 3 1.2.2. UNIX / Linux
.........................................................................
................... 4 1.3. Dnde obtener Wireshark
.........................................................................
................ 4 1.4. Una breve historia de Wireshark
.........................................................................
.......... 5 1.5. Desarrollo y mantenimiento de Wireshark
.............................................................. 5 1.6.
Informar de problemas y obtencin de ayuda
........................................................................
6 1.6.1. Sitio web
.........................................................................
............................ 6 1.6.2. Wiki
.........................................................................
................................ 6 1.6.3. Q&Un sitio
.........................................................................
......................... 6 1.6.4. FAQ
.........................................................................
................................ 6 1.6.5. Listas de correo
.........................................................................
.................... 7 1.6.6. Reportar Problemas
.........................................................................
........... 7 1.6.7. Los bloqueos de informe sobre plataformas UNIX/Linux
................ 8 1.6.8. Los bloqueos de informe sobre plataformas
Windows ........ 8 2. La construccin e instalacin de Wireshark
.........................................................................
............. 9 2.1. Introduccin
.........................................................................
................................ 9 2.2. Obtener el cdigo fuente y
distribuciones binarias
............................................................. 9 2.3.
Instalar Wireshark bajo Windows
........................................................................
9 2.3.1. Componentes de instalacin
.........................................................................
.... 10 2.3.2. Tareas adicionales
.........................................................................
.............. 10 2.3.3. Ubicacin de instalacin
.........................................................................
................ 10 2.3.4. Instalacin de WinPcap
.........................................................................
........... 11 2.3.5. Opciones de lnea de comandos de Windows
Installer............... 11 2.3.6. Manual de instalacin de WinPcap
...................................................................... 11
2.3.7. Actualice Wireshark
.........................................................................
............ 11 2.3.8. Actualizar WinPcap
.........................................................................
.............. 12 2.3.9. Desinstalar Wireshark
.........................................................................
.......... 12 2.3.10. Desinstalar WinPcap
.........................................................................
.......... 12 2.4. Instalar Wireshark bajo MacOS
.........................................................................
12 2.5. Construccin de Wireshark desde el cdigo fuente bajo UNIX
............. 12 2.6. Instalar los binarios bajo UNIX
.........................................................................
13 2.6.1. Instalacin de RPM bajo Red Hat y similares ............ 13
2.6.2. Instalacin de deb's en Debian, Ubuntu y otros derivados de Debian
............ 13
iii
Wireshark
9.2 Gua del usuario. Anlisis
.........................................................................
........................... RTP 138 9.3. Anlisis
.........................................................................
......................... IAX2 138 9.4. Las llamadas de VoIP
.........................................................................
............................... 139 9.5. Estadsticas de Trfico MAC
.........................................................................
....... LTE 139 9.6. Estadsticas de Trfico RLC
.........................................................................
......... LTE 139 9.7. El protocolo
................................................................
estadsticas especficas de windows 140 10. Personalizacin de Wireshark
.........................................................................
...................... 141 10.1. Introduccin
.........................................................................
............................ 141 10.2. Iniciar desde la lnea de comandos
de Wireshark
............................................................... 141 10.3.
Paquete
.........................................................................
.................. coloreado 147 10.4. Protocolo de control de la
diseccin
.........................................................................
....... 149 10.4.1. Los "Protocolos habilitados" cuadro de dilogo ....
149 10.4.2. Decodifica
.........................................................................
. especificados por el usuario 151 10.4.3. Mostrar usuario especificado
decodifica
................................................................. 152
10.5. Preferencias
.........................................................................
............................ 152 10.5.1. Opciones de interfaz
.........................................................................
.......... 153 10.6. Los perfiles de configuracin
.........................................................................
.............. 154 10.7. Tabla User
.........................................................................
............................. 156 10.8. Filtro de pantalla
.........................................................................
.............. Macros 156 10.9. Los atributos de la categora
.........................................................................
........... ESS 156 10.10. Las rutas de la base de datos GeoIP
.........................................................................
............ 157 10.11. IKEv2 tabla
.........................................................................
........... descifrado 157 10.12. Los identificadores de objeto
.........................................................................
................... 158 10.13. Los usuarios lista Contexto
.........................................................................
........ PRES 158 10.14. Tabla usuarios
.........................................................................
.................. SCCP 159 10.15. SMI (MIB y PIB) Mdulos
.........................................................................
.. 159 10.16. SMI (MIB y PIB) Caminos
.........................................................................
...... 159 10.17. SNMP Trap
............................................................... tipos
especficos de empresa 159 10.18. Tabla usuarios
.........................................................................
................. SNMP 159 10.19. Tektronix K12xx/15 Tabla protocolos RF5
............. 160 10.20. Tabla de protocolo
.........................................................................
....... DLT de usuario Mensajes de Wireshark
.........................................................................
........................... 160 A. 162 A.1. Los mensajes de la lista de
paquetes
.........................................................................
................ 162 A.1.1. [Paquete]
.........................................................................
....... malformado 162 A.1.2. [Tamao de paquete limitado durante la
captura] ............. 162 A.2. Detalles del paquete
.........................................................................
........... mensajes 162 A.2.1. [Respuesta]
.........................................................................
frame: 123 162 A.2.2. [Peticin de fotograma: 123]
.........................................................................
.. 163 A.2.3. [Tiempo de peticin: 0.123 Segundos] ............. 163
A.2.4. [Stream setup por protocolo (cuadro 123)] . 163 B. Archivos y
carpetas
.........................................................................
................................ 164 B.1. Los archivos de captura
.........................................................................
........................... 164 B.1.1. Libpcap, el contenido del archivo
.........................................................................
.... 164 B.1.2. No se guardan en el archivo de captura
................................................................... 164
B.2. Archivo de configuracin y las carpetas del Plugin
................................................................... 165
B.2.1. Carpetas en Windows
.........................................................................
...... 165 B.2.2. Carpetas en sistemas Unix
.................................................................... 165
B.3. Archivos de configuracin
.........................................................................
................... 165 B.4. Plugin
.........................................................................
.......................... carpetas 169 B.5. Las carpetas de Windows
.........................................................................
...................... 170 B.5.1. Perfiles de Windows
.........................................................................
........... 170 B.5.2. Perfiles mviles de Windows
.......................................................................
170 B.5.3. La carpeta temporal de Windows
.......................................................................
171 C. protocolos y campos del Protocolo
.........................................................................
............... 172
vii
Prefacio
4. Sobre este documento
Este libro fue originalmente desarrollado por Richard Sharpe con fondos
proporcionados por el Fondo de Wireshark. Fue actualizado por Ed Warnicke
y ms recientemente rediseado y actualizado por Ulf Lamping.
Originalmente fue escrito en DocBook/XML y convertidos a AsciiDoc por
Gerald Combs.
5. Dnde obtener la copia ms reciente de este documento?
La copia ms reciente de esta documentacin puede encontrarse siempre en
https://www.wireshark.org/docs/.
6. Proporcionar comentarios sobre este documento
si usted tiene cualquier comentario sobre este documento, por favor
enviar a los autores a travs de wireshark- dev[at]wireshark.org.
7. Convenciones tipogrficas en
la siguiente tabla se muestran las convenciones tipogrficas que se
utilizan en esta gua.
Tabla 1. Convenciones tipogrficas
Style Descripcin Ejemplo Cursiva los nombres de sus archivos, carpetas y
extensiones C:\desarrollo\Wireshark.
Monoespaciado Los comandos, las banderas, y el medio ambiente CMake la
opcin -g.
Las variables en
negrita Los comandos que deben ser ejecutados por el usuario ejecute
cmake -G Ninja ...
Monovolumen
Botn Botones de la ventana de dilogo y pulse Iniciar para ir a la Luna.
Tecla de acceso directo del teclado Pulse Ctrl+Flecha Abajo para
desplazarse hasta el siguiente paquete.
Seleccione el elemento de men Men Ir Paquete Siguiente para pasar al
siguiente paquete.
7.1. Advertencias
importantes y notables elementos estn marcados como sigue:
Esto es una advertencia
que debe prestar atencin a una advertencia, de lo contrario podra
producirse una prdida de datos.
Esto es una nota
una nota le indicar los errores ms comunes y las cosas que pueden no
ser evidentes.
x
Prefacio
Esta es una sugerencia
consejos son tiles para su trabajo diario con Wireshark.
7.2. Shell y ejemplos de cdigo fuente
Bourne, usuario normal.
$ # Esto es un comentario $ git config --global log.abbrevcommit
verdadero
Bourne, usuario root.
# # Esto es un comentario # ninja instalacin de
lnea de comandos (cmd.exe).
>REM Esto es un comentario >cd C:\desarrollo
PowerShell.
PS#$> Esto es un comentario PS$>choco list -l
C el cdigo fuente.
#Include "config.h"
volver tvb_capturados_length(tvb); } / TODO: implementar su cdigo de
diseccin / static int diseccionar_Foo_message(tvbuff_t tvb,
packet_info pinfo _u_, proto_tree tree _u_, nula datos _u_) { /* Este
mtodo disecciona foos /
XI
Captulo 1. Introduccin
1.1. Qu es Wireshark?
Wireshark es un analizador de paquetes de red. Un analizador de paquetes
de red intenta capturar paquetes de red e intenta mostrar que paquetes de
datos lo ms detallada posible.
Se podra pensar en un analizador de paquetes de red como un dispositivo
de medicin utilizado para examinar lo que ocurre en el interior de un
cable de red, al igual que un voltmetro es utilizado por un electricista
para examinar lo que est pasando dentro de un cable elctrico (pero en
un nivel superior, por supuesto).
En el pasado, dichas herramientas eran muy caros, propietario o ambos.
Sin embargo, con el advenimiento de Wireshark, todo eso ha cambiado.
Wireshark es quizs uno de los mejores analizadores de paquetes de cdigo
abierto disponibles hoy en da.
1.1.1. Algunos propsitos planteados
aqu son algunos ejemplos de personas utilizar Wireshark para:
Los administradores de red utilizan para solucionar los problemas de la
red Red ingenieros de seguridad la utilizan para examinar los problemas
de seguridad desarrolladores lo utilizan para depurar las
implementaciones de protocolos personas utilizan para aprender el
protocolo de red internals
junto a estos ejemplos Wireshark puede ser til en muchas otras
situaciones demasiado.
1.1.2.
Las siguientes caractersticas son algunas de las muchas caractersticas
Wireshark ofrece:
disponible para UNIX y Windows.
Capturar paquetes de datos en vivo desde una interfaz de red.
Abrir archivos que contengan datos de paquetes capturados con
tcpdump/WinDump, Wireshark, y un nmero de otros programas de captura de
paquetes.
Importar paquetes de archivos de texto que contienen los vuelcos
hexadecimales de paquetes de datos.
Pantalla de paquetes con informacin de protocolo muy detallado.
Guardar datos de paquetes capturados.
Exportar algunos o todos los paquetes en un nmero de formatos de
archivo de captura.
Filtrar paquetes en muchos criterios.
Bsqueda de paquetes en muchos criterios.
Colorear pantalla de paquetes basado en filtros.
Crear diversas estadsticas.
1
Introduccin
...y mucho ms!
Sin embargo, para apreciar realmente su poder tienes que empezar a
usarla.
Figura 1.1, "Wireshark captura los paquetes y le permite examinar su
contenido." muestra Wireshark haber captado algunos paquetes y esperando
para examinarlos.
Figura 1.1. Wireshark captura los paquetes y le permite examinar su
contenido.
1.1.3. La captura de ejemplares vivos de muchos diferentes medios de red
Wireshark puede capturar trfico de diferentes tipos de medios de red - y
a pesar de su nombre, incluyendo acceso inalmbrico a internet. Qu tipos
de medios son compatibles, depende de muchas cosas como el sistema
operativo que est utilizando. Una descripcin general de los tipos de
archivos multimedia compatibles pueden ser encontrados en
https://wiki.wireshark.org/ CaptureSetup/NetworkMedia.
1.1.4. Importar archivos de otros programas de captura de
Wireshark puede abrir paquetes capturados en un gran nmero de otros
programas de captura. Para obtener una lista de los formatos de entrada
Vase la seccin 5.2.2, "Formatos de archivo de entrada".
1.1.5. Exportacin de archivos para otros muchos programas de captura de
Wireshark puede guardar los paquetes capturados en un gran nmero de
formatos de otros programas de captura. Para obtener una lista de
formatos de salida, consulte la seccin 5.3.2, "Formatos de archivo de
salida".
1.1.6. Muchos disectores de protocolo
hay disectores de protocolo (o decodificadores, como se les conoce en
otros productos) para un gran nmero de protocolos:
vase el apndice C, protocolos y campos del Protocolo.
2
Introduccin
1.1.7. Open Source Software
Wireshark es un proyecto de software de cdigo abierto y est liberado
bajo la Licencia Pblica General de GNU (GPL). Usted puede usar
libremente Wireshark en cualquier nmero de ordenadores que te gusta, sin
preocuparse de las claves de licencia o comisiones, o tal. Adems, todo
el cdigo fuente est disponible libremente bajo licencia GPL. Por eso,
es muy fcil para la gente para aadir nuevos protocolos de Wireshark,
como plugins, o integrado en la fuente, y a menudo lo hacen!
1.1.8. Lo que Wireshark no es
aqu estn algunas cosas Wireshark no proporcionan:
Wireshark no es un sistema de deteccin de intrusiones. l no le
avisar cuando alguien hace cosas extraas en la red que l/ella no est
permitido hacer. Sin embargo, si ocurren cosas extraas, Wireshark puede
ayudarle a averiguar lo que realmente est sucediendo.
Wireshark no manipular las cosas en la red, que slo "medir" las cosas
de l. Wireshark no enva los paquetes en la red o hacer otras cosas
activas (excepto para las resoluciones de nombres, pero incluso eso puede
ser desactivada).
1.2. Requisitos del sistema
la cantidad de recursos que Wireshark necesita depende de su entorno y en
el tamao del archivo de captura que est analizando. Los valores abajo
debe estar bien para pequeas y medianas archivos de captura de no ms de
unos pocos cientos de MB. Los archivos de captura de mayor tamao
requerirn ms memoria y espacio en disco.
Las redes ocupadas significa una gran captura
con una extensa red de trabajo puede producir fcilmente enormes archivos
de captura. La captura de un gigabit o incluso 100 Megabit red puede
producir cientos de megabytes de la captura de datos en un corto perodo
de tiempo. Un procesador rpido, mucha memoria y espacio en disco es
siempre una buena idea.
Si se agota la memoria de Wireshark se bloquear. Ver
https://wiki.wireshark.org/KnownBugs/OutOfMemory para obtener informacin
detallada y soluciones alternativas.
Aunque Wireshark captura los paquetes mediante un proceso independiente
de la interfaz principal tiene un nico subproceso y no se benefician
mucho de sistemas multi-core.
1.2.1. Microsoft Windows
La actual versin de Wireshark debe ser compatible con cualquier
versin de Windows que an est dentro de su vida til de soporte
extendido. En el momento de escribir esto incluye Windows 10, 8, 7,
Vista, Server 2016, Server 2012 R2, Server 2012, Server 2008 R2 y Server
2008.
Cualquier moderna de 64 bits AMD64/x86-64 o x86 de 32 bits del
procesador.
400 MB de RAM disponible. Los archivos de captura ms grandes requieren
ms memoria RAM.
300 MB de espacio disponible en disco. Captura de archivos requieren
espacio adicional en disco.
1024768 (12801024 o superior recomendado) de resolucin con un mnimo
de 16 bits de color. Color de 8 bits debe funcionar pero la experiencia
del usuario ser degradada. Los usuarios avanzados encontrarn til para
mltiples monitores.
Una tarjeta de red compatible para capturar
3
Introduccin
Ethernet. Cualquier tarjeta compatible con Windows debera funcionar.
Consulte las pginas wiki en Ethernet y descarga de captura para
problemas que pueden afectar a su entorno.
802.11. Consulte la pgina wiki de Wireshark. Capturar informacin
802.11 raw puede ser difcil sin equipo especial.
Otros medios de comunicacin. Ver
https://wiki.wireshark.org/CaptureSetup/NetworkMedia.
Las versiones de Windows que estn fuera del ciclo de vida de soporte
extendido de Microsoft window ya no son compatibles. A menudo es difcil
o imposible de apoyar estos sistemas debido a circunstancias fuera de
nuestro control, tales como bibliotecas de terceros que dependen o debido
a las caractersticas necesarias que slo estn presentes en las
versiones ms recientes de Windows (tales como la seguridad o la
administracin de memoria endurecida).
Wireshark 1.12 fue la ltima versin de sucursales con Windows Server
2003. Wireshark 1.10 fue la ltima sucursal oficialmente el apoyo a
Windows XP. Consulte la pgina Ciclo de vida de versin de Wireshark para
obtener ms detalles.
1.2.2. UNIX / Linux
Wireshark se ejecuta en la mayora de UNIX y UNIX-like plataformas
incluyendo MacOS y Linux. Los requisitos del sistema deben ser
comparables a los valores de la lista anterior de Windows.
Los paquetes binarios estn disponibles para la mayora de sistemas Unix
y distribuciones Linux, incluidas las plataformas siguientes:
Apple MacOS Debian GNU/Linux FreeBSD Gentoo Linux HP-UX
Mandriva Linux OpenPKG NetBSD Red Hat Enterprise/Fedora Linux
Sun Solaris/i386 Sun Solaris/SPARC Canonical Ubuntu
si un paquete binario no est disponible para su plataforma puede
descargar el cdigo fuente y tratar de construir.
Por favor, informe de sus experiencias a wireshark-dev[at]wireshark.org.
1.3. Dnde obtener Wireshark
puede obtener la copia ms reciente del programa desde el sitio web de
Wireshark https://www.wireshark.org/ download.html. La pgina de descarga
debera resaltar automticamente la descarga apropiada para su
Introduccin
1. Otras personas que encontrar sus contribuciones tiles apreciarn, y
sabr que ha ayudado a personas de la misma manera que los
desarrolladores de Wireshark han ayudado a la gente.
2. Los desarrolladores de Wireshark podra mejorar an ms sus cambios,
como siempre hay margen para mejorar. O se pueden aplicar algunas cosas
avanzadas en la parte superior de su cdigo, que pueden ser tiles para
usted tambin.
3. Los mantenedores y desarrolladores de Wireshark mantendr su cdigo y
fijndolo al API cambia u otros cambios, y generalmente se mantiene en
sintona con lo que est sucediendo con Wireshark. Por lo tanto, si se
actualiza de Wireshark (que se hace a menudo), puede obtener una nueva
versin de Wireshark desde la web y los cambios ya estarn incluidos sin
ningn esfuerzo para usted.
El cdigo fuente y binario de Wireshark kits para algunas plataformas
estn disponibles en la pgina de descarga de la pgina web: Wireshark
https://www.wireshark.org/download.html.
1.6. Informar de problemas y obtencin de ayuda
si tiene problemas o necesita ayuda con Wireshark hay varios lugares que
pueden ser de inters para usted (bueno, adems de esta gua, por
supuesto).
1.6.1. Sitio web
encontrar mucha informacin til en la pgina web en Wireshark
https://www.wireshark.org/.
1.6.2.
Wireshark Wiki Wiki en Https://wiki.wireshark.org/ proporciona una amplia
gama de informacin relacionada con Wireshark y captura de paquetes en
general. Encontrar un montn de informacin no forma parte de esta gua
del usuario.
Por ejemplo, existe una explicacin de cmo capturar en una red
conmutada, un esfuerzo continuo para crear un protocolo de referencia y
mucho ms.
Y lo mejor de todo, si usted quiere contribuir con sus conocimientos
sobre un tema especfico (tal vez un protocolo de red que usted conoce
bien) puede editar las pginas wiki, simplemente usando su navegador web.
1.6.3. Q&Un sitio
Wireshark Q&a un sitio Https://ask.wireshark.org/ ofrece un recurso
donde las preguntas y respuestas vienen juntos. Usted tiene la opcin de
buscar lo que se formularon preguntas antes y qu respuestas fueron dadas
por personas que saban acerca de la cuestin. Las respuestas se
califican, as puedes elegir los mejores fcilmente. Si tu pregunta no ha
sido discutido antes puede publicar uno mismo.
1.6.4. FAQ
Preguntas Frecuentes a menudo listas de preguntas frecuentes y sus
respuestas correspondientes.
Lea las preguntas frecuentes
antes de enviar cualquier correo a las listas de correo a continuacin,
asegrese de leer las FAQ. Por lo que a menudo contestar cualquier
pregunta que usted pueda tener. Esto ahorrar a s mismo y a los dems un
montn de tiempo. Tenga en cuenta que muchas personas estn suscritos a
las listas de correo.
Encontrar las preguntas ms frecuentes dentro de Wireshark haciendo clic
en el elemento de men Ayuda/contenido y seleccionar la pgina de FAQ en
el dilogo que aparece.
6
Introduccin
Una versin online est disponible en el sitio web de Wireshark
https://www.wireshark.org/faq.html. Usted puede preferir esta versin en
lnea, ya que es normalmente ms hasta la fecha y el formato HTML es ms
fcil de usar.
1.6.5. Listas de correo
hay varias listas de correo especficas de Wireshark temas disponibles:
wireshark-anunciar esta lista de correo le informar acerca de las nuevas
versiones de programas, los cuales generalmente aparecen aproximadamente
cada 4-8 semanas.
wireshark-usuarios de esta lista es para los usuarios de Wireshark. La
gente publica sobre la creacin y uso de Wireshark, otros (esperemos)
proporcionan respuestas.
wireshark-dev Esta lista es para desarrolladores de Wireshark. Si desea
iniciar la elaboracin de un protocolo, el disector de unirse a esta
lista.
Puede suscribirse a cada una de estas listas desde el sitio web de
Wireshark: https://www.wireshark.org/lists/.
A partir de ah, puede elegir qu lista de correo que desee suscribirse
Suscribirse haciendo clic en el botn Cancelar suscripcin//Opciones bajo
el ttulo de la lista correspondiente. Los enlaces a los archivos estn
incluidos en esa pgina.
Las listas son archivados
puede buscar en los archivos de la lista para ver si alguien la misma
pregunta algn tiempo antes y quizs ya tiene una respuesta. De esa
manera, usted no tiene que esperar hasta que alguien responde a su
pregunta.
1.6.6. Reportar Problemas
Nota
antes de reportar cualquier problema, por favor asegrese de que tiene
instalada la ltima versin de Wireshark.
Cuando se informa de problemas con Wireshark por favor suministre la
siguiente informacin:
1. El nmero de versin de Wireshark y las bibliotecas dependientes
vinculadas con ella, como Qt o GLib. Puede obtenerlo en Wireshark acerca
de cuadro o el comando wireshark -v.
2. Informacin acerca de la plataforma se ejecuta en Wireshark.
3. Una descripcin detallada de su problema.
4. Si obtiene un mensaje de error/advertencia, copie el texto del mensaje
(y unas cuantas lneas antes y despus de ella, si hay alguna) para que
otros puedan encontrar el lugar donde las cosas van mal. Por favor no dar
algo como: "Me aparece un mensaje de advertencia mientras hacen x" como
este no te dan una buena idea de dnde mirar.
No enviar archivos de gran tamao
no enviar archivos grandes (> 1 MB) para las listas de correo. Basta
con colocar una nota que an hay datos disponibles bajo peticin.
Archivos grandes slo molestar a un montn de gente en la lista que no
estn interesados en su problema especfico. Si es necesario, se le
pedir ms datos por parte de las personas que realmente te puede ayudar.
7
Introduccin
No enve informacin confidencial!
Si enva archivos de captura a las listas de correo debe asegurarse de
que no contienen ninguna informacin sensible o confidencial, como
contraseas o informacin personal identificable (PII).
1.6.7. Los bloqueos de informe sobre plataformas UNIX/Linux
cuando se informa se bloquea con Wireshark es til si usted proporciona
el rastreo informacin junto con la informacin mencionada en "Reportar
Problemas".
Puede obtener esta informacin de trazas con los siguientes comandos de
UNIX o Linux (la nota de las comillas invertidas):
$ gdb 'whereis wireshark | cut -f2 -d: | cut -d -f2 ''' core >&
backtrace backtrace ^D.txt
si no tiene gdb disponible, usted tendr que verificar su depurador del
sistema operativo.
Backtrace Correo.txt a wireshark-dev[at]wireshark.org.
1.6.8. Los bloqueos de informe sobre plataformas Windows,
las distribuciones de Windows no contienen los archivos de smbolos
(.pdb), porque son muy grandes. Puede descargarlas por separado en
Https://www.wireshark.org/download/win32/all-versions/ y https://
Www.wireshark.org/download/win64/all-versions/ .
8
construyendo e instalando
los componentes de Wireshark y seleccione la ubicacin del paquete
instalado. Se recomienda usar la configuracin predeterminada para la
mayora de los usuarios.
2.3.1. Componentes de instalacin
en la pgina Seleccionar componentes del instalador puede seleccionar
entre las siguientes opciones:
Wireshark - El analizador de protocolos de red que todos conocemos y
sobre todo el amor.
TShark - una lnea de comandos analizador de protocolos de red. Si no
lo ha probado usted debe.
Wireshark 1 Legado - El viejo (GTK+) interfaz de usuario en caso de que
lo necesites.
Plugins y extensiones - extras para el Wireshark y TShark motores
diseccin Disector con algunos plugins plugins - extended disecciones.
rbol Plugins - Estadsticas Estadsticas ampliadas.
El Mate - Meta anlisis y rastreo de motor - extensin configurable por
el usuario(s) del motor, el filtro de pantalla consulte
https://wiki.wireshark.org/Mate para ms detalles.
- SNMP MIB SNMP MIB SNMP para una descripcin ms detallada de la
diseccin.
Herramientas - Otras herramientas de lnea de comandos para trabajar
con archivos de captura Editcap - Lee un archivo de captura y escribe
algunos o todos los paquetes en otro archivo de captura.
Text2Pcap - lee un carcter ASCII hexadecimal y escribe los datos en un
archivo de captura pcap.
Reordercap - reordena un archivo de captura por timestamp.
Mergecap: combina varios archivos de captura guardado en un nico
archivo de salida.
Capinfos - Proporciona informacin sobre archivos de captura.
Rawshark - Raw packet filter.
Gua del usuario - La instalacin local de la Gua del usuario. Los
botones de Ayuda en la mayora de dilogos requerir de una conexin a
internet para mostrar pginas de ayuda si la Gua del usuario no est
instalado localmente.
2.3.2. Tareas adicionales
Los accesos directos del men Inicio - agregar algunos accesos directos
en el men Inicio.
El icono de escritorio - Aadir un icono al escritorio de Wireshark.
El icono de Inicio Rpido - aadir un icono de Wireshark para el inicio
rpido de la barra de herramientas del explorador.
Asociar extensiones de archivo a Wireshark - asociar archivos de traza
de red estndar de Wireshark.
2.3.3. Ubicacin de instalacin
por defecto Wireshark se instala en %ProgramFiles%\Wireshark en Windows
de 32 bits64 y %ProgramFiles%\Wireshark en Windows de 64 bits. Esto
expande a C:\Archivos de programa \Wireshark en la mayora de los
sistemas.
10 La
creacin e instalacin de
nuevas versiones de Wireshark Wireshark suelen publicarse cada cuatro a
seis semanas. Actualizacin de Wireshark se realiza de la misma manera
como instalarlo. Simplemente descargue e inicie el instalador EXE. Un
reinicio generalmente no es necesario, y todos sus ajustes personales
permanecen inalterados.
2.3.8. Actualizacin de
nuevas versiones de WinPcap WinPcap estn disponibles con menos
frecuencia. Encontrar las instrucciones para la actualizacin de WinPcap
WinPcap sitio web en https://www.winpcap.org/. Puede que tenga que
reiniciar el equipo despus de instalar una nueva versin de WinPcap.
2.3.9. Desinstalacin
Puedes desinstalar Wireshark Wireshark usando el panel de control
Programas y caractersticas. Seleccione la entrada "Wireshark" para
iniciar el proceso de desinstalacin.
El desinstalador de Wireshark ofrece varias opciones para la extraccin.
El valor predeterminado es para quitar los componentes bsicos, pero
mantener su configuracin personal y WinPcap. WinPcap se deja instalado
por defecto en el caso de otros programas lo necesitan.
2.3.10. Desinstalacin
Puedes desinstalar WinPcap WinPcap independientemente de Wireshark usando
la entrada de WinPcap en Programas y caractersticas en el panel de
control. Recuerde que si desinstala WinPcap no podr capturar cualquier
cosa con Wireshark.
2.4. Instalar Wireshark bajo MacOS
el diario macOS paquetes se distribuyen como imgenes de disco (.dmg) que
contiene el instalador de la aplicacin. Instalar Wireshark simplemente
abrir la imagen de disco y ejecute el programa de instalacin adjunto.
El paquete de instalacin incluye Wireshark, sus utilidades de lnea de
comando, y un daemon de lanzamiento que ajusta los permisos de captura al
inicio del sistema. Consulte el archivo lame incluido para obtener ms
detalles.
2.5. Construccin de Wireshark desde el cdigo fuente bajo UNIX
Edificio Wireshark requiere la correcta construccin de medio ambiente
incluye un compilador y muchas bibliotecas de soporte. Consulte la Gua
para Desarrolladores en Https://www.wireshark.org/docs/ para ms
informacin.
Utilice los siguientes pasos generales para construir Wireshark desde
fuente bajo UNIX o Linux:
1. Desempaquetar el cdigo fuente de su archivo tar comprimido. Si est
utilizando Linux o su versin de Unix usa GNU tar puede usar el siguiente
comando:
$ tar xaf wireshark-2.4.5.tar.xz
en otros casos, usted tendr que usar los siguientes comandos:
$ xz wireshark -d-2.4.5.tar.xz $ tar xf wireshark-2.4.5.tar
2. Cambie el directorio al directorio de origen de Wireshark.
12
Construccin e instalacin
$ cd Wireshark wireshark-2.4.5
3. Configurar la fuente de manera que construir correctamente para su
versin de UNIX. Usted puede hacer esto con el siguiente comando:
$ ./configure
Si este paso falla, tendr que corregir el problema y vuelva a ejecutar
la configuracin. Sugerencias para la solucin de problemas se
proporcionan en la seccin 2.7, "Resolucin de problemas durante la
instalacin en Unix".
4. Construir las fuentes.
$ make
5. Instale el software en su destino final.
$ make install
Una vez instalado Wireshark con make install arriba, usted debera ser
capaz de ejecutar mediante la introduccin de Wireshark.
2.6. Instalar los binarios bajo UNIX
en general instalando los binarios bajo su versin de Unix ser
especfico para los mtodos de instalacin utilizados con su versin de
UNIX. Por ejemplo, en AIX, usara SMIT para instalar el paquete binario
de Wireshark, mientras que con Tru64 UNIX (antes conocido como Digital
UNIX) que utilizara setld.
2.6.1. Instalacin de RPM bajo Red Hat e igualmente
construir RPMs desde el cdigo fuente de Wireshark resultados en varios
paquetes (la mayora de las distribuciones, siga el mismo sistema):
El paquete contiene el ncleo de wireshark Wireshark, bibliotecas y
herramientas de lnea de comandos.
El wireshark-paquete qt contiene la interfaz grfica de usuario basada
en qt.
El wireshark-gtk (antiguamente wireshark-gnome) paquete contiene el
legado GUI basado en GTK+.
Muchas distribuciones utilice yum o una herramienta de gestin de
paquetes similar para realizar la instalacin del software (incluidas sus
dependencias) ms fcil. Si su distribucin utiliza yum, use el siguiente
comando para instalar Wireshark junto con la GUI Qt:
yum install wireshark wireshark-qt
Si has construido tu propia RPMs desde los orgenes de Wireshark puede
instalarlos ejecutando, por ejemplo:
rpm -ivh wireshark-2.0.0-1.x86_64.rpm wireshark-qt-2.0.0-1.x86_64.rpm
Si el comando mencionado anteriormente falla porque faltan dependencias,
instalar las dependencias primero y, a continuacin, vuelva a intentar el
paso anterior.
2.6.2. Instalacin de deb's en Debian, Ubuntu y otros derivados de Debian
Si se puede instalar desde el repositorio, entonces utilice
$ aptitude install wireshark
13
construir e instalar Wireshark
Aptitude debe ocuparse de todos los problemas de dependencias para usted.
Utilice el siguiente comando para instalar Descargar Wireshark deb's en
Debian:
$ dpkg -i wireshark-common_2.0.5.0-1_i386.deb_wireshark wireshark-
2.0.5.0-1_i386.deb
dpkg no ocuparse de todas las dependencias, pero informa de lo faltante.
Captura requiere privilegios
instalando paquetes Wireshark los usuarios no root no obtener derechos
automticamente para capturar paquetes. Para permitir que los usuarios
que no sean root para capturar paquetes, siga el procedimiento descrito
en /usr/share/doc/wireshark-common/README.Debian
2.6.3. Instalacin de portage en Gentoo Linux,
use el siguiente comando para instalar Wireshark bajo Gentoo Linux con
todas las caractersticas extras:
$ USE="c-ares gtk ipv6 snmp portaudio ssl roscas kerberos selinux" emerge
Wireshark
2.6.4. Instalacin de paquetes bajo FreeBSD,
use el siguiente comando para instalar Wireshark bajo FreeBSD:
$ pkg_add -r wireshark
pkg_add debe ocuparse de todos los problemas de dependencias para usted.
2.7. Resolucin de problemas durante la instalacin en Unix una serie
de errores que pueden ocurrir durante el proceso de instalacin.
Algunos consejos sobre como resolver estos se proporcionan aqu.
Si la configuracin de la etapa no tendr que averiguar por qu. Puede
comprobar el archivo config.log en el directorio de origen para averiguar
qu ha fallado. Las ltimas lneas de este archivo debera ayudar a
determinar el problema.
Los problemas estndar son que usted no tiene un paquete de desarrollo
necesario en el sistema o que el paquete de desarrollo no es suficiente.
Tenga en cuenta que la instalacin de un paquete de biblioteca no es
suficiente. Necesita instalar el paquete de desarrollo. configurar
tambin fallar si no tiene libpcap (al menos el requisito de incluir
archivos) en su sistema.
Si no puede determinar cules son los problemas, enve un correo
electrnico a la lista de correo de wireshark-dev explicando tu problema.
Incluye la salida del fichero config.log y cualquier otra cosa que
consideres relevantes tales como realizar un seguimiento de la etapa.
2.8. Compilando desde Codigos bajo Windows
Se recomienda encarecidamente que utilice el instalador binario de
Windows a menos que quieren empezar a desarrollar Wireshark en la
plataforma Windows.
Para ms informacin de cmo construir Wireshark para Windows desde las
fuentes consulte Developer's Guide en https://www.wireshark.org/docs/.
Si lo desea, tambin puede echar un vistazo a la Wiki de Desarrollo
(https://wiki.wireshark.org/Development) para la ltima documentacin de
desarrollo disponibles.
14
Captulo 3. Interfaz de usuario
3.1. Introduccin
Ahora que ha instalado Wireshark y muy probablemente preparado para
empezar a capturar sus primeros paquetes.
En los prximos captulos exploraremos:
Cmo funciona la interfaz de usuario de Wireshark Cmo capturar
paquetes en Wireshark Cmo ver paquetes en Wireshark Cmo filtrar
paquetes en Wireshark ... y muchas otras cosas!
3.2. Iniciar Wireshark
puede iniciar Wireshark desde la shell o gestor de ventanas.
Sugerencia para usuarios de potencia
al arrancar Wireshark es posible especificar la configuracin opcional
mediante la lnea de comandos.
Consulte Seccin 10.2, "Iniciar Wireshark desde la lnea de comandos"
para ms detalles.
En los captulos siguientes, un montn de capturas de pantalla de
Wireshark ser mostrado. Como Wireshark se ejecuta en muchas plataformas
diferentes con diferentes Gestores de ventanas, diferentes estilos
aplicados y existen diferentes versiones de la GUI Toolkit subyacente
utilizado, su pantalla puede tener un aspecto diferente en las capturas
de pantalla. Pero como no hay verdaderas diferencias en la funcionalidad
de estas capturas de pantalla an debe estar bien comprensible.
3.3. La ventana principal
veamos Wireshark la interfaz de usuario. Figura 3.1, "La ventana
principal" muestra Wireshark como lo hara normalmente lo ve despus de
algunos paquetes se capturan o cargado (cmo hacer esto se describe ms
adelante).
Interfaz de usuario 15
Figura 3.1. La ventana principal
La ventana principal de Wireshark se compone de partes que son comnmente
conocida por muchos otros programas GUI.
1. El men (consulte la seccin 3.4, "El men") se utiliza para iniciar
acciones.
2. La barra de herramientas principal (vase la seccin 3.16, "La" de la
barra de herramientas "Principal") proporciona acceso rpido a los
elementos utilizados con frecuencia en el men.
3. La barra de herramientas Filtro (consulte Seccin 3.17, "El "filtro"
de la barra de herramientas") proporciona una manera de manipular
directamente el filtro de visualizacin utilizados actualmente (vase la
seccin 6.3, "Filtrado de paquetes mientras viewing").
4. El panel Lista de paquetes (consulte Seccin 3.18, "paquetes" de la
"Lista"), el panel muestra un resumen de todos los paquetes capturados.
Haciendo clic en los paquetes en este panel permite controlar lo que
aparece en los otros dos paneles.
5. El panel de detalles del paquete (consulte Seccin 3.19, "El "paquete"
del panel de detalles") muestra el paquete seleccionado en el panel de
lista de paquetes con ms detalle.
6. El panel packet bytes (consulte Seccin 3.20, "El panel "Packet
Bytes"") muestra los datos del paquete seleccionado en el panel de lista
de paquetes, y resalta el campo seleccionado en el panel de detalles del
paquete.
7. La barra de estado (consulte Seccin 3.21, "La barra de estado muestra
informacin detallada sobre el estado actual del programa y los datos
capturados.
Sugerencia
El diseo de la ventana principal se puede personalizar cambiando la
configuracin de preferencias. Consulte Seccin 10.5, "Preferencias" para
ms detalles!
Interfaz de usuario 16
3.3.1.
Lista de paquetes de navegacin de la ventana principal y el detalle de
la navegacin puede hacerse completamente desde el teclado. Tabla 3.1,
"navegacin con teclado" muestra una lista de las pulsaciones de teclas
que le permiten moverse rpidamente alrededor de un archivo de captura.
Consulte la Tabla 3.5, "Go" para los elementos del men de navegacin
adicionales pulsaciones de teclas.
Tabla 3.1.
Acelerador de navegacin por teclado
Ficha Descripcin, Mays+Tab mueve entre los elementos de la pantalla,
por ejemplo, a partir de las barras de herramientas de la lista de
paquetes para el paquete detalle.
Mover hacia abajo al siguiente paquete o elemento de detalle.
Hasta desplazarse al anterior paquete o elemento de detalle.
Ctrl+Flecha abajo, F8 pasar al siguiente paquete, incluso si la lista de
paquetes no est centrado.
Ctrl+Flecha arriba, F7 para mover el paquete anterior, incluso si la
lista de paquetes no est centrado.
Ctrl+. Moverse al siguiente paquete de la conversacin (TCP, UDP o IP).
Ctrl+, mueva el paquete anterior de la conversacin (TCP, UDP o IP).
Alt+Derecha o pasar al siguiente paquete en el historial de seleccin.
Opcin+Derecha (MacOS)
Alt+Izquierda o mover el paquete anterior en el historial de seleccin.
Opcin+Derecha (MacOS) dej en el paquete detalle, cierra el elemento
seleccionado en el rbol. Si ya est cerrado, salta al nodo principal.
Justo en el paquete detalle, abre el elemento seleccionado en el rbol.
Mays+Derecho en detalle el paquete, se abre el elemento de rbol
seleccionado y todos sus subrboles.
Ctrl+Derecha en detalle el paquete, se abre a todos los elementos de
rbol.
Ctrl+Izquierda en el paquete detalle, cierra todos los elementos del
rbol.
Retroceso en el paquete detalle, salta al nodo principal.
Volver, entrar en los detalles del paquete, cambia el elemento
seleccionado en el rbol.
Ayuda Acerca de Wireshark Mtodos abreviados de teclado se mostrar
una lista de todos los accesos directos en la ventana principal.
Adems, al escribir en cualquier parte de la ventana principal comenzar
el llenado en un filtro de visualizacin.
3.4. El men
el men principal de Wireshark est situado en la parte superior de la
ventana principal (Windows, Linux) o en la parte superior de la pantalla
principal (MacOS). Un ejemplo se muestra en la Figura 3.2, "El Men".
Nota
Algunos elementos de men ser desactivado (atenuado) si la funcin
correspondiente no est disponible.
Por ejemplo, no puede guardar un archivo de captura si no ha capturado o
cargar los paquetes.
Figura 3.2. El men
17 de
interfaz de usuario
el men principal contiene los siguientes elementos:
ARCHIVO Este men contiene opciones para abrir y combinar archivos de
captura, guardar, imprimir o exportar archivos de captura en todo o en
parte, y para cerrar la aplicacin Wireshark. Consulte Seccin 3.5, "El
men "Archivo"".
Editar Este men contiene opciones para encontrar un paquete, el tiempo
de referencia o marque uno o ms paquetes, manejar perfiles de
configuracin y configurar sus preferencias; (cortar, copiar y pegar no
se aplica actualmente).
Consulte Seccin 3.6, "El men "Editar"".
Ver Este men controla la visualizacin de los datos capturados,
incluyendo la colorizacin de paquetes, zoom de la fuente, mostrando un
paquete en una ventana separada, la expansin y contraccin de los
rboles en los detalles del paquete, ....
Consulte Seccin 3.7, "El men "Ver"".
Vaya Este men contiene opciones para ir a un determinado paquete.
Consulte Seccin 3.8, "El men "Ir"".
Capturar Este men le permite iniciar y detener la captura y editar
filtros de captura. Consulte Seccin 3.9, "La "captura" del men".
Analizar Este men contiene opciones para manipular mostrar filtros,
habilitar o deshabilitar la diseccin de protocolos, configure el usuario
especificado descodifica y siga un flujo TCP. Consulte Seccin 3.10,
"Analizar" el "men".
Este men contiene elementos de estadsticas para mostrar varias ventanas
de estadsticas, incluyendo un resumen de los paquetes que han sido
capturados, el protocolo de visualizacin jerarqua estadsticas y mucho
ms. Consulte Seccin 3.11, "la" del men "Estadsticas".
Este men contiene elementos de telefona para mostrar diversas
estadsticas relacionadas con telefona de Windows, incluyendo un
anlisis de los medios, diagramas de flujo, el protocolo de visualizacin
jerarqua estadsticas y mucho ms. Consulte Seccin 3.12, "telefona" el
"men".
Wireless los elementos de este men mostrar Bluetooth inalmbrica IEEE
802.11 y estadsticas.
Este men contiene herramientas diversas herramientas disponibles en
Wireshark, como la creacin de cortafuegos reglas ACL. Consulte Seccin
3.13, "la" del men "Herramientas".
Ayuda Este men contiene opciones para ayudar al usuario, por ejemplo, el
acceso a algunas pginas del manual de ayuda bsica, de las diversas
herramientas de lnea de comandos, el acceso en lnea a algunas de las
pginas web, y el habitual dilogo Acerca de. Consulte Seccin 3.15, "El
men "Ayuda"".
Cada uno de estos elementos de men se describen en mayor detalle en las
secciones que siguen.
Hacer la vida ms fcil accesos directos a
elementos de men ms comunes tienen mtodos abreviados de teclado. Por
ejemplo, puede pulsar el mando (o Strg en alemn) y los K claves juntos
para abrir el cuadro de dilogo "Opciones de captura".
Interfaz de usuario 18
3.5. El men "Archivo"
del men Archivo Wireshark contiene los campos que se muestran en la
Tabla 3.2, "Opciones del men Archivo".
Figura 3.3. El men "Archivo" en el
cuadro 3.2. Las opciones del men Archivo
men Descripcin del Acelerador
abierto... Ctrl+O muestra el cuadro de dilogo Abrir archivo que le
permite cargar un archivo de captura para su visualizacin. Se discute en
ms detalle en la seccin 5.2.1, "El "Abrir archivo de captura" cuadro de
dilogo".
Abrir reciente Esto permite abrir archivos de captura recientemente
inaugurado.
Al hacer clic en uno de los elementos de submen abrir el
correspondiente archivo de captura directamente.
Combinar... Este elemento de men permite combinar un archivo de captura
en el cargados actualmente. Se discute en ms detalle en la seccin 5.4,
"Combinar archivos de captura".
Importar de Volcado hexadecimal... Este elemento de men abre el cuadro
de dilogo Importar archivo que le permite importar un archivo de texto
que contiene un volcado hexadecimal en una nueva captura temporal. Se
discute en ms detalle en la seccin 5.5, "Importar hex dump".
Cerrar Ctrl+W Este elemento de men se cierra la captura actual. Si no ha
guardado la captura, se le pedir que lo haga primero (esto puede ser
desactivado por un valor de preferencia).
Interfaz de usuario 19
Elemento de men
Guardar Acelerador Ctrl+S
Guardar como... Mays+Ctrl+S
Conjunto de Archivo Lista de archivos
Archivo Configurar Archivo siguiente
conjunto de Archivo
Exportar archivo anterior paquetes especificados...
Exportacin disecciones de paquetes... Ctrl+H
Exportar objetos
Imprimir... Ctrl+P
20
Descripcin
Este elemento de men se guarda la captura actual. Si no ha configurado
un nombre de archivo de captura predeterminado (quizs con la opcin -w
<capfile>Opcin), Wireshark emergente para guardar el archivo de captura
como cuadro de dilogo (que se discute en la seccin 5.3.1, "El archivo
de captura de "Guardar como" cuadro de dilogo").
Si ya ha guardado la captura actual, este elemento de men estar
atenuado.
No se puede guardar una captura en vivo mientras el proceso de captura.
Debe detener la captura con el fin de guardarlo.
Este men le permite guardar el archivo de captura actual para cualquier
archivo que le gustara. Aparece el cuadro de dilogo Guardar como
archivo de captura de cuadro (que se discute en la seccin 5.3.1,
"Guardar como archivo de captura" cuadro de dilogo").
Este elemento del men le permite mostrar una lista de archivos en un
archivo. Aparece el conjunto de archivos de lista de Wireshark (cuadro de
dilogo, que se analiza con ms detalle en la seccin 5.6, "conjuntos de
archivos").
Si el archivo cargado actualmente es parte de un conjunto de archivos,
saltar al siguiente archivo en el conjunto. Si no es parte de un conjunto
de archivos o slo el ltimo archivo de ese conjunto, este tema est
atenuado.
Si el archivo cargado actualmente es parte de un conjunto de archivos,
saltar al archivo anterior en el conjunto. Si no es parte de un conjunto
de archivos o slo el primer archivo en ese conjunto, este tema est
atenuado.
Este elemento de men permite exportar todos (o algunos) de los paquetes
en el archivo de captura en archivo. Aparece el cuadro de dilogo
Exportar Wireshark (que se discute en Seccin 5.7, "Exportar datos").
Estos elementos de men le permiten exportar los bytes actualmente
seleccionado en el panel packet bytes a un archivo de texto, un archivo
en varios formatos, incluyendo plain, CSV y XML. Se analiza con ms
detalle en la seccin 5.7.7, "El paquete seleccionado de exportacin
"bytes" cuadro de dilogo".
Estos elementos de men le permiten exportar capturados, DICOM, SMB, HTTP
o TFTP objetos en archivos locales. Aparece una lista de objetos
correspondiente (que se discute en la seccin 5.7.8, "El "Exportar
objetos" cuadro de dilogo")
Esta opcin de men le permite imprimir todos (o algunos) de los paquetes
en el archivo de captura. Aparece el cuadro de dilogo Imprimir de
Wireshark (que se discute en la seccin 5.8, "paquetes de impresin").
Interfaz de usuario
3.7. El men "Ver"
del men Ver de Wireshark contiene los campos que se muestran en la Tabla
3.4, los elementos de men "Ver".
Figura 3.5. El men "Ver" la
tabla 3.4. Ver los elementos de men del
men de la barra de herramientas Principal Descripcin del acelerador
este elemento de men se muestra u oculta la barra de herramientas
principal, consulte la seccin 3.16, "La" de la barra de herramientas
"Principal".
Este elemento de men de la barra de herramientas Filtro muestra u oculta
la barra de herramientas filtro, consulte la seccin 3.17, "El "filtro"
de la barra de herramientas".
Este elemento de men Barra de herramientas inalmbricas muestra u oculta
la barra de herramientas inalmbricas. No puede estar presente en algunas
plataformas.
Este elemento de men Barra de estado muestra u oculta la barra de
estado, consulte la seccin 3.21, "Barra de estado".
Lista de paquetes Este elemento de men se muestra u oculta el panel de
lista de paquetes, consulte la seccin 3.18, "el "panel" de la lista de
paquetes".
Detalles del paquete Este elemento de men se muestra u oculta el panel
de detalles del paquete, consulte la seccin 3.19, "El "paquete" del
panel de detalles".
Packet Bytes Este elemento de men se muestra u oculta el panel packet
bytes, consulte Seccin 3.20, "El panel "Packet Bytes"".
23
Interfaz de usuario 26
Figura 3.6. El men "Ir"
Cuadro 3.5. Vaya elementos del men
Elemento acelerador
atrs Alt+
Adelante Alt+
Ir a Paquete... Ctrl+G
Ir al paquete correspondiente
paquete anterior Ctrl+
Paquete siguiente Ctrl+
Primer Paquete Ctrl+Inicio ltimo Paquete Ctrl+Fin
27
Descripcin
Saltar a la visit recientemente el paquete en el paquete de la historia,
como el historial de la pgina en un explorador web.
Saltar al siguiente visit el paquete en el paquete de la historia, como
el historial de la pgina en un explorador web.
Traer un marco de ventana que permite especificar un nmero de paquetes
y, a continuacin, va a ese paquete. Consulte Seccin 6.9, "Ir a un
paquete especfico" para ms detalles.
Vaya al paquete correspondiente del campo protocolo seleccionado
actualmente. Si el campo seleccionado no corresponde a un paquete, este
tema est atenuado.
Ir a la anterior en la lista de paquetes. Esto puede utilizarse para
mover el paquete anterior, incluso si la lista de paquetes no tiene el
foco del teclado.
Pasar a la siguiente en la lista de paquetes. Esto puede utilizarse para
mover el paquete anterior, incluso si la lista de paquetes no tiene el
foco del teclado.
Saltar al primer paquete del archivo de captura.
Saltar al ltimo paquete del archivo de captura.
Interfaz de usuario 32
Figura 3.10. El men "Telefona"
Todos los elementos del men, se abrir una nueva ventana que muestra
informacin estadstica relacionada con telefona especfico.
Cuadro 3.9. Elementos del men de telefona
elemento acelerador
Interfaz de usuario 35
Figura 3.13. La "Ayuda" del men
Tabla 3.12. Ayudar a elementos del men
Elemento contenido del Acelerador
Manual F1 pginas ...
Sitio Web
FAQ's
Descargas
Interfaz de usuario
nota
abriendo un navegador Web podran no ser compatibles con su versin de
Wireshark. Si este es el caso, los elementos de men correspondientes
quedarn ocultos.
Si llama un navegador Web falla en su mquina, no ocurre nada, o el
navegador se inicia pero no se muestra la pgina, eche un vistazo a la
configuracin del explorador web en el cuadro de dilogo de preferencias.
3.16. La "Principal" de la barra de herramientas
La barra de herramientas principal proporciona acceso rpido a los
elementos utilizados con frecuencia en el men. Esta barra de
herramientas puede ser personalizado por el usuario, pero se puede
ocultar mediante el men Ver, si el espacio de la pantalla es an ms
necesario para mostrar los datos del paquete.
En el men, slo los elementos tiles en el estado actual del programa
estar disponible. Los dems sern atenuadas (por ejemplo, no puede
guardar un archivo de captura si no ha cargado uno).
La figura 3.14. La "Principal" de la barra de herramientas
Tabla 3.13. Los elementos de la barra de herramientas La
barra de herramientas La barra de herramientas principal Elemento
Descripcin del elemento de men Icono
Interfaces... Capturar Este elemento muestra las interfaces de captura
de
Interfaces... Cuadro de dilogo de lista (que se examinan ms adelante en
la seccin 4.3, "Iniciar captura").
Opciones... Opciones de captura... Este elemento muestra el cuadro de
dilogo Opciones de captura (que se examinan ms adelante en la seccin
4.3, "Iniciar captura") y le permite iniciar la captura de paquetes.
Iniciar Captura Iniciar este tema inicia la captura de paquetes con las
opciones desde la ltima vez.
Detener Captura Detener este tema detiene el proceso de captura en vivo
actualmente en ejecucin en Seccin 4.3, "Iniciar captura").
Reinicie Capturar Reiniciar este tema detiene el proceso de captura en
vivo actualmente en ejecucin y reinicia de nuevo, para mayor comodidad.
Abrir... Archivo Abrir... Este elemento muestra el cuadro de dilogo
Abrir archivo que le permite cargar un archivo de captura para su
visualizacin. Se discute en ms detalle en la seccin 5.2.1, "El "Abrir
archivo de captura" cuadro de dilogo".
Guardar como... Archivo Guardar como... Este elemento le permite
guardar el archivo de captura actual para cualquier archivo que le
gustara. Aparece el cuadro de dilogo Guardar como archivo de captura de
cuadro (que se discute en la seccin 5.3.1, "Guardar como archivo de
captura" cuadro de dilogo").
37
Interfaz de usuario 40
Por ejemplo, echemos un vistazo a un paquete que contiene TCP IP interior
dentro de un paquete Ethernet. El disector Ethernet escribir sus datos
(como las direcciones Ethernet), el disector IP sobrescribir este por su
propio (como las direcciones IP), el disector TCP sobrescribir la
informacin IP, y as sucesivamente.
Hay un montn de diferentes columnas disponibles. Las columnas que se
muestran pueden ser seleccionados por los parmetros de preferencia,
consulte la seccin 10.5, "Preferencias".
Las columnas predeterminadas mostrar:
No. El nmero del paquete en el archivo de captura. Este nmero no
cambiar, incluso si se usa un filtro de visualizacin.
Tiempo el timestamp del paquete. El formato de presentacin de esta
marca de tiempo se puede cambiar, consulte la seccin 6.12, "Tiempo de
formatos de visualizacin y las referencias de tiempo".
Fuente la direccin donde este paquete est viniendo.
La direccin de destino donde se va a este paquete.
Protocolo el nombre del protocolo en un corto (quizs) versin
abreviada.
La longitud de cada paquete.
Informacin Informacin adicional acerca del contenido del paquete. La
primera columna muestra cmo cada paquete est relacionado con el paquete
seleccionado. Por ejemplo, en la imagen de arriba el primer paquete
seleccionado, que es una peticin DNS. Wireshark muestra una flecha hacia
la derecha para la propia solicitud, seguido de una flecha a la izquierda
para la respuesta en el paquete 2. Por qu hay una lnea discontinua?
Hay ms paquetes DNS ms abajo que utilizan los mismos nmeros de puerto.
Wireshark tratarlas como pertenecientes a la misma conversacin y dibuja
una lnea que conecta los mismos.
Tabla 3.15. Smbolos de paquetes relacionados
primer paquete en una conversacin.
Parte de la conversacin seleccionada.
No forma parte de la conversacin seleccionada.
ltimo paquete en una conversacin.
Solicitud.
Respuesta.
El paquete seleccionado reconoce este paquete.
El paquete seleccionado es un duplicado del acuse de recibo de este
paquete.
El paquete seleccionado est relacionado con este paquete de alguna otra
manera, por ejemplo, como parte del montaje.
La lista de paquetes tiene una barra de desplazamiento inteligente que
muestra un mapa en miniatura de cerca los paquetes. Cada lnea de trama
de scrollbar corresponde a un solo paquete, por lo que el nmero de
paquetes que aparecen en el mapa depende
41
Interfaz de usuario
en el espacio fsico de la pantalla y la altura de la lista de paquetes.
Un alto la lista de paquetes en una de alta resolucin ("Retina") se
mostrar muy pocos paquetes. En la imagen de arriba el scrollbar muestra
el estado de ms de 500 paquetes junto con los 15 mostrados en la lista
de paquetes.
Haciendo clic con el botn derecho del ratn aparecer un men
contextual, descrito en la Figura 6.4, "Men emergente del "panel" de la
lista de paquetes".
3.19. El paquete "Detalles"
el paquete panel panel de detalles muestra el paquete actual
(seleccionado en la lista de paquetes "panel") en una forma ms
detallada.
La figura 3.17. El paquete "panel de detalles"
Este panel muestra los protocolos y campos del protocolo del paquete
seleccionado en el panel de "lista de paquetes". Los protocolos y los
campos del paquete se muestra en un rbol que se puede expandir y
contraer.
Hay un men de contexto (clic con el botn derecho del ratn). Ver
detalles en la Figura 6.5, "Men emergente del panel "Detalles" de
paquetes".
Algunos campos del protocolo tienen significados especiales.
Los campos generados. Wireshark s generar informacin del protocolo
adicional que no est presente en los datos capturados. Esta informacin
est encerrada entre corchetes ('[' y ']'). Genera informacin incluye
los tiempos de respuesta, anlisis TCP, GeoIP informacin y validacin de
la suma de comprobacin.
Enlaces. Si Wireshark detecta una relacin con otro paquete en el
archivo de captura que generar un enlace a ese paquete. Los enlaces
estn subrayados y se muestran en azul. Si hace doble clic en un vnculo
Wireshark saltar al paquete correspondiente.
3.20. El panel "Packet Bytes"
El packet bytes panel muestra los datos del paquete actual (seleccionado
en la lista de paquetes "panel") en un estilo hexdump.
La figura 3.18. El "Packet Bytes"
42 panel de
interfaz de usuario
El "Packet Bytes" panel muestra un volcado hexadecimal cannica de los
paquetes de datos. Cada lnea contiene el desplazamiento de datos, 16
bytes hexadecimales y ASCII de 16 bytes. No printalbe bytes se sustituye
por un punto ('.').
Segn los datos del paquete, a veces ms de una pgina, por ejemplo
cuando Wireshark ha montado algunos paquetes en un solo bloque de datos.
(Consulte la seccin 7.8, "Montaje de Paquetes" para ms detalles).
En este caso usted puede ver cada origen de datos haciendo clic en su
pestaa correspondiente en la parte inferior del panel.
La figura 3.19. El "Packet Bytes" panel con fichas
pginas adicionales normalmente contienen datos reensamblados de varios
paquetes o datos descifrados.
El men contextual (clic con el botn derecho del ratn) de la pestaa
Etiquetas mostrar una lista de todas las pginas disponibles. Esto puede
ser til si el tamao del panel es demasiado pequeo para todas las
etiquetas de pestaa.
3.21. La barra de estado
La barra de estado muestra mensajes informativos.
En general, la parte izquierda muestra informacin relacionada con el
contexto, la parte media mostrar informacin sobre el archivo de
captura, y el lado derecho muestra el perfil de configuracin
seleccionado. Arrastre los controles entre las reas de texto para
cambiar el tamao.
La figura 3.20. La primera barra de estado
Esta barra de estado se muestra aunque no se carga el archivo de captura,
por ejemplo, cuando se inicia de Wireshark.
Figura 3.21. La barra de estado con una carga el archivo de captura
La vieta coloreada de la izquierda muestra el mayor nivel de
informacin de expertos encontrada en el archivo de captura actualmente
cargado. Al colocar el puntero del ratn sobre este icono se mostrar una
descripcin textual del experto nivel info, y haciendo clic en el icono,
se abrir el cuadro de dilogo Informacin de expertos. Para una
descripcin detallada de la informacin de expertos, consulte Seccin
7.4, "Informacin de expertos".
El lado izquierdo muestra la informacin sobre el archivo de captura,
su nombre, su tamao y el tiempo transcurrido mientras era capturado. Si
coloca el puntero sobre un nombre de archivo mostrar la ruta completa y
el tamao.
La parte central muestra el nmero actual de paquetes en el archivo de
captura. Se muestran los siguientes valores:
Los paquetes: el nmero de paquetes capturados.
Muestra: El nmero de paquetes que se muestra actualmente.
43
Interfaz de usuario
marcada: El nmero de marcado de paquetes (slo se muestra si los
paquetes estn marcados).
Descartados: El nmero de paquetes perdidos (slo se muestra si
Wireshark fue incapaz de capturar todos los paquetes).
Ignorada: El nmero de paquetes ignorados (slo se muestra si se
ignoran los paquetes).
Tiempo de carga: el tiempo que tom para cargar la captura (reloj de
pared).
La parte derecha muestra el perfil de configuracin seleccionado. Al
hacer clic en este parte de la barra de estado, se abrir un men con
todos los perfiles de configuracin disponibles, y seleccionar en esta
lista cambiar el perfil de configuracin.
La figura 3.22. La barra de estado con un perfil de configuracin men
Para una descripcin detallada de los perfiles de configuracin, consulte
la seccin 10.6, "Configuracin de perfiles".
La figura 3.23. La barra de estado con un protocolo seleccionado
Este campo aparece si se ha seleccionado un campo de protocolo del
paquete "panel de detalles".
Sugerencia
El valor entre parntesis (en este ejemplo "ipv6.src') puede usarse como
un filtro de pantalla, que representa el campo de protocolo seleccionado.
La figura 3.24. La barra de estado con un filtro de pantalla
este mensaje aparece si est intentando utilizar un filtro de
presentacin que puede tener resultados inesperados. Para una descripcin
detallada, consulte Seccin 6.4.6, "Un error comn".
44
Buscar una cadena en cadena los datos del paquete, con diversas opciones.
El valor a ser encontrado ser comprobar sintaxis mientras teclea. Si la
comprobacin de sintaxis de su valor se realiza correctamente, el fondo
del campo de entrada se pondr verde, si fracasa, se pondr roja.
Puede elegir la direccin de bsqueda:
103
Temas avanzados
La secuencia se muestra el contenido en la misma secuencia que apareci
en la red. El trfico desde A a B est marcado en rojo, mientras que el
trfico de B a A, est marcada en azul. Si lo desea, puede cambiar estos
colores en la pgina de "Colores" si el cuadro de dilogo "Preferencias".
Los caracteres no imprimibles sern sustituidas por puntos.
Los flujos de contenido no se actualiza mientras realiza una captura
viva. Para obtener el contenido ms reciente tendr que volver a abrir el
cuadro de dilogo.
Puede elegir entre las siguientes acciones:
1. Guardar como: guarda la secuencia de datos en el formato seleccionado
actualmente.
2. Imprimir: Imprime las secuencias de datos en el formato seleccionado
actualmente.
3. Direccin: Elija el flujo en direccin a mostrarse ("Toda la
conversacin", "Datos de A a B slo" o "datos de B a un slo").
4. Filtrar este flujo: se aplica un filtro de presentacin quitando el
actual flujo de TCP de datos desde la pantalla.
5. Cerrar: Cierra el cuadro de dilogo, dejando el filtro de
visualizacin actual en efecto.
Puede elegir ver los datos en uno de los siguientes formatos:
1. ASCII: En esta vista puede ver los datos de cada direccin en ASCII.
Obviamente mejor para protocolos basados en ASCII, por ejemplo, HTTP.
2. EBCDIC: Para los grandes fanticos de hierro.
3. HEX Dump: Esta opcin le permite ver todos los datos. Esto requerir
una gran cantidad de espacio en la pantalla y se usa mejor con protocolos
binarios.
4. C Matrices: Esto le permite importar los datos de la secuencia en su
propio programa en C.
5. Raw: Esto le permite cargar el mismo flujo de datos en un programa
diferente para su ulterior examen. La pantalla tendr el mismo aspecto
que el valor ASCII, pero "Guardar como" se traducir en un archivo
binario.
7.3. Mostrar packet bytes
si un campo del paquete seleccionado no mostrar todos los bytes (es
decir, que se truncan cuando se muestra) o si se muestran como bytes en
lugar de cadena o si requieren ms formato porque contienen una imagen o
HTML, entonces este dilogo puede ser utilizado.
Este dilogo tambin se puede utilizar para descodificar bytes desde el
campo base64, zlib o comprimido quoted-printable y mostrar los bytes
descodificada como salida configurables. Tambin es posible seleccionar
un subconjunto de bytes ajuste del inicio y final de byte byte.
Puede elegir entre las siguientes acciones:
1. Buscar: Buscar el texto dado. El texto coincidente ser destacado, y
el "Buscar siguiente" buscar ms. En el men de contexto para la
bsqueda de texto se puede configurar para usar una expresin regular
buscar.
2. Imprimir: imprime los bytes en el formato seleccionado actualmente.
3. Copiar: copia los bytes al portapapeles en el formato seleccionado
actualmente.
109
Temas avanzados
4. Guardar como: guarda los bytes en el formato seleccionado actualmente.
5. Cerrar: Cierra el cuadro de dilogo.
7.3.1. Decodificar Como
puede elegir para descodificar los datos de uno de los siguientes
formatos:
1. Ninguno: Este es el valor predeterminado que no descodifica nada.
2. Base64: decode de Base64.
3. Comprimir: Esto va a descomprimir el buffer usando zlib.
4. Entre comillas: decode de una cadena entre comillas.
7.3.2. Mostrar como
puede elegir ver los datos en uno de los siguientes formatos:
ASCII en esta vista puede ver los bytes como ASCII. Todos los caracteres
de control y no bytes ASCII se sustituyen por puntos.
ASCII y en este punto de vista todos los caracteres de control se
muestran utilizando un smbolo UTF-8 y todos los bytes de control no-
ASCII se sustituyen por puntos.
C Esta matriz permite importar los datos de campo en su propio programa
en C.
EBCDIC para los grandes fanticos de hierro.
HEX Dump Esto le permite ver todos los datos. Esto requerir una gran
cantidad de espacio en la pantalla y se usa mejor con protocolos
binarios.
Este HTML le permite ver todos los datos con el formato de un documento
HTML. Admite el HTML es lo que est apoyado por la clase QTextEdit Qt.
Imagen Este intentar convertir los bytes en una imagen. Imgenes
soportados son lo admitido por la clase QImage Qt.
ISO 8859-1 en esta vista puede ver los bytes como ISO 8859-1.
Las materias Esto le permite cargar el mismo flujo de datos en un
programa diferente para su ulterior examen. La pantalla mostrar los
datos hexadecimales, pero "Guardar como" se traducir en un archivo
binario.
UTF8 en esta vista puede ver los bytes como UTF-8.
Esto mostrar el formato YAML bytes como YAML volcado binario.
7.4. Informacin de expertos
El experto infos es una especie de registro de las anomalas encontradas
por Wireshark en un archivo de captura.
La idea general subyacente a la siguiente informacin "Experto" va a
tener una mejor visualizacin de "raro" o simplemente notable el
comportamiento de la red. De esta manera, los usuarios novatos y
expertos, esperemos encontrar posibles problemas de red mucho ms rpido,
en comparacin con el anlisis de la lista de paquetes "manualmente" .
Infos expertos son slo una sugerencia
tome experto infos como sugerencia vale la pena mirar, pero no ms. Por
ejemplo, la ausencia de informaciones de expertos no significa
necesariamente que todo est OK.
110
Temas avanzados
la cantidad de informaciones de expertos en gran medida depende del
protocolo utilizado. Mientras algunos protocolos comunes como TCP/IP se
muestran detalladas informaciones de expertos, la mayora de los dems
protocolos actualmente no se mostrar ningn experto infos en absoluto.
Las siguientes se describen en primer lugar los componentes de un solo
experto info, luego la interfaz de usuario.
7.4.1. Entradas de informacin de expertos
cada experto info contendr las siguientes cosas que sern descritos en
detalle a continuacin.
La tabla 7.1. Algunos ejemplos de
paquetes infos experto grupo de gravedad Resumen del Protocolo #
1 Nota secuencia TCP ACK duplicado (#1)
2 Chat Secuencia de conexin TCP Reset (RST)
8 Nota Secuencia 9 Secuencia TCP Keep-Alive advierten TCP Fast
retransmisin (presuntos)
7.4.1.1. Severidad
cada experto info tiene un determinado nivel de gravedad. Los siguientes
niveles de gravedad son utilizados, en parntesis son los colores en los
que los elementos sern marcados en la GUI:
Chat (gris): informacin sobre el flujo de trabajo habitual, por
ejemplo, un paquete TCP con el flag SYN (cian) Nota: cosas notables,
por ejemplo, una aplicacin "usual" devolvi un cdigo de error HTTP 404
Warn (amarillo): advertencia, por ejemplo, aplicacin devolvi un
cdigo de error "inusuales" como un problema de conexin Error (rojo):
problema grave, por ejemplo, [Paquete incorrecto]
7.4.1.2. Grupo
hay algunos grupos comunes de experto infos. Los siguientes son aplicadas
actualmente:
Checksum: una suma de comprobacin no es vlida Secuencia: secuencia
de protocolo sospechosas, p.ej. Secuencia no era continua o una
retransmisin fue detectado o ...
Cdigo de respuesta: problema con la aplicacin, por ejemplo, cdigo de
respuesta HTTP 404 - No se encontr la pgina Solicitar cdigo: una
solicitud de aplicacin (p. ej. Asa de archivo == x), generalmente a
nivel de Chat Undecoded: el disector de datos incompletos o no pueden
ser decodificados por otras razones Armar: problemas al montar, por
ejemplo, no todos los fragmentos fueron disponible o se ha producido una
excepcin al montar
Protocolo: violacin de especificaciones de protocolo (por ejemplo,
valores de campo no vlido o longitudes ilegal), la diseccin de este
paquete es probablemente sigui
111
Temas avanzados
malformados: paquete malformado disector o tiene un error, la diseccin
de este paquete abortado Depuracin: la depuracin (no debera ocurrir
en versiones)
Es posible que varios grupos se agregarn en el futuro.
7.4.1.3. Protocolo
El Protocolo en el que el experto info fue causado.
7.4.1.4. Resumen de
informacin de cada experto tendr tambin un breve texto adicional con
un poco ms de explicacin.
7.4.2. Info "experto" de dilogo
puede abrir el cuadro de dilogo Informacin de expertos seleccionando
Analizar Informacin de expertos.
Figura 7.2. El "experto" cuadro de dilogo Info
7.4.2.1. Errores / Avisos / Notas / fichas Chats de
manera fcil y rpida de encontrar la informacin ms interesante (en
lugar de utilizar la ficha Detalles), es echar un vistazo a las fichas
separadas para cada nivel de gravedad. Como la etiqueta de la pestaa
tambin contiene el nmero de entradas existentes, es fcil encontrar la
ficha con los registros ms importantes.
Normalmente hay un montn de expertos idnticos infos slo difieren en el
nmero de paquetes. Estas informaciones idnticas se combinarn en una
sola lnea, con un recuento columna mostrando la frecuencia con que
aparecen en el archivo de captura. Haga clic en el signo ms (+) muestra
el nmero de paquetes individuales en una vista de rbol.
7.4.2.2. Ficha Detalles
la ficha Detalles proporciona el experto infos en un "registro" como
vista, cada entrada en su propia lnea (como la lista de paquetes). Como
la cantidad de informacin experta para un archivo de captura fcilmente
puede ser muy grande, obteniendo una idea de los interesantes infos con
esta vista puede llevar bastante tiempo. La ventaja de esta pestaa es
que todas las entradas en la secuencia en la que apareci, esto es a
veces una ayuda para identificar problemas.
112
Temas avanzados
7.4.3. "Colorea" Detalles de protocolo rbol
Figura 7.3. "Colorea" Detalles de protocolo
el campo Protocolo de rbol causando un experto info est coloreado, por
ejemplo, utiliza un fondo cian para una nota de gravedad. Este color se
propagan al protocolo prinicpal elemento en el rbol, de modo que es
fcil encontrar el campo que caus el experto info.
Captura de pantalla del ejemplo anterior, el IP "tiempo para vivir" el
valor es muy bajo (slo 1), por lo que el campo de protocolo
correspondiente est marcado con un fondo de color cian. Para ms fcil
encontrar ese elemento en el rbol de paquetes, el protocolo IP tema
prinicpal est marcado cian como bien.
7.4.4. "Experto" de columna de la lista de paquetes (opcional)
Figura 7.4. El "experto" de columna de la lista de paquetes
opcionales de un "experto" de gravedad Info de columna de la lista de
paquetes est disponible que muestra la gravedad ms significativo de un
paquete o permanece vaco si todo parece OK. Esta columna no aparece de
forma predeterminada, pero se pueden agregar fcilmente mediante las
preferencias pgina columnas descritas en Seccin 10.5, "Preferencias".
7.5.
De forma predeterminada, el anlisis TCP TCP del disector de Wireshark
realiza un seguimiento del estado de cada sesin TCP y proporciona
informacin adicional cuando los problemas o posibles problemas
detectados. El anlisis se realiza una sola vez para cada paquete TCP
113
Temas avanzados
cuando un archivo de captura se abre por primera vez. Los paquetes son
procesados en el orden en que aparecen en la lista de paquetes.
Puede activar o desactivar esta funcin a travs de "Analizar" los
nmeros de secuencia TCP TCP disectores de preferencia.
Figura 7.5. "Anlisis de paquetes TCP" elementos detallados
anlisis TCP flags se agregan al rbol bajo el protocolo TCP "SEQ/ACK
anlisis". Cada indicador se describen a continuacin. Trminos tales
como "prximo nmero de secuencia esperado" y "prxima espera Nmero de
acuse de recibo" se refieren a los siguientes'': el
siguiente nmero de secuencia esperado el ltimo visto el nmero de
secuencia ms longitud del segmento. Cuando no hay ningn conjunto de
banderas y anlisis para sondas de ventana cero. Esta es inicialmente
cero y se calcula sobre la base de los anteriores paquetes en el mismo
flujo TCP. Tenga en cuenta que este puede no ser el mismo que el
tcp.nxtseq campo protocolo.
Prximo nmero de reconocimiento esperado visto el ltimo nmero de
secuencia de segmentos. Cuando no hay ningn conjunto de indicadores y
anlisis de ventana cero sondas.
Visto el ltimo nmero de acuse de recibo siempre. Tenga en cuenta que
este no es el mismo como el prximo espera Nmero de acuse de recibo.
Visto el ltimo nmero de acuse de recibo siempre actualizado para cada
paquete. Tenga en cuenta que este no es el mismo como el prximo espera
Nmero de acuse de recibo.
Temas avanzados
TCP
Set de retransmisin rpida cuando se cumplen todas las condiciones
siguientes:
No se trata de un paquete de keepalive.
En la direccin de avance, el tamao de segmento es mayor que cero o el
SYN o FIN.
El siguiente nmero de secuencia esperado es mayor que el nmero de
secuencia actual.
Tenemos ms de dos ACKs duplicados en el sentido inverso.
El nmero de secuencia actual equivale a la prxima espera Nmero de
acuse de recibo.
Vimos la ltima confirmacin hace menos de 20ms.
Sustituye "fuera de orden", "espurio" y "retransmisin retransmisin".
TCP
establece Keep-Alive cuando el tamao de segmento es cero o uno, el
nmero de secuencia actual es un byte menos que el siguiente nmero de
secuencia esperado y cualquiera de SYN, FIN o RST.
Sustituye "Fast retransmisin", "fuera de orden", "espurio" y
"retransmisin retransmisin".
TCP ACK Keep-Alive
Establecer cuando se cumplen todas las condiciones siguientes:
El tamao de segmento es cero.
El tamao de la ventana no es cero y no ha cambiado.
El nmero de secuencia actual es el mismo que el siguiente nmero de
secuencia esperado.
El actual nmero de acuse de recibo es la misma que la del ltimo visto
nmero de acuse de recibo.
El paquete ms recientemente visto en sentido inverso fue un keepalive.
El paquete no es un SYN, FIN o RST.
Sustituye "Dup" y "ZeroWindowProbeAck ACK".
TCP fuera del orden
establecido cuando se cumplen todas las condiciones siguientes:
No se trata de un paquete de keepalive.
En la direccin de avance, la longitud del segmento es mayor que cero o
el SYN o FIN.
El siguiente nmero de secuencia esperado es mayor que el nmero de
secuencia actual.
El siguiente nmero de secuencia esperado y el siguiente nmero de
secuencia diferente.
115
Temas avanzados
El ltimo segmento que lleg dentro de la RTT calculados (3ms por
defecto).
Sustituye a los "falsos" y "retransmisin retransmisin".
Los nmeros de puerto TCP reutilizados
establecido cuando el indicador SYN est fijado (no SYN+ACK), tenemos una
conversacin existente utilizando las mismas direcciones y puertos, y el
nmero sequencue es diferente del actual nmero de secuencia inicial de
conversacin.
TCP segmento anterior no capturada
establecido cuando el nmero de secuencia actual es mayor que el
siguiente nmero de secuencia esperado.
Retransmisin TCP falsos
cheques para una retransmisin basada en el anlisis de datos en la
direccin inversa. Establecer cuando se cumplen todas las condiciones
siguientes:
El indicador FIN O SYN est fijado.
Este no es un paquete de keepalive.
La longitud del segmento es mayor que cero.
Datos de este flujo ha sido reconocido. Es decir, visto el ltimo
nmero de acuse de recibo ha sido establecida.
El siguiente nmero de la secuencia es menor o igual que el ltimo
visto nmero de acuse de recibo.
Sustituye "retransmisin".
Retransmisin TCP
establecida cuando se cumplen todas las condiciones siguientes:
No se trata de un paquete de keepalive.
En la direccin de avance, la longitud del segmento es mayor que cero o
la bandera SYN o FIN.
El siguiente nmero de secuencia esperado es mayor que el nmero de
secuencia actual.
Temas avanzados
El nmero de secuencia es igual para el siguiente nmero de secuencia
esperado.
El nmero de acuse de recibo es igual al ltimo visto nmero de acuse
de recibo.
Ninguno de SYN, FIN o RST.
TCP ZeroWindow
establecida cuando el tamao de la ventana es cero y no de SYN, FIN o
RST.
TCP ZeroWindowProbe
establecido cuando el nmero de secuencia es igual para el siguiente
nmero de secuencia esperado, el tamao de segmento es uno, y por ltimo,
visto el tamao de la ventana en la direccin inversa era cero.
Temas avanzados
durante la captura, Wireshark utiliza la libpcap (WinPcap capture
library) que apoya la resolucin de microsegundos. A menos que est
trabajando con la captura de hardware especializado, esta resolucin
debera ser suficiente.
7.6.2. Formatos de archivo de captura de
cada formato de archivo de captura que Wireshark sabe admite marcas de
tiempo. La marca de tiempo precision apoyado por un determinado formato
de archivo de captura difiere ampliamente y vara de un segundo "0" a "un
nanosegundo 0.123456789". La mayora de los formatos de archivo guardar
los sellos de tiempo con una precisin fija (por ejemplo microsegundos),
mientras que algunos formatos de archivo son an capaces de almacenar la
misma precisin de marca de tiempo (sea cual sea el beneficio puede ser).
La poltica libpcap, formato de archivo de captura que utiliza Wireshark
(y muchas otras herramientas) admite una resolucin de microsegundo fijo
"0.123456" solamente.
Escribir datos en un formato de archivo de captura que no proporcionan la
capacidad de almacenar la precisin real llevar a la prdida de
informacin. Por ejemplo, si carga un archivo de captura con resolucin
de nanosegundos y almacenar los datos capturados en un archivo libpcap
(con resolucin de microsegundos) Wireshark obviamente debe reducir la
precisin del nanosegundo de microsegundo.
7.6.3. Exactitud La
gente suele preguntar "que hora de precisin es proporcionado por
Wireshark?". Adems, Wireshark no crea ninguna hora en s, sino
simplemente obtiene desde "otro lugar" y los muestra. As exactitud
depender del sistema operativo (sistema de captura, rendimiento, etc)
que se puede utilizar. A causa de esto, la pregunta es difcil de
responder en forma general.
Nota
adaptadores de red USB conectados a menudo proporcionan un sello de
tiempo muy mala precisin. Los paquetes entrantes han de tener "un largo
y sinuoso camino" para viajar a travs del cable USB hasta que se llegue
al kernel. Como los paquetes entrantes son el sello de hora cuando son
procesadas por el kernel, este mecanismo de sellado de tiempo se vuelve
muy impreciso.
No utilice NIC conectada por USB cuando necesite hora exacta precisin.
7.7. Zonas horarias
si viaja por todo el planeta, la zona horaria puede ser confuso. Si
recibe un archivo de captura desde alrededor del mundo zonas horarias
pueden ser incluso mucho ms confuso ;-)
Primero de todo, hay dos razones por las que puede que no sea necesario
pensar en todas las zonas horarias:
Usted slo estn interesados en las diferencias de tiempo entre la hora
de paquetes y no necesita saber la fecha y la hora exactas de los
paquetes capturados (que suele ser el caso).
Usted no consigue capturar archivos de zonas horarias diferentes a la
propia, as que sencillamente no hay problemas con las franjas horarias.
Por ejemplo, todos los miembros de su equipo se encuentra trabajando en
la misma zona horaria que usted.
118
Temas avanzados
Qu son las zonas horarias?
La gente espera que el tiempo refleja el atardecer. Alba debe estar en la
maana tal vez alrededor de las 06:00 y el atardecer en la noche, tal vez
a las 20:00. Obviamente estos tiempos pueden variar dependiendo de la
temporada.
Sera muy confuso si todos los habitantes de la tierra sera utilizar el
mismo tiempo global ya que esto correspondera a la puesta de sol slo en
una pequea parte del mundo.
Por esa razn, la tierra est dividida en varias zonas horarias
diferentes, cada zona con una hora local que corresponde a la extincin
local.
La base de tiempos de la zona horaria es UTC (Tiempo Universal
Coordinado) u hora Zulu (militar y aviacin). El trmino antiguo GMT
(Greenwich Mean Time) no debera utilizarse como es ligeramente
incorrecta (hasta 0,9 segundos de diferencia con la hora UTC). La UTC
tiempo base igual a 0 (con sede en Greenwich, Inglaterra) y todas las
zonas horarias tienen un desplazamiento a UTC entre -12 y +14 horas!
Por ejemplo: Si usted vive en Berln se encuentra en una zona horaria de
una hora antes de la hora UTC, as que usted est en la zona horaria "+1"
(diferencia de tiempo en horas respecto a la hora UTC). Si es 3 o'clock
en Berln es 2 o'clock en UTC "en el mismo momento".
Ser consciente de que en algunos lugares de la tierra no usar zonas
horarias con incluso hora offsets (p. ej. Nueva Delhi utiliza UTC+05:30)!
Se puede encontrar ms informacin en:
https://en.wikipedia.org/wiki/Time_zone y https://
en.wikipedia.org/wiki/Coordinated_Universal_Time.
Cul es el horario de verano (DST)?
El horario de verano (DST), tambin conocido como hora de verano se
destina para "salvar" a la luz del da durante los meses de verano. Para
ello, una gran cantidad de pases (pero no todos!) agregar una hora DST a
las ya existentes de desplazamiento UTC. As que usted puede necesitar
tomar otra hora (o en casos muy raros, incluso dos horas!) La diferencia
en sus clculos de "zona horaria".
Lamentablemente, la fecha en que surta efecto la DST es diferente en todo
el mundo. Puede que tambin tenga en cuenta que los hemisferios norte y
sur han opuesto del DST (p. ej., cuando es verano en Europa es invierno
en Australia).
Tenga en cuenta: UTC permanece igual durante todo el ao,
independientemente del horario de verano!
Se puede encontrar ms informacin en
https://en.wikipedia.org/wiki/Daylight_saving.
Ms informacin de zona horaria y horario de verano se puede encontrar en
Http://wwp.greenwichmeantime.com/ y http://
www.timeanddate.com/worldclock/.
7.7.1. Establezca la hora del equipo correctamente!
Si trabaja con personas de todo el mundo es muy til para ajustar la hora
y la zona horaria del equipo.
Debe configurar los ordenadores la hora y la zona horaria en la secuencia
correcta:
1. Defina su zona horaria para su ubicacin actual 2. Configurar el reloj
de su equipo a la hora local
119
temas avanzados de
esta manera usted dir a su equipo tanto la hora local y la desviacin de
la hora UTC. Muchas organizaciones simplemente establece la zona horaria
en sus servidores y equipos de redes a la hora UTC, a fin de lograr una
coordinacin y solucionar ms fcilmente.
Sugerencia
Si usted viaja alrededor del mundo, es a menudo un error para ajustar la
hora del reloj del equipo a la hora local. No ajustar las horas, pero la
configuracin de la zona horaria en lugar! Para su equipo, el tiempo es
esencialmente el mismo que antes, simplemente est en una zona horaria
diferente con una hora local diferente.
Puede utilizar el protocolo de tiempo de red (NTP) para ajustar
automticamente el ordenador a la hora correcta, mediante la
sincronizacin de reloj NTP servidores de Internet. Clientes NTP estn
disponibles para todos los sistemas operativos que admite Wireshark (y
mucho ms), para ejemplos ver http://www.ntp.org/.
7.7.2. Wireshark y zonas horarias
Cul es la relacin entre el Wireshark y zonas horarias?
Nativo de Wireshark capture file format (formato libpcap), y algunos
otros formatos de archivo de captura, como Windows Sniffer, EtherPeek,
AiroPeek y Sun snoop formatos, guardar el tiempo de llegada de los
paquetes como valores UTC. OnuX systems, y "Windows NT" sistemas
representan internamente como hora UTC. Cuando Wireshark es capturar, no
es necesario realizar una conversin. Sin embargo, si la zona horaria del
sistema no est ajustado correctamente, el sistema de hora UTC podra no
estar configurado correctamente incluso si el reloj del sistema aparece
para mostrar la hora local correcta. Al capturar, WinPcap tiene que
convertir la hora UTC antes de suministrarlo a Wireshark. Si la zona
horaria del sistema no est configurado correctamente, que la conversin
no se realizar correctamente.
Captura de otros formatos de archivo, tales como el Monitor de red de
Microsoft, basados en DOS, y Sniffer Network Instruments Observer
formatos, guardar el tiempo de llegada de los paquetes a la hora local de
valores.
Internamente a Wireshark, sellos de tiempo son representadas en UTC. Esto
significa que al leer archivos de captura que guarde la hora de llegada
de los paquetes como valores de hora local, Wireshark debe convertir los
valores de hora local a UTC o valores.
Wireshark, a su vez, mostrar la hora siempre en hora local. La
presentacin equipo convertirlos de UTC a la hora local y muestra este
tiempo (local). Para guardar los archivos de captura de la hora de
llegada de los paquetes como valores UTC, esto significa que la hora de
llegada se mostrar como la hora local de su zona horaria, que podra no
ser la misma que la hora de llegada a la zona horaria en la que el
paquete fue capturado.
Para guardar los archivos de captura de la hora de llegada de los
paquetes a la hora local de valores, la conversin a UTC se realizar
utilizando su zona horaria con respecto a la hora UTC y normas del
horario de verano, lo que significa que la conversin no se realiza
correctamente; la conversin de la hora local para mostrar podra
deshacer este correctamente, en cuyo caso la hora de llegada se mostrar
como la hora de llegada en la que el paquete fue capturado.
La tabla 7.2. Ejemplos de zona horaria UTC tiempos de llegada (sin DST),
Temas avanzados
por ejemplo supongamos que alguien en Los Angeles capturado un paquete
con Wireshark exactamente a las 2 de la maana hora local y le enva este
archivo de captura. La marca de tiempo del archivo de captura estar
representada en UTC como el 10 o'clock. Usted se encuentra en Berln y
ver 11 o'clock en su pantalla de Wireshark.
Ahora usted tiene una llamada telefnica, video conferencia o reunin con
Internet que uno hable acerca de ese archivo de captura. Como ustedes
estn mirando al tiempo que aparece en los equipos locales, uno en Los
Angeles an ve 2 o'clock pero usted ver en Berln 11 o'clock. El tiempo
muestra son diferentes tanto como Wireshark muestra mostrar las horas
locales (diferente) en el mismo punto en el tiempo.
Conclusin: Usted no puede preocuparse por la fecha/hora de la hora que
actualmente mira a menos que usted debe asegurarse de que la fecha/hora
como se esperaba. Por lo tanto, si usted recibe un archivo de captura
desde una zona horaria diferente y/ o la DST, tendrs que averiguar la
zona horaria/DST diferencia entre los dos tiempos locales y "ajustar"
mentalmente la hora correspondiente. En cualquier caso, asegrese de que
cada equipo en cuestin tiene la hora correcta y la configuracin de la
zona horaria.
7.8. Reensamblaje de paquetes
7.8.1. Qu es?
Protocolos de red a menudo necesita transportar grandes porciones de
datos que son completos en s mismos, por ejemplo,
en la transferencia de un archivo. El protocolo subyacente podra no ser
capaz de manejar que el tamao del fragmento (por ejemplo, limitacin del
tamao de paquete de red), o est basado en secuencia como TCP, que no
conoce los fragmentos de datos en absoluto.
En ese caso, el protocolo de red tiene que manejar el fragmento lmites y
(si es necesario) repartir los datos en varios paquetes. Obviamente,
tambin necesita un mecanismo para determinar los lmites del fragmento
en el lado receptor.
Llamadas de Wireshark este mecanismo el montaje, aunque una
especificacin de protocolo especfico puede utilizar un trmino distinto
para este (p. ej., la desfragmentacin desegmentation, etc).
7.8.2. Cmo Wireshark gestiona
por algunos de los protocolos de red Wireshark sabe, un mecanismo
implementado para encontrar, descodificar y mostrar estos bloques de
datos. Wireshark intentar encontrar los correspondientes paquetes de
este fragmento, y mostrar los datos combinados como pginas adicionales
en el panel "Packet Bytes" (para obtener ms informacin acerca de este
panel.
Consulte Seccin 3.20, "El panel "Packet Bytes"").
Figura 7.6. El "Packet Bytes" panel con una ficha rearm el
montaje podra tener lugar en varias capas del protocolo, por lo que es
posible que varias fichas en el panel "Packet Bytes" aparecen.
Nota
Encontrar los datos reensamblados en el ltimo paquete del fragmento.
121
temas avanzados,
por ejemplo, en una respuesta HTTP GET, los datos solicitados (por
ejemplo una pgina HTML) se retorna. Wireshark mostrar el volcado
hexadecimal de los datos en una nueva pestaa "entidad sin comprimir el
cuerpo" en el panel "Packet Bytes".
El montaje est activada en las preferencias por defecto, pero puede
desactivarse en preferencias para el protocolo en cuestin. Habilitar o
deshabilitar el rearmado ajustes para un protocolo normalmente requiere
dos cosas:
1. El protocolo de nivel inferior (por ejemplo, TCP) deben apoyar el
montaje. A menudo este montaje puede activarse o desactivarse mediante el
protocolo preferencias.
2. El protocolo de nivel superior (por ejemplo, HTTP) deben utilizar el
mecanismo de montaje para montar datos del protocolo fragmentados. Esto
tambin puede ser activado o desactivado mediante el protocolo
preferencias.
La descripcin de la configuracin de los protocolos de nivel superior le
notificar si y qu configuracin de protocolo de nivel inferior tambin
tiene que ser considerado.
7.9.
Resolucin de nombres la resolucin de nombres intenta convertir algunos
de los valores de la direccin numrica en un formato legible. Hay dos
maneras posibles de hacer estas conversiones, dependiendo de la
resolucin de hacerse: sistema de llamadas/ servicios de red (como la
gethostname()) y/o resolver desde los archivos de configuracin
especficos de Wireshark. Para obtener ms informacin acerca de los
archivos de configuracin de Wireshark se utiliza para la resolucin de
nombres y similares, consulte Apndice B, Archivos y carpetas.
La funcin de resolucin de nombres se pueden activar de forma individual
para las capas de protocolos enumerados en las secciones siguientes.
7.9.1. Inconvenientes de resolucin de nombres la
resolucin de nombres puede ser inestimable al trabajar con Wireshark e
incluso pueden ahorrarle horas de trabajo.
Lamentablemente, tambin tiene sus inconvenientes.
La resolucin de nombres a menudo fracasan. El nombre a resolverse
podra simplemente ser desconocidos por los servidores de nombre pedido o
de los servidores no estn disponibles y no el nombre tambin se
encuentra en los archivos de configuracin de Wireshark.
Los nombres resueltos no se almacenan en el archivo de captura o en
algn otro lugar. As los nombres resueltos podra no estar disponible si
abre el archivo de captura posterior o en una mquina diferente. Cada vez
que abra un archivo de captura puede parecer "ligeramente diferentes"
simplemente porque no se puede conectar con el servidor de nombres (que
se podran conectar a antes).
DNS puede agregar paquetes adicionales para su archivo de captura.
Usted puede ver los paquetes a/desde su mquina en su archivo de captura,
los cuales son provocados por la resolucin de nombres de servicios de
red de la mquina capta de Wireshark.
Se resuelven los nombres DNS se almacenan en cach por Wireshark. Esto
es necesario para conseguir un rendimiento aceptable. Sin embargo, si la
informacin de resolucin de nombres debe cambiar mientras se est
ejecutando, de Wireshark Wireshark no notar un cambio en la resolucin
de nombres una vez que reciba la informacin almacenada en cach. Si esta
informacin cambia mientras est ejecutando Wireshark, p.ej. una nueva
concesin DHCP surte efecto, Wireshark no notarlo.
Resolucin de nombres en la lista de paquetes se realiza mientras la
lista est llena. Si un nombre puede ser resuelto una vez que un paquete
se agrega a la lista, su antigua entrada no ser cambiado. Como la
resolucin de nombres se almacenan en la memoria cach de resultados,
puede utilizar la
vista Reload para reconstruir la lista de paquetes con los nombres
resueltos correctamente. Sin embargo, esto no es posible mientras est en
curso una captura.
122
Temas avanzados
7.9.2. Resolucin de nombre Ethernet (Capa MAC)
intenta resolver una direccin MAC de Ethernet (por ej.
00:09:5b:01:02:03) a algo ms "legible".
Sistema de resolucin de nombres (ARP) servicio: Wireshark pedir al
sistema operativo para convertir una direccin Ethernet a la direccin IP
correspondiente (p. ej. 00:09:5b:01:02:03 192.168.0.1).
Cdigos de Ethernet (ethers): Si el error de resolucin de nombres de
ARP, Wireshark intenta convertir la direccin Ethernet a un dispositivo
conocido nombre, que ha sido asignado por el usuario mediante una ethers
(p. ej.
00:09:5b:01:02:03 homerouter).
Cdigos de fabricante Ethernet Fabric (archivo): Si ni ARP o teres
devuelve un resultado, Wireshark intenta convertir los 3 primeros bytes
de una direccin Ethernet a un abreviado el nombre del fabricante, que ha
sido asignado por el IEEE (p. ej. 00:09:5b:01:02:03 Netgear_01:02:03).
7.9.3. Resolucin de nombre IP (capa de red)
intenta resolver una direccin IP (ej. 216.239.37.99) para algo ms
"legible".
La resolucin de nombres DNS (System/Library Service): Wireshark
utilizar una resolucin de nombre para convertir una direccin IP para
el nombre de host asociado con ella (p. ej. Www.1.google.com).
216.239.37.99
La resolucin de nombres DNS se puede realizar de forma sincrnica o
asincrnica. Ambos mecanismos pueden utilizarse para convertir una
direccin IP para algunos derechos legible (nombre de dominio). Una
llamada de sistema como gethostname() intentar convertir la direccin a
un nombre. Para ello, preguntar en primer lugar el archivo hosts de los
sistemas (p. ej. /Etc/Hosts) si encuentra una entrada coincidente. Si eso
falla, se solicitar al servidor DNS configurado(s) sobre el nombre.
As pues, la autntica diferencia entre sncrono y asncrono DNS DNS
viene cuando el sistema tiene que esperar a que el servidor DNS acerca de
un problema de resolucin de nombres. El sistema llamada gethostname()
esperar hasta que un nombre se resuelve o se produce un error. Si el
servidor DNS no est disponible, esto podra tardar bastante tiempo
(varios segundos).
Advertencia
para proporcionar un rendimiento aceptable Wireshark depende de una
biblioteca asncrona de DNS para realizar la resolucin de nombres. Si
uno no est disponible durante la compilacin, la caracterstica no
estar disponible.
El servicio DNS asncrona trabaja un poco diferente. Se le pedir tambin
el servidor DNS, pero no esperar la respuesta. Se acaba de regresar a
Wireshark en una cantidad de tiempo muy corta. El real (y los siguientes)
campos de direccin no mostrar el nombre resuelto hasta que el servidor
DNS devuelve una respuesta. Como se mencion anteriormente,
los valores se almacenan en cach, de modo que puede utilizar Ver
Reload para "Actualizar" en estos campos para mostrar los valores
resueltos. La
resolucin de nombres de hosts (hosts file): Si la resolucin de nombres
DNS ha fallado, Wireshark intentar convertir una direccin IP para el
nombre de host asociado con ella, utilizando un archivo de host
proporcionado por el usuario (ej. 216.239.37.99 www.google.com).
7.9.4. Puerto TCP/UDP de resolucin de nombres (capa de transporte)
para tratar de resolver un puerto TCP/UDP (por ej. 80) a algo ms
"legible".
Conversin de puerto TCP/UDP (System Service): Wireshark pedir al
sistema operativo para convertir un puerto TCP o UDP a su bien conocido
nombre (p.ej. 80 http).
7.9.5. VLAN ID de resolucin
para obtener un nombre descriptivo para una etiqueta VLAN ID VLAN de un
archivo puede ser utilizado.
123
Temas avanzados
7.10. Los checksums de
varios protocolos de red utilizan las sumas de comprobacin para
garantizar la integridad de los datos. Aplicar los checksums como
descrito aqu es tambin conocido como comprobacin de redundancia.
Cules son los checksums de?
Los checksums se utiliza para garantizar la integridad de las porciones
de datos para la transmisin de datos o almacenamiento. Un checksum
calculado es bsicamente un resumen de esa porcin de datos.
Las transmisiones de datos de red suelen producir errores como, por
ejemplo, alternar, desaparecidos o duplicar bits. Como resultado, los
datos recibidos pueden no ser idnticos a los datos transmitidos, que
obviamente es una mala cosa.
Debido a estos errores de transmisin, protocolos de red muy a menudo
utilizan las sumas de comprobacin para detectar estos errores. El
transmisor va a calcular una suma de comprobacin de los datos y
transmite los datos, junto con la suma de comprobacin. El receptor
calcular la suma de comprobacin de los datos recibidos con el mismo
algoritmo que el transmisor. Si la recibe y calcula las sumas de
comprobacin no coinciden se ha producido un error de transmisin.
Algunos algoritmos de suma de comprobacin son capaces de recuperar
(simple) errores calculando donde el error previsto debe ser y repararlo.
Si hay errores que no pueden ser recuperados, el lado receptor tira el
paquete. Dependiendo del protocolo de red, esta prdida de datos es
simplemente ignorado o el envo debe detectar esta prdida de alguna
manera y retransmite el paquete(s).
Usando un checksum reduce drsticamente el nmero de errores de
transmisin no detectados. Sin embargo, los algoritmos de suma de
comprobacin habitual no puede garantizar un 100% de deteccin de
errores, de manera que un nmero muy pequeo de errores de transmisin
pasen inadvertidos.
Hay varios tipos diferentes de algoritmos de suma de comprobacin; un
ejemplo de un algoritmo de suma de comprobacin utilizados a menudo es
CRC32. El algoritmo de checksum realmente escogidos para un protocolo de
red especfico depender de la tasa de error esperado de los medios de
red, la importancia de la deteccin de errores, la carga del procesador
para realizar el clculo, el rendimiento necesario y muchas otras cosas.
Ms informacin sobre las sumas de comprobacin se puede encontrar en:
https://en.wikipedia.org/wiki/Checksum.
7.10.1. Validacin de la suma de comprobacin de Wireshark
Wireshark validar los checksums de muchos protocolos, por ejemplo, IP,
TCP, UDP, etc.
lo har el mismo clculo como un "receptor" normal hara, y muestra los
campos checksum en el paquete detalles con un comentario, por ejemplo,
[corregir] o [No vlido, debe ser 0x12345678].
Validacin de la suma de comprobacin puede desactivarse para varios
protocolos en Wireshark preferencias de protocolo, por ejemplo
(muy ligeramente) para aumentar el rendimiento.
Si la suma de comprobacin de validacin es activado y detectado un
checksum invlido, caractersticas como el reensamblaje de paquetes no
sern procesados. Esto se evita como una conexin incorrecta de datos
podra "confundir" la base de datos interna.
7.10.2. Descarga de Checksum
El checksum clculo podra hacerse mediante el controlador de red,
controlador de protocolo, o incluso en el hardware.
124
temas avanzados
como por ejemplo: el hardware de transmisin Ethernet Ethernet calcula la
suma de comprobacin CRC32 y el hardware de recepcin valida esta suma de
comprobacin. Si el checksum recibido es incorrecto Wireshark ni siquiera
alcanza a ver el paquete, como el hardware Ethernet interno tira el
paquete.
Las sumas de comprobacin de nivel superior son "tradicionalmente"
calculada por la implementacin del protocolo y completado el paquete es
entregado entonces al hardware.
Hardware de red recientes pueden realizar funciones avanzadas como el
clculo de la suma de comprobacin IP, tambin conocido como descarga de
checksum. El controlador de red no calcular el checksum en s, sino
simplemente entregar un cero (vaco o lleno de basura) campo de suma de
comprobacin del hardware.
Nota
descarga de checksum a menudo causa confusin como los paquetes de red
para ser transmitidos son entregados a Wireshark antes los checksums son
calculado realmente. Wireshark obtiene estos checksums "vacos" y las
muestra como no vlido, aunque los paquetes contienen sumas de
comprobacin vlida cuando dejan el hardware de red ms adelante.
Descarga de suma de comprobacin puede ser confuso y tener un montn de
[vlido] los mensajes en la pantalla puede ser bastante molesto. Como se
mencion anteriormente, las sumas no vlido puede provocar unreassembled
paquetes, haciendo el anlisis de los paquetes de datos mucho ms
difcil.
Puede hacer dos cosas para evitar este problema de descarga de suma de
comprobacin:
Apague la descarga de checksum en el controlador de la red, si esta
opcin est disponible.
Desactivar la validacin de la suma de comprobacin del protocolo
especfico en las preferencias de Wireshark. Versiones recientes de
Wireshark deshabilitar la validacin de la suma de comprobacin de forma
predeterminada debido a la prevalencia de la descarga en hardware y
sistemas operativos modernos.
125
Captulo 8. Estadsticas
8.1. Introduccin
Wireshark ofrece una amplia gama de estadsticas de la red a la que se
puede acceder mediante el men de estadsticas.
Estas estadsticas van desde la informacin general sobre la carga el
archivo de captura (como el nmero de paquetes capturados), las
estadsticas acerca de los protocolos concretos (por ejemplo,
estadsticas sobre el nmero de solicitudes y respuestas HTTP
capturados).
Estadsticas generales:
Resumen acerca del archivo de captura.
Protocolo Jerarqua de los paquetes capturados.
Las conversaciones por ejemplo el trfico entre las direcciones IP
especficas.
Extremos por ejemplo el trfico hacia y desde las direcciones IP.
Grficos IO visualizar el nmero de paquetes (o similar) en el tiempo.
Protocolo de estadsticas especficas:
Servicio de tiempo de respuesta entre la solicitud y la respuesta de
algunos protocolos.
Otras diversas estadsticas especficas del protocolo.
Nota
El protocolo estadsticas especficas requieren un conocimiento detallado
sobre el protocolo especfico. Si usted no est familiarizado con ese
protocolo, estadsticas acerca de ella ser bastante difcil de entender.
8.2. La ventana "Resumen"
las estadsticas generales sobre el archivo de captura actual.
Estadsticas 126
Figura 8.1. La ventana "Resumen"
Archivo: informacin general sobre el archivo de captura.
Tiempo: las marcas de tiempo cuando el primer y el ltimo paquete
fueron capturados (y el tiempo entre ellos).
Capturar: informacin desde el momento en que la captura fue realizada
(disponible slo si el paquete de datos fue capturada en la red y no
cargado desde un archivo).
Pantalla: algunos mostrar informacin relacionada.
Trfico: algunas estadsticas del trfico de la red con el visto. Si se
establece un filtro de pantalla, ver los valores en la columna
capturados, y si los paquetes estn marcados, ver los valores en la
columna marcada. Los valores
127
Estadsticas
en la columna capturado seguir siendo el mismo que antes, mientras que
los valores de la columna mostrada reflejar los valores correspondientes
a los paquetes mostrados en la pantalla. Los valores en la columna
marcada reflejar los valores correspondientes a los paquetes marcados.
8.3. La "ventana" de jerarqua de protocolo
El protocolo jerarqua de los paquetes capturados.
Figura 8.2. El Protocolo "jerarqua" ventana
Este es un rbol de todos los protocolos en la captura. Cada fila
contiene los valores estadsticos de un protocolo.
Dos de las columnas (por ciento por ciento de Paquetes y Bytes) la doble
funcin de servir como grficos de barras. Si un filtro de visualizacin
se establece que ser mostrado en la parte inferior.
El botn Copy te permitir copiar el contenido de la ventana como CSV o
YAML.
Columnas de jerarqua de protocolo
Protocolo El presente Protocolo nombre del
por ciento de paquetes El porcentaje de paquetes de protocolo relativo a
todos los paquetes de captura de
paquetes El nmero total de paquetes de este protocolo
por ciento el porcentaje de bytes bytes del protocolo en relacin con el
nmero total de bytes en la captura de
Bytes el nmero total de bytes de este protocolo
Bits/s el ancho de banda de este protocolo relativo a la hora de captura
de
paquetes finales en trminos absolutos el nmero de paquetes de este
protocolo donde era el ms alto de la pila de protocolo (ltima
disecados)
128
Bytes Finales Estadsticas en trminos absolutos el nmero de bytes del
presente Protocolo, cuando era el ms alto de la pila de protocolo
(ltima disecados)
Fin de Bits/s el ancho de banda del presente Protocolo relativas a la
captura Tiempo donde fue el ms alto en la pila de protocolo (ltima
disecados)
paquetes suelen contener varios protocolos. Como resultado, ms de uno de
los protocolos sern contados para cada paquete. Ejemplo: En la captura
de pantalla IP tiene un 99,9% y un 98,5% de TCP (que es as mucho ms del
100%).
Capas del protocolo puede consistir en paquetes que no contengan ningn
protocolo de la capa superior, de modo que la suma de todos los paquetes
de capa superior no podr sumar a los protocolos el recuento de paquetes.
Ejemplo: En la captura de pantalla TCP tiene un 98,5%, pero la suma de
los subprotocols (SSL, HTTP, etc.) es mucho menor. Esto puede ser causado
por la continuacin marcos, sobrecarga del protocolo TCP, y otros datos
undissected.
Un paquete puede contener el mismo protocolo ms de una vez. En este
caso, el protocolo se cuenta ms de una vez. Por ejemplo respuestas ICMP
y muchos protocolos de tnel que llevar ms de una cabecera IP.
8.4.
Una red de conversaciones conversacin es el trfico entre dos extremos
especficos. Por ejemplo, una conversacin es IP todo el trfico entre
dos direcciones IP. La descripcin de los tipos de punto final conocida
puede encontrarse en Seccin 8.5, "extremos".
8.4.1. La ventana de "conversaciones" de
la ventana de conversaciones es similar a la ventana del punto final.
Consulte la seccin 8.5.1, "La ventana" "extremos" para una descripcin
de sus caractersticas comunes. Junto con direcciones, contadores de
paquetes y bytes, la ventana de conversacin contadores agrega cuatro
columnas: la hora de inicio de la conversacin ("Rel Start") o ("ABS") de
inicio, la duracin de la conversacin en segundos, y el promedio de bits
(no bytes) por segundo en cada direccin. Una lnea de tiempo grfica
tambin se dibujar en el "REL" Inicio / Abs "Start" y "Duracin"
columnas.
Figura 8.3. La ventana de "conversaciones" de
cada fila de la lista muestra los valores estadsticos de exactamente una
conversacin.
129
estadsticas de
JXTA SHA-1 de 160 bits URN.
Similar al NCP IPX.
RSVP RSVP una combinacin de varios atributos de sesin y las direcciones
IPv4.
El SCTP una combinacin de las direcciones IP de host (plural) y el
puerto utilizado SCTP. SCTP tan diferentes puertos en la misma direccin
IP son diferentes extremos SCTP, pero el mismo puerto SCTP en diferentes
direcciones IP del mismo host estn todava en el mismo extremo.
TCP una combinacin de la direccin IP y el puerto TCP utilizado. Puertos
TCP diferentes en la misma direccin IP son diferentes endpoints TCP.
Token Ring Token Ring idntica a la direccin MAC-48.
UDP una combinacin de la direccin IP y el puerto UDP utiliza puertos
UDP, tan diferentes en la misma direccin IP son diferentes UDP
endpoints.
USB idntica a la direccin de USB de 7 bits.
Extremos de broadcast y multicast
el trfico de difusin y multidifusin se mostrarn por separado como los
extremos adicionales. Por supuesto, estos no son los extremos fsicos
reales de trfico ser recibida por todos o algunos de los listados de
extremos de unidifusin.
8.5.1. Los "extremos"
Esta ventana muestra estadsticas acerca de los extremos capturados.
Figura 8.4. La ventana "extremos"
para cada protocolo soportado, una ficha se muestra en esta ventana. Cada
ficha etiqueta muestra el nmero de extremos capturados (por ejemplo, la
etiqueta de la pestaa "Ethernet 4" te dice que cuatro terminales
Ethernet han sido capturados). Si
Estadsticas
Color: el color del grfico (no puede ser cambiado) Filtro: un filtro
de visualizacin para este grfico (solo los paquetes que pasan por este
filtro ser tomado en cuenta para este grfico)
Estilo: el estilo del grfico (Lnea/Impulso/FBar/punto) Intervalo
de graduacin del eje X: un intervalo en direccin x dura (1/10 minutos o
10/1/0,1/0.01/0.001 segundos) Pxeles por garrapata: utilice 10/5/2/1
Pxeles por intervalo de graduacin ver como la hora del da: la opcin
para ver la direccin x etiquetas como la hora del da en lugar de
segundos o minutos desde A partir de la captura
Eje La unidad: la unidad de la direccin y (Paquetes/Tick, Tick,
bits/bytes/Tick, Avanzado...) [XXX - describir la caracterstica
avanzada.]
Escala: la escala para la unidad y
(logartmico,auto,10,20,50,100,200,500,...)
El botn Guardar se guarde la porcin mostrada actualmente del grfico
como uno de los diversos formatos de archivo.
El botn Copiar copiar los valores de grficos seleccionados al
portapapeles en formato CSV (valores separados por comas).
Sugerencia
Haga clic en el grfico para seleccionar el primer paquete en el
intervalo seleccionado.
8.7. Tiempo de respuesta de servicio
El servicio el tiempo de respuesta es el tiempo que transcurre entre la
solicitud y la respuesta correspondiente. Esta informacin est
disponible para muchos protocolos.
Las estadsticas de tiempo de respuesta del servicio estn disponibles
actualmente para los protocolos siguientes:
La fibra DCE-RPC Canal H.225 RAS LDAP MGCP MAC LTE ONC RPC-
SMB
Como un ejemplo, el DCE-RPC. Tiempo de respuesta de servicio se describe
en ms detalle.
133
Tenga en cuenta
las otras estadsticas de tiempo de respuesta del servicio de Windows
funcionarn de la misma forma (o slo ligeramente diferentes) en
comparacin con la siguiente descripcin.
8.7.1. "El tiempo de respuesta de servicio DCE-RPC" de la ventana
de tiempo de respuesta del servicio DCE-RPC es el tiempo que transcurre
entre la solicitud y la respuesta correspondiente.
Primero de todo, tendrs que seleccionar la interfaz DCE-RPC:
Figura 8.6. La "computacin estadstica DCE-RPC" ventana
opcionalmente puede establecer un filtro de pantalla, para reducir la
cantidad de paquetes.
Figura 8.7. La "Estadstica DCE-RPC para ..." la ventana
Estadsticas 134
cada fila corresponde a un mtodo de la interfaz seleccionada (de modo
que la interfaz de EPM en la versin 3 tiene 7 mtodos). Para cada
mtodo, el nmero de llamadas y las estadsticas de la SRT es el tiempo
calculado.
8.8. Comparar dos archivos de captura
comparar dos archivos de captura.
Esta caracterstica funciona mejor cuando se han fusionado dos archivos
de captura cronolgicamente, uno de cada lado de una conexin
cliente/servidor.
La combinacin de la captura de datos est activada para los paquetes que
faltan. Si se encuentra una conexin que coincida se comprueba:
checksums encabezado IP retraso excesivo (definida por el "tiempo" de
varianza) Ajuste del orden de paquetes
Figura 8.8. La ventana de "Comparar"
135
Estadsticas
Puede configurar las siguientes opciones:
Comience a comparar: iniciar la comparacin cuando este muchos
identificadores IP coinciden. Un valor de cero empieza comparando
inmediatamente.
Dejar de comparar: Dejar de comparar cuando ya no podemos coincidir con
esta muchos identificadores IP. Compara siempre cero.
Endpoint distincin: Utilice las direcciones MAC o IP de tiempo de vida
para determinar los valores extremos de conexin.
Comprobar el orden: Verificar la misma IP ID en el paquete anterior en
cada extremo.
Tiempo varianza: desencadenar un error si el paquete llega este nmero
de milisegundos tras el promedio de retraso.
Filtrar: limitar la comparacin a los paquetes que coincidan con este
filtro de visualizacin.
La columna Info contiene nueva numeracin para los mismos paquetes son
paralelas.
El color filtering diferenciar los dos archivos uno del otro. Un efecto
"Zebra" es crear si se ordena la columna Info.
Sugerencia
Si hace clic en un elemento en la lista de errores en su correspondiente
paquete ser seleccionado en la ventana principal.
8.9. Estadsticas de Trfico de WLAN
estadsticas del trfico WLAN capturados. Esta ventana se resumir el
trfico de red inalmbrica encontrada en la captura. Solicitudes de
sondeo se combinarn en una red existente, si el SSID coincide.
Figura 8.9. La "ventana" de las estadsticas de trfico de WLAN
cada fila de la lista muestra los valores estadsticos exactamente por
una red inalmbrica.
La resolucin de nombres se har si se selecciona en la ventana y si est
activo para la capa MAC.
Mostrar slo las redes existentes excluirn solicitudes de sondeo con un
SSID no coincide con ninguna red de la lista.
El botn Copiar copia los valores de la lista al portapapeles en formato
CSV (valores separados por comas).
136
Punta Estadsticas
Esta ventana se actualiza con frecuencia, por lo que ser til, incluso
si abrirlo antes (o tiempo) que est haciendo una captura viva.
8.10. Las estadsticas especficas del protocolo
El protocolo windows windows estadsticas especficas mostrar informacin
detallada de protocolos especficos y podra describirse en una versin
posterior de este documento.
Algunas de estas estadsticas se describen en
https://wiki.wireshark.org/Statistics.
137
Captulo 9. La telefona
9.1. Introduccin
Wireshark ofrece una amplia gama de estadsticas de red relacionados con
telefona, al cual se puede acceder a travs del men de telefona.
Estas estadsticas van desde determinados protocolos de sealizacin,
anlisis de flujos de medios y de sealizacin. Si est codificado en una
codificacin compatible con el flujo de medios puede incluso ser jugado.
9.2. Anlisis
El anlisis de RTP RTP RTP seleccionado funcin toma el stream stream (y
a la inversa, si es posible) y genera una lista de estadsticas.
Figura 9.1. La "ventana" de anlisis de secuencia RTP
comenzando con datos bsicos como el nmero de paquetes y el nmero de
secuencia, ms estadsticas se crean segn la hora de llegada, retardo,
jitter, tamao del paquete, etc.
Adems de las estadsticas por paquete, el panel inferior muestra las
estadsticas globales, con mnimos y mximos para Delta, la fluctuacin y
el sesgo del reloj. Tambin una indicacin de prdida de paquetes est
incluido.
La ventana Anlisis de secuencia RTP ofrece adems la opcin de guardar
la carga til de RTP (como datos sin procesar o, si en una codificacin
PCM, en un archivo de audio). Otras opciones para exportar y trazar
varias estadsticas sobre los flujos RTP.
9.3. Anlisis IAX2
El "Anlisis de IAX2" de dilogo muestra las estadsticas de los flujos
de avance y retroceso de un seleccionado llamada IAX2 junto con un
grfico.
Telefona 138
9.4. Las llamadas de VoIP
las llamadas VoIP ventana muestra una lista de todas las llamadas de VoIP
detectados en el trfico capturado. Encuentra llamadas por su
sealizacin.
Se pueden encontrar ms detalles en la pgina
https://wiki.wireshark.org/VoIP_calls.
El RTP la ventana del reproductor permite reproducir datos de audio RTP.
Para poder utilizar esta funcin, su versin de Wireshark deben apoyar y
los cdecs de audio utilizado por cada secuencia RTP.
Se pueden encontrar ms detalles en la pgina
https://wiki.wireshark.org/VoIP_calls.
9.5. Estadsticas de Trfico MAC LTE
estadsticas del trfico capturado LTE MAC. Esta ventana mostrar un
resumen de la LTE MAC TRAFFIC encontr en la captura.
Figura 9.2. Las estadsticas de trfico de Mac "LTE"
del panel superior de la ventana muestra las estadsticas de canales
habituales. Cada fila en el panel central muestra los datos estadsticos
ms destacados para exactamente una UE/C-RNTI. En el panel inferior,
puede ver las de la UE actualmente seleccionado/ C-RNTI el trfico
desglosadas por canal individual.
9.6. Estadsticas de Trfico RLC LTE
estadsticas del trfico capturado LTE RLC. Esta ventana mostrar un
resumen de la LTE RLC TRAFFIC encontr en la captura.
Telefona 139
Figura 9.3. El "LTE RLC Estadsticas de trfico"
en la parte superior de la ventana, la casilla de verificacin que
permite esta ventana para incluir RLC encontrado dentro de las PDU PDU
MAC o no. Esto afectar tanto a las PDU contados as como los filtros de
visualizacin generados (vase infra).
La lista superior muestra resmenes de cada activo de la UE. Cada fila de
la lista inferior muestra los datos estadsticos ms destacados para cada
uno de los canales seleccionados dentro de la UE.
La parte inferior de las ventanas permite visualizar los filtros se
genera y se establece para el canal seleccionado. Tenga en cuenta que en
el caso de canales en modo reconocido, si se elige una sola direccin, el
filtro generado mostrar los datos en esa direccin y control de PDU en
la direccin opuesta.
9.7. Las estadsticas especficas del protocolo
El protocolo windows windows estadsticas especficas mostrar informacin
detallada de protocolos especficos y podra describirse en una versin
posterior de este documento.
Algunas de estas estadsticas estn descritos en las pginas
https://wiki.wireshark.org/Statistics.
140
Personalizacin de Wireshark,
archivos:NUM - ringbuffer: sustituir despus NUM archivos RPCAP Opciones:
-Un <user>: <password>Utilice la autenticacin de contrasea RPCAP
archivo de entrada:
-r <infile>Defina el nombre del archivo desde el que se leer (sin tubos
o stdin!)
Procesamiento:
-R <read filter>Filtro de paquetes en Wireshark filtro Mostrar sintaxis -
n nombre de deshabilitar todas las resoluciones (def: todos activado) -N
<name resolve flags>Habilitar la resolucin de nombres especfico(s):
"mnNtCd" -d <layer_type>== <selector>, <decode_as_protocol>...
"Decode", consulte la pgina man para ms informacin Ejemplo:
tcp.port==8888,http --disable-protocolo <proto_name>Deshabilitar la
diseccin de Proto_name --enable-heuristic <short_name>Habilitar la
diseccin del protocolo heurstica --disable-heuristic
<short_name>Deshabilitar la diseccin de heurstica de la
interfaz de usuario de protocolo:
-C <config profile>Inicio Perfil de configuracin especificado con -s
<display filter>Comience con el filtro de pantalla -g <packet number>Ir a
Paquete Nmero especificado despus de "-r" -J <jump filter>Saltar al
primer paquete que coincida con el filtro (pantalla) -j bsqueda hacia
atrs para un paquete que coincida despus de "-J" -m<font> define el
nombre de la fuente utilizada para la mayora de los textos -t
un|ad|d|dd|e|r|u|ud el formato de salida de las marcas de tiempo (def: r:
rel. a primera) -u s|hms formato de salida de segundos (def: s: segundos)
-X <key>: <value>Opciones de ampliacin, consulte la pgina man de
detalles -z <statistics>Mostrar diversas estadsticas, consulte la pgina
man para ms informacin
:
-w de salida <outfile|->Establezca el nombre del archivo de salida (o '-'
para stdout)
Varios:
-h Muestra esta ayuda y salir -v muestra informacin de la versin y
salir -P <key>: <path>Persconf:ruta - archivos de configuracin
personales persdata:ruta - archivos de datos personales -o <name>:
<value>... Invalidar la preferencia o la reciente establecimiento -K
<keytab>Archivo keytab para utilizar Kerberos para descifrado
examinaremos cada una de las opciones de lnea de comandos a la vez.
Lo primero que llama la atencin es que el comando wireshark por s
traer Wireshark.
Sin embargo, usted puede incluir muchos de los parmetros de lnea de
comando como desee. Sus significados son los siguientes (en orden
alfabtico):
-a <capture autostop condition>Especificar un criterio que especifica
cuando Wireshark es dejar de escribir en un archivo de captura. El
criterio es del tipo test:valor, donde la prueba es uno de los
siguientes:
duracin:valor parar de escribir en un archivo de captura despus de que
el valor de segundos que han transcurrido.
filesize:valor parar de escribir en un archivo de captura despus de que
alcanza un tamao de valor kilobytes (donde un kilobyte es 1000 bytes, no
de 1024 bytes). Si se utiliza esta opcin junto con la opcin -b,
Wireshark dejar de escribir en el archivo de captura actual y pasar a la
siguiente si se alcanza un tamao de archivo.
Los archivos:valor detener la escritura a archivos de captura despus de
que el valor Nmero de archivos fueron escritos.
142
Personalizacin de Wireshark
-b <capture ring buffer option>Si el tamao del archivo de captura mxima
especificada, esta opcin hace que Wireshark para ejecutarse en modo
"bfer", con el nmero especificado de archivos. En el "anillo", un modo
de bfer Wireshark escribir a varios archivos de captura. Su nombre se
basa en el nmero de archivo y la fecha y hora de creacin.
Cuando el primer archivo de captura llena de Wireshark cambiar al
escribir en el archivo siguiente, y as sucesivamente. Con el
<command>Archivos </command>Opcin tambin es posible formar un "anillo".
Esto permitir llenar los nuevos archivos hasta que el nmero de archivos
especificados, punto en el cual los datos del primer archivo se
descartarn as un nuevo archivo puede ser escrito.
Si el facultativo <command>Duracin </command>Es especificado, Wireshark
tambin cambiar al siguiente archivo cuando el nmero especificado de
segundos incluso si el archivo actual no est completamente llena de
duracin. </command>:Valor cambie al siguiente archivo despus de que el
valor segundos han transcurrido, incluso si el archivo actual no est
completamente lleno.
filesize </command>:Valor cambiar al siguiente archivo despus de que
alcanza un tamao de valor kilobytes (donde un kilobyte es 1000 bytes, no
archivos de 1024 bytes). </command>:Valor empezar de nuevo con el primer
archivo despus de que el valor Nmero de archivos fueron escritos (forma
un anillo).
-B <capture buffer size>Establecer el tamao del bfer de captura (en MB,
que por defecto es 1MB). Este es utilizado por el controlador de captura
para capturar paquetes de datos hasta que los datos se escriben en el
disco. Si se producen cadas de paquetes durante la captura, intente
aumentar este tamao. No se admite en algunas plataformas.
-C <capture packet count>Esta opcin especifica el nmero mximo de
paquetes para capturar al capturar datos en directo. Sera utilizado en
conjuncin con la opcin -k.
-D Imprimir una lista de las interfaces en las que Wireshark puede
capturar y, a continuacin, salir. Para cada interfaz de red, un nmero y
un nombre de interfaz, posiblemente seguida de una descripcin de texto
de la interfaz, se imprime. El nombre de la interfaz o el nmero puede
ser suministrado al distintivo -i para especificar una interfaz en la
cual se captura.
Esto puede ser til en sistemas que no tienen un comando a la lista (por
ejemplo, los sistemas Windows o UNIX carente de ifconfig -a). El nmero
puede ser especialmente til en Windows, donde el nombre de interfaz es
un GUID.
Tenga en cuenta que puede "capturar" significa que Wireshark fue capaz de
abrir el dispositivo para realizar una captura en vivo. Si, en el
sistema, un programa haciendo una captura de red se debe ejecutar desde
una cuenta con privilegios especiales (por ejemplo, el root), entonces,
si Wireshark es ejecutar con el distintivo -d y no se ejecuta desde una
cuenta de este tipo, que no contiene ninguna lista de interfaces.
-F <capture filter>Esta opcin establece la captura inicial expresin de
filtro que se usa cuando la captura de paquetes.
-G <packet number>Despus de la lectura de un archivo de captura
utilizando el distintivo -r, vaya al nmero de paquetes.
-H: La opcin -h peticiones Wireshark para imprimir su versin y las
instrucciones de uso (como se muestra arriba) y salir.
143
Personalizacin de Wireshark
-i <capture interface>Establezca el nombre de la interfaz de red o el
tubo a utilizar para vivir la captura de paquetes.
Nombres de interfaz de red debe coincidir con uno de los nombres que
figuran en Wireshark -D (descrito anteriormente).
Un nmero, segn lo informado por wireshark -D, tambin puede ser
utilizado. Si usas Unix, netstat -i o ifconfig -a puede tambin trabajar
para una lista de los nombres de interfaz, aunque no todas las versiones
de UNIX admiten el indicador -a de ifconfig.
Si no se especifica ninguna interfaz, Wireshark busca en la lista de
interfaces, eligiendo el primer no-interfaz de loopback si hay cualquier
no-interfaces de loopback, y eligiendo la primera interfaz de loopback si
no hay interfaces de loopback; si no hay interfaces, Wireshark informa de
un error y no se inicia la captura.
Los nombres del tubo debe ser el nombre de un FIFO (tubera con nombre) o
"-" para leer los datos desde la entrada estndar. Los datos ledos de
los tubos debe ser estndar en formato libpcap.
-J <jump filter>Despus de la lectura de un archivo de captura utilizando
el distintivo -r, saltar al primer paquete que coincida con la expresin
de filtro. La expresin de filtro en filtro Mostrar formato. Si no
encuentra una coincidencia exacta del primer paquete despus es
seleccionado.
-Puedo capturar paquetes inalmbricos en modo monitor si est disponible.
-J Utilice esta opcin despus de la opcin -j para buscar hacia atrs
para un primer paquete para ir a.
-K La opcin -k especifica que Wireshark debera empezar a capturar
paquetes inmediatamente. Esta opcin requiere el uso del parmetro -i
para especificar la interfaz que se producir a partir de la captura de
paquetes.
-K <keytab file>Utilice el archivo especificado para el descifrado de
Kerberos.
-L Esta opcin activa el desplazamiento automtico si el panel Lista de
paquetes se actualizan automticamente a medida que los paquetes lleguen
durante una captura ( segn lo especificado por el distintivo -S).
-L Lista los tipos de enlace de datos admitidos por la interfaz y salir.
--List-time-stamp-Lista de tipos tipos timestamp configurable para el
iface y salir
-m<font> Esta opcin establece el nombre de la fuente utilizada para el
texto mostrado por la mayora de Wireshark.
-N objeto de red desactivar la resolucin de nombres (como nombre de
host, los nombres de los puertos TCP y UDP).
-N <name resolving flags>Enciende resolver nombres para determinados
tipos de direcciones y nmeros de puerto. El argumento es una cadena que
puede contener las letras m para activar la resolucin de direcciones
MAC, n para activar la resolucin de direcciones de red, y t para activar
la capa de transporte resolucin nmero de puerto. Esto anula -n si ambos
-N y -n estn presentes. La letra d permite la resolucin de capturados
paquetes DNS.
144
Personalizacin de Wireshark
-O. <preference or recent settings>Establece una preferencia o valor
reciente, anulando el valor predeterminado y cualquier valor ledo desde
un archivo reciente o preferencia. El argumento de la bandera es una
cadena de forma prefname:valor, donde prefname es el nombre de la
preferencia (que es el mismo nombre que aparece en el archivo de
preferencias o reciente), y el valor es el valor que debe establecerse.
Varias instancias de '-o <preference settings>' Puede ser dado en una
sola lnea de comandos.
Un ejemplo de configuracin de una sola preferencia sera:
Wireshark -o.display_mgcp diseccionar_tree:TRUE
Un ejemplo de configuracin de las preferencias seran mltiples:
Wireshark -o.display_mgcp diseccionar_tree:TRUE -o
mgcp.UDP.callagent_port:2627
puede obtener una lista de todas las preferencias disponibles cadenas
desde el archivo de preferencias. Consulte el Apndice B, Archivos y
carpetas para obtener ms informacin.
Tablas de acceso Usuario puede anularse mediante "uat", seguido por el
nombre de archivo y la UAT un registro vlido para el archivo:
Wireshark -o "uat:user_DLT:\"Usuario 0 (DLT=147)\", \"http\", \"0\"\"\",
\"0\"\"\""
El ejemplo anterior disecaran paquetes con un tipo de enlace de datos
libpcap 147 como HTTP, como si se hubiera configurado en las preferencias
del protocolo DLT_USER.
-P No poner la interfaz en modo promiscuo. Tenga en cuenta que la
interfaz podra ser en modo promiscuo por alguna otra razn. Por lo
tanto, -p no puede ser utilizada para asegurar que el nico trfico que
se capta es el trfico enviado a o desde la mquina en la que se est
ejecutando Wireshark, el trfico de difusin y multidifusin a
direcciones de trfico recibido por esa mquina.
-P <path setting>Configuracin de rutas especiales por lo general se
detecta automticamente. Esto se utiliza para casos especiales, por
ejemplo, iniciar Wireshark desde una ubicacin conocida en una memoria
USB.
El criterio es la forma clave:ruta, donde la clave es uno de los
siguientes:
persconf:ruta de archivos de configuracin personales, como los archivos
de preferencias.
persdata:ruta de ficheros de datos personales, es la carpeta abierto
inicialmente. Despus de la inicializacin, el archivo reciente mantendr
la carpeta utilizada por ltima vez.
-Q Esta opcin fuerza Wireshark para salir cuando la captura es completa.
Puede utilizarse con la opcin -c .
Debe usarse junto con la opcin -i y -w opciones.
-R <infile>Esta opcin proporciona el nombre de un archivo de captura de
Wireshark para leer y mostrar. Este archivo de captura puede estar en uno
de los formatos que entiende de Wireshark.
-R <read (display) filter>Esta opcin especifica un filtro de
presentacin que se aplican cuando los paquetes de lectura de un archivo
de captura. La sintaxis de este filtro es la de los filtros de
visualizacin se discute en la seccin 6.3, "paquetes de filtrado
mientras ve".
Los paquetes que no coincidan con el filtro se descartan.
145
Personalizacin de Wireshark
-s <capture snapshot length>Esta opcin especifica la longitud
instantnea para utilizar cuando la captura de paquetes. Wireshark slo
capturar snaplen bytes de datos para cada paquete.
Esta opcin -s especifica que Wireshark mostrar los paquetes a la
captura. Esto se realiza mediante la captura en un proceso y mostrarlos
en un proceso separado. Este es el mismo como "Actualizar la lista de
paquetes en tiempo real" en la opcin "Capturar" el cuadro de dilogo
Opciones.
-T <time stamp format>Esta opcin establece el formato de paquetes de
marcas que se muestran en la ventana de la lista de paquetes. El formato
puede ser uno de los siguientes:
r relativa, que especifica las marcas de tiempo se muestran con respecto
al primer paquete han capturado
un absoluto, que especifica que los tiempos actuales se muestran para
todos los paquetes.
ad absoluta con fecha, que especifica que las fechas reales y a veces se
muestran para todos los paquetes.
d Delta, que especifica que las marcas de tiempo son relativos al paquete
anterior.
e Epoch, que especifica que las marcas de tiempo son segundos desde el
epoch (Jan 1, 1970 00:00:00)
-u<s | hms> Muestra timesamps como segundos (s, el predeterminado) o en
horas, minutos y seconts (HMS)
-v la opcin -v peticiones Wireshark para imprimir su informacin de
versin y sale.
-W <savefile>Esta opcin establece el nombre del archivo que se va a
utilizar para guardar los paquetes capturados.
-Y. <capture link type>Si una captura se inicia desde la lnea de
comandos con la opcin -k, establezca el tipo de enlace de datos para
usar mientras la captura de paquetes. Los valores reportados por -L son
los valores que se pueden utilizar.
--El tipo de timbre de hora <type>Si una captura se inicia desde la lnea
de comandos con la opcin -k, establezca el tipo de enlace de datos para
usar mientras la captura de paquetes. Los valores reportados por --list-
time-stamp-tipos son los valores que se pueden utilizar.
-X <eXtension option>Especifique una opcin para pasarse a un mdulo de
TShark. La opcin de extensin es la forma en la extension_clave:valor,
donde extension_clave puede ser:
lua_script:lua_SCRIPT_FILENAME Indica Wireshark para cargar el script
adems de los scripts Lua predeterminado.
lua_script[num]:argumento narra Wireshark para pasar el argumento dado al
script lua identificadas por num, que es el nmero de la orden indizado
lua_comando script. Por ejemplo, si slo hay un guin fue cargado con -
x_lua:mi script.lua, lua_script -X1:foo pasar la cadena foo
146
Personalizacin de Wireshark
a mi script.lua. Si se cargaron dos secuencias de comandos, tales como -
X_lua:mi script.lua y -x lua_script.lua:otros en ese orden, un script
lua_-X2:bar pasara la cadena a la segunda barra de script lua, a saber
otras.lua.
-Z <statistics-string>Obtenga Wireshark para recoger diversos tipos de
estadsticas y mostrar el resultado en una ventana que actualiza en semi-
tiempo real.
10.3. Colorizacin de paquetes
un mecanismo muy til disponible en Wireshark es packet coloreado. Puede
configurar Wireshark para que colorear paquetes segn un filtro de
visualizacin. Esto le permite destacar los paquetes que pueda ser de su
inters.
Usted puede encontrar un montn de ejemplos de reglas de colorantes en
Wireshark Wiki Reglas de colores en la pgina https://
wiki.wireshark.org/ColoringRules.
Hay dos tipos de reglas de colores en Wireshark: normas temporales que
slo estn en vigor hasta que salga del programa y las normas permanentes
que se guardan en un archivo de preferencias para que estn disponibles
la prxima vez que ejecute Wireshark.
Se pueden agregar reglas temporales seleccionando un paquete y pulsando
la tecla Ctrl junto con una de las teclas numricas. Esto crear un
colorante regla basada en la conversacin seleccionada actualmente. Se
intenta crear una conversacin filtro basado en TCP en primer lugar y, a
continuacin, UDP, IP y Ethernet en el pasado. Filtros temporales
pueden tambin crearse seleccionando el colorear con filtro Color x
elementos de men al hacer clic con el botn secundario en el panel de
detalles del paquete.
Permanentemente para colorear de paquetes, seleccione Ver Reglas de
colores.... Wireshark mostrar las "Reglas de Colores" cuadro de dilogo
como se muestra en Figura 10.1, "la coloracin "Reglas" cuadro de
dilogo".
Figura 10.1. Las "reglas" para colorear el cuadro de dilogo
Personalizacin de Wireshark
Figura 10.3. Utilizar filtros de color con Wireshark
10.4. Protocolo de control de la diseccin,
el usuario puede controlar cmo se disecan los protocolos.
Cada protocolo tiene su propio disector, disecando un paquete completo
suele implicar a varios disectores. Como Wireshark intenta encontrar el
disector de derecho para cada paquete (usando "rutas" esttico y
heurstica "adivinar"), puede elegir el disector equivocado en su caso
especfico. Por ejemplo, Wireshark no sabr si utiliza un protocolo comn
sobre un puerto TCP infrecuente, por ejemplo mediante HTTP en el puerto
TCP 800 en lugar del puerto 80 estndar.
Hay dos formas de controlar las relaciones entre disectores de protocolo:
deshabilitar completamente el disector un protocolo o desviar
temporalmente el camino llama a los disectores Wireshark.
10.4.1. Los "Protocolos habilitados" cuadro de dilogo
El cuadro de dilogo Protocolos habilitados permite habilitar o
deshabilitar protocolos especficos. Todos los protocolos estn
habilitados de forma predeterminada. Cuando se desactiva un protocolo,
Wireshark deja de procesar un paquete cada vez que el protocolo se
encuentre.
Nota:
desactivar un protocolo impedir la informacin acerca de los protocolos
de capa superior de mostrarse. Por ejemplo, suponga que ha desactivado el
protocolo IP y seleccionado un paquete con Ethernet, IP, TCP, HTTP y la
informacin. La informacin de Ethernet se mostrara, pero la IP, TCP y
HTTP: desactivacin de la informacin no evitara que IP y otros
protocolos de mostrarse.
Para habilitar o inhabilitar los protocolos seleccione Analizar
Protocolos habilitados.... Wireshark aparecer la "Protocolos
habilitados" cuadro de dilogo como se muestra en Figura 10.4, "La
"Protocolos habilitados" cuadro de dilogo".
149
Personalizacin de Wireshark
Figura 10.4. Los "Protocolos habilitados" cuadro de dilogo
para habilitar o deshabilitar un protocolo, simplemente haga clic sobre
l con el ratn o presionar la BARRA ESPACIADORA cuando el protocolo est
resaltada. Tenga en cuenta que escribir las primeras letras del nombre
del protocolo Protocolos habilitados cuando el cuadro de dilogo se
abrir temporalmente activa un cuadro de texto de bsqueda y selecciona
automticamente el primer protocolo coincidente el nombre (si existe).
Debe utilizar el botn Guardar para guardar la configuracin. Los botones
Aceptar o Aplicar no guardar los cambios permanentemente y se perdern
cuando Wireshark es cerrado.
Puede elegir entre las siguientes acciones:
1. Habilitar todas: Habilitar todos los protocolos de la lista.
2. Deshabilitar todas: desactivar todos los protocolos de la lista.
3. Invertir: alternar el estado de todos los protocolos de la lista.
4. OK: Aplicar los cambios y cerrar el cuadro de dilogo.
5. Aplicar: Aplica los cambios y mantener el cuadro de dilogo Abrir.
150
Personalizacin de Wireshark
6. Guardar: Guarda la configuracin para los discapacitados_protos, vase
el apndice B, Archivos y carpetas para obtener ms informacin.
7. Cancelar: cancela los cambios y cerrar el cuadro de dilogo.
10.4.2. Decodifica
el usuario especificado como "Decode" funcionalidad le permite desviar
temporalmente disecciones de protocolo especfico. Esto puede ser til
por ejemplo, si hacer algunos experimentos poco comn en la red.
Decodificar Como se accede seleccionando el analizar Decodificar
Como.... Wireshark aparecer la "Decode" como cuadro de dilogo como el
que se muestra en Figura 10.5, "descodificar" como cuadro de dilogo".
Figura 10.5. "Descodificar" el cuadro de dilogo como
el contenido de este cuadro de dilogo depende del paquete seleccionado
cuando se abri.
Estos ajustes se perdern si sale de Wireshark o cambiar el perfil, a
menos que guarde las entradas en el Show Usuario especificado
decodifica... windows (Seccin 10.4.3, "Mostrar") descodifica
especificados por el usuario.
1. Decodificacin: Decodificar paquetes de la forma seleccionada.
2. No descodificar: No decodifique paquetes la forma seleccionada.
3. Link/red/transporte: Especifica la capa de red en la que como "Decode"
debera tener lugar. Cul de estas pginas estn disponibles depende del
contenido del paquete seleccionado cuando se abre este cuadro de dilogo.
4. Mostrar actual: abre un cuadro de dilogo que muestra la lista actual
de usuario especificado decodificaciones.
5. OK: Aplicar la decodificacin actualmente seleccionada y cerrar el
cuadro de dilogo.
6. Aplicar: Aplica la decodificacin actualmente seleccionado y mantener
el cuadro de dilogo Abrir.
151
Personalizacin de Wireshark
7. Cancelar: cancela los cambios y cerrar el cuadro de dilogo.
10.4.3. Mostrar usuario especificado decodifica
este cuadro de dilogo muestra los activos actualmente descodifica
especificados por el usuario. Estas entradas pueden ser guardadas en el
perfil actual para una sesin posterior.
Figura 10.6. "Decodificar Como: mostrar el cuadro de dilogo"
1. OK: Cierra el cuadro de dilogo.
2. Guardar: guarda las entradas de la tabla en el perfil actual.
3. Borrar: elimina todos los usuario especificado decodifica sin
actualizar el perfil.
10.5. Preferencias,
hay una serie de opciones que puede establecer. Simplemente seleccione
Editar Preferencias... (Wireshark Preferencias... en MacOS) y
Wireshark aparecer el cuadro de dilogo Preferencias tal como se muestra
en Figura 10.7, "El cuadro de dilogo Preferencias", con la "interfaz de
usuario" de la pgina por defecto. En el lado izquierdo hay un rbol
donde puede seleccionar la pgina que se mostrar.
El botn Aceptar se aplicarn las preferencias configuracin y cerrar
el cuadro de dilogo.
El botn Aplicar aplicar la configuracin de preferencias y mantener
abierto el dilogo.
El botn Cancelar restablecer todos los ajustes de preferencias al
ltimo estado guardado.
152
Personalizacin de Wireshark
Figura 10.7. El cuadro de dilogo Preferencias
10.5.1. Opciones de interfaz
en la "captura" Preferencias es posible configurar varias opciones para
las interfaces disponibles en el equipo. Seleccione el panel de "captura"
y pulse el botn Editar. En esta ventana es posible cambiar el encabezado
de capa de enlace predeterminado para el tipo de interfaz, agregue un
comentario o elegir ocultar una interfaz desde otras partes del programa.
Figura 10.8. El cuadro de dilogo Opciones de la interfaz de
cada fila contiene opciones para cada interfaz disponible en su
ordenador.
El dispositivo: el nombre de dispositivo proporcionado por el sistema
operativo.
Descripcin: proporcionado por el sistema operativo.
153
Personalizacin de Wireshark
Capa de enlace predeterminado: cada interfaz puede proporcionar varios
tipos de cabezal de capa de enlace. La capa de enlace predeterminado
elegido aqu es el que se utiliza cuando se arranca por primera vez
Wireshark. Tambin es posible cambiar este valor en la seccin 4.5,
"Opciones" la opcin "Capturar" el cuadro de dilogo al iniciar una
captura. Para una descripcin detallada, consulte Seccin 4.12, "La capa
de enlace de tipo cabezal".
Comentario: Un usuario siempre que la descripcin de la interfaz. Este
comentario ser usado como una descripcin en lugar de la descripcin del
sistema operativo.
Ocultar?: active esta opcin para ocultar la interfaz desde otras
partes del programa.
10.6. Los perfiles de configuracin
de perfiles de configuracin se puede utilizar para configurar y utilizar
ms de un conjunto de preferencias y configuraciones. Seleccione los
perfiles de configuracin... del men en el men Editar, o simplemente
presione Mays, Ctrl-A; y Wireshark aparecer el cuadro de dilogo
Perfiles de configuracin como se muestra en Figura 10.9, "El cuadro de
dilogo Perfiles de configuracin". Tambin es posible hacer clic en el
"Perfil" de la barra de estado para que aparezca un men emergente con
los perfiles de configuracin disponibles (Figura 3.22, "La barra de
estado con un perfil de configuracin menu").
Archivos de configuracin almacenados en los perfiles:
preferencias (preferences) (seccin 10.5, "Preferencias") Filtros de
captura (cfilters) (Seccin 6.6, "Definicin y guardar filtros")
Filtros de visualizacin (dfilters) (Seccin 6.6, "Definicin y guardar
filtros") Reglas de colores (colorfilters) (seccin 10.3, "paquetes" de
colorizacin) Protocolos Desactivado (Disabled_protos) (Seccin 10.4.1,
"El "Protocolos habilitados" cuadro de dilogo") tablas accesibles por
el usuario:
Los encabezados HTTP personalizados (custom_http_header_fields) El
FMI encabezados personalizados (FMI_header_fields) tipos AttributeValue
LDAP personalizado (custom_ldap_attribute_types) Filtro Mostrar Macros
(Macros)_dfilter (Seccin 10.8, "Mostrar filtro Macros") Los atributos
de la categora de ESS (ESS_category_attributes) (seccin 10.9, "ESS")
los atributos de la categora GeoIP Database caminos (geoip_db_paths)
(Seccin 10.10, "Las Rutas de la base de datos GeoIP") Protocolos (K12
K12_protos) (Seccin 10.19, "Tektronix K12xx/15 RF5 Tabla de protocolos")
Identificador de objeto nombres y sintaxis asociada (Seccin 10.12,
"Identificadores de Objeto") PRES Usuarios Lista contexto
(pres_context_list) (Seccin 10.13, "PRES Usuarios Lista Contexto")
SCCP tabla Users (Usuarios_SCCP) (Seccin 10.14, "SCCP Tabla users")
Enterprise SNMP Trap especfica tipos especficos (snmp traps) (Seccin
10.17, "Enterprise SNMP Trap especfica tipos")
Los usuarios de SNMP (snmp_users) (Seccin 10.18, "SNMP Tabla users")
154
Personalizacin de Wireshark
Tabla DLT de usuario (user_DLT) (Seccin 10.20, "Usuario dlt tabla")
protocolo IKEv2 Tabla de descifrado (ikev2_tabla_descifrado) (Seccin
10.11, "IKEv2 Tabla de descifrado") Cambiar las asignaciones (disector
decode_como_entradas), que se puede establecer en el cuadro de dilogo
Decodificar Como... (Seccin 10.4.2, "Usuario especificado descodifica")
y, adems, guarda en el usuario especificado decodifica... Ventana
(Seccin 10.4.3, "Mostrar") descodifica especificados por el usuario.
Algunos ajustes recientes (recientes), tales como el tamao del panel
de la ventana principal (Seccin 3.3, "La ventana principal"), los anchos
de columna en la lista de paquetes (Seccin 3.18, "La lista de paquetes
"panel""), todas las selecciones en el men "Ver" (Seccin 3.7, "El men
"Ver"") y el ltimo directorio desplazado en el dilogo de Abrir archivo.
Todas las dems configuraciones se almacenan en la carpeta de
configuracin personal, y son comunes a todos los perfiles.
Figura 10.9. El cuadro de dilogo Perfiles de configuracin
Nuevo Este botn agrega un nuevo perfil a la lista de perfiles. El nombre
del perfil creado es "nuevo perfil" y puede ser cambiado en el campo de
propiedades.
Copiar Este botn agrega un nuevo perfil a la lista de perfiles, copiar
toda la configuracin del perfil seleccionado actualmente en la lista. El
nombre del perfil creado es el mismo que el perfil copiado, con el texto
"(copia)" aplicado. Se puede cambiar el nombre en el campo de
propiedades.
Eliminar Este botn elimina el perfil seleccionado, incluyendo todos los
archivos de configuracin usados en este perfil. No es posible eliminar
el perfil "Default".
155
Personalizacin de Wireshark
perfiles de configuracin puede seleccionar un perfil de configuracin de
esta lista (que se rellene el nombre del perfil en los campos en la parte
de abajo del cuadro de dilogo).
El nombre de perfil se puede cambiar el nombre del perfil seleccionado
aqu.
El nombre de perfil se utilizar como el nombre de una carpeta en el
configurado "configuraciones personales" carpeta. Si la adicin de varios
perfiles con el mismo nombre, slo un perfil ser creado.
En Windows, el nombre de perfil no puede empezar ni terminar con un punto
(.) y no puede contener ninguno de los siguientes caracteres: '\', '/',
':', '*', '?', '', '<' y '>', '|', o '+'. En Unix el nombre del
perfil no puede contener el carcter '/'.
Aceptar Este botn guarda todos los cambios, se aplica el perfil
seleccionado y se cierra el cuadro de dilogo.
Aplicar este botn guarda todos los cambios, se aplica el perfil
seleccionado y mantiene abierto el dilogo.
Cancelar Cerrar este dilogo. Esto descartar los ajustes, nuevos perfiles
no se agregan y eliminan los perfiles no se elimina.
Ayuda Mostrar esta pgina de ayuda.
10.7.
La tabla user de la tabla user editor se utiliza para gestionar varias
tablas en Wireshark. Su cuadro de dilogo principal funciona de forma muy
similar al de la seccin 10.3, "paquetes" de coloracin.
10.8. Filtro de pantalla de
filtro de pantalla de Macros Las macros son un mecanismo para crear
accesos directos para filtros complejos. Por ejemplo, la definicin de un
filtro de presentacin macro denominada tcp_conv cuyo texto es ( (ip.src
== $1 e ip.dst == $2 y tcp.srcport == $3 y tcp.dstport == $4) o (ip.src
== $2 e ip.dst == $1 y tcp.srcport == $4 y tcp.dstport == $3) )
permitira utilizar un filtro de presentacin como
${tcp_conv:10.1.1.2;10.1.1.3;1200;1400} en lugar de escribir todo el
filtro.
Filtro de pantalla, las macros pueden ser administrados con una seccin
10.7, "La tabla User" seleccionando Analizar Filtro mostrar macros
desde el men. El usuario dispone de los siguientes campos de tabla
el nombre de la macro.
Texto el texto de reemplazo para la macro utiliza $1, $2, $3, ... como
los argumentos de entrada.
10.9. Los atributos de la categora de ESS
Wireshark utiliza esta tabla para asignar los atributos de la categora
Seguridad ESS para representaciones textuales. Los valores para poner en
esta tabla se encuentran generalmente en un XML SPIF, que se utiliza para
definir las etiquetas de seguridad.
156
Personalizacin de Wireshark
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Conjunto de etiquetas de un identificador de objeto que representa la
categora Conjunto de etiquetas.
Valor El valor certificado (etiqueta y valor) que representa la
categora.
Nombre la representacin textual del valor.
10.10. Las rutas de la base de datos GeoIP
si su copia de Wireshark admite MaxMind GeoIP de biblioteca, puede
utilizar sus bases de datos para que coincida con las direcciones IP a
los pases, CITES, nmeros de sistemas autnomos, ISP y otros bits de
informacin. Algunas bases de datos estn disponibles sin costo alguno,
mientras que otros requieren una cuota de licencia. Consulte el sitio web
de MaxMind para ms informacin.
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Ruta de la base de datos especifica un directorio que contiene archivos
de datos GeoIP. Todos los archivos que comienzan con el GEO y termina con
.dat se cargar automticamente. Un total de 8 archivos pueden ser
cargados.
Las ubicaciones de los archivos de datos estn arriba, pero
/usr/share/GeoIP (Linux), C:\GeoIP (Windows), C:\Archivos de
programa\Wireshark\GeoIP (Windows) podran ser buenas opciones.
10.11. IKEv2 tabla descifrado
Wireshark puede descifrar los payloads de IKEv2 (Intercambio de claves de
Internet versin 2) paquetes si es necesario se proporciona informacin.
Tenga en cuenta que slo puede descifrar los paquetes IKEv2 con esta
caracterstica. Si desea descifrar paquetes IKEv1 o paquetes ESP, utilice
el nombre de archivo del registro de ajuste bajo protocolo ISAKMP
preferencia o configuracin bajo el protocolo ESP preferencia,
respectivamente.
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Del iniciador del iniciador de SPI SPI del IKE_SA. Este campo toma la
cadena hexadecimal sin el prefijo "0x" y la longitud debe ser de 16
caracteres hexadecimales (representa 8 octetos).
Del respondedor SPI SPI del respondedor del IKE_SA. Este campo toma la
cadena hexadecimal sin el prefijo "0x" y la longitud debe ser de 16
caracteres hexadecimales (representa 8 octetos).
SK_ei clave utilizada para cifrar/descifrar los paquetes IKEv2 del
iniciador al respondedor. Este campo toma la cadena hexadecimal sin el
prefijo "0x" y su longitud deber cumplir el requisito del algoritmo de
cifrado seleccionado.
SK_er clave utilizada para cifrar/descifrar los paquetes IKEv2 desde el
contestador de iniciador. Este campo toma la cadena hexadecimal sin el
prefijo "0x" y su longitud deber cumplir el requisito del algoritmo de
cifrado seleccionado.
157
Personalizacin de Wireshark
Algoritmo de cifrado del algoritmo de cifrado IKE_SA.
SK_ai clave utilizada para calcular los datos de suma de comprobacin de
integridad de los paquetes IKEv2 desde el contestador de iniciador. Este
campo toma la cadena hexadecimal sin el prefijo "0x" y su longitud deber
cumplir el requisito de la integridad algoritmo seleccionado.
SK_ar clave utilizada para calcular los datos de suma de comprobacin de
integridad de los paquetes IKEv2 del iniciador al respondedor. Este campo
toma la cadena hexadecimal sin el prefijo "0x" y su longitud deber
cumplir el requisito de la integridad algoritmo seleccionado.
Algoritmo de integridad Algoritmo de integridad del IKE_SA.
10.12. Los identificadores de objeto
muchos protocolos que utilizan ASN.1 Utilice los identificadores de
objeto (OID) para identificar ciertos tipos de informacin. En muchos
casos, son utilizadas en un mecanismo de extensin de manera que los
nuevos identificadores de objetos (y los valores asociados) puede
definirse sin necesidad de cambiar la base estndar.
Aunque Wireshark tiene conocimiento acerca de muchos de los OID y la
sintaxis de sus valores asociados, la extensibilidad significa que otros
valores pueden ser encontradas.
Wireshark utiliza esta tabla para permitir al usuario definir el nombre y
la sintaxis de identificadores de objeto que Wireshark no conozca (por
ejemplo, una empresa privada X.400 define la extensin). Tambin permite
al usuario cambiar el nombre y la sintaxis de los identificadores de
objeto que s sabe acerca de Wireshark (por ejemplo, cambiando el nombre
de "Id-al-countryName" a "c").
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
OID la representacin de cadena del identificador de objeto, por ejemplo
"2.5.4.6".
El nombre que debe aparecer por Wireshark cuando el identificador de
objeto est diseccionado por ejemplo (c);
sintaxis La sintaxis del valor asociado con el identificador de objeto.
Esta debe ser una de las sintaxis que Wireshark ya conoce (por ej.
"PrintableString").
10.13. PRES Usuarios Lista Contexto
Wireshark utiliza esta tabla para asignar un identificador de contexto de
presentacin para un determinado identificador de objeto cuando la
captura no contienen una pres paquete con una presentacin de la lista de
definicin de contexto para la conversacin.
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Id. de contexto un entero que representa el contexto de presentacin
identificador para que esta asociacin es vlida.
Sintaxis Nombre OID el identificador de objeto que representa el nombre
de sintaxis abstracta, que define el protocolo que se lleva a cabo esta
asociacin.
158
Personalizacin de Wireshark
10.14. Tabla de usuarios SCCP
Wireshark utiliza esta tabla para asignar protocolos especficos para una
determinada combinacin de DPC/SSN para SCCP.
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Indicador de red un nmero entero que representa el indicador de la red
para que esta asociacin es vlida.
Dpc llamado un rango de nmeros enteros que representan el dpcs para que
esta asociacin es vlida.
Llama ssn un rango de nmeros enteros que representan la SSN para que
esta asociacin es vlida.
El protocolo protocolo de usuario que se lleva a cabo esta asociacin
10.15. SMI (MIB y PIB) Mdulos
si su copia de Wireshark admite libSMI, puede especificar una lista de
mdulos MIB y PIB aqu. Los policas y disectores SNMP pueden utilizarlos
para resolver OID.
Nombre del mdulo el nombre del mdulo, por ejemplo IF-MIB.
10.16. SMI (MIB y PIB) Caminos
si su copia de Wireshark admite libSMI, puede especificar uno o ms
trazados a MIB y mdulos de PIB aqu.
Nombre de directorio de un mdulo, por ejemplo, el directorio
/usr/local/snmp/mibs. Wireshark utilizar automticamente la ruta SMI
estndar para su sistema, por lo que normalmente no es preciso aadir
nada aqu.
10.17. Enterprise SNMP Trap especfica tipos
Wireshark utiliza esta tabla para asignar valores de captura especficos
a las descripciones definidas por el usuario en una trampa de la PDU. La
descripcin se muestra en el paquete detalles especficos de trampa de
elemento.
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Empresa OID el identificador de objeto que representa el objeto genera la
trampa.
Identificacin de captura un nmero entero que representa el cdigo de
captura especfico.
Descripcin La descripcin para mostrar detalles en el paquete.
10.18. Tabla de usuarios SNMP
Wireshark utiliza esta tabla para comprobar la autenticacin y para
descifrar los paquetes de SNMPv3.
159
Personalizacin de Wireshark
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
ID del motor si se da esta entrada se utilizar slo para paquetes cuyo
motor id est presente. Este campo toma una cadena hexadecimal en forma
0102030405.
Este nombre de usuario es el nombre de usuario. Cuando un usuario tiene
ms de una contrasea para diferentes motores de SNMP para que coincida
con la primera entrada es tomado, tanto si necesita un motor catch all-id
(vaco) que la entrada debera ser la ltima.
Modelo de autenticacin que auth modelo a utilizar (o "MD5" o "SHA1").
Contrasea La contrasea de autenticacin. Usar \xDD para caracteres no
imprimibles. Una contrasea hexadecimal debe introducirse como una
secuencia de caracteres \xDD. Por ejemplo, el hexadecimal 010203040506
contrasea debe escribirse como \x01\x02\x03\x04\x05\x06. El carcter \
debe tratarse como un carcter no imprimible, es decir,
ste debe ser introducido como \x5C o \x5c.
Protocolo de privacidad Qu algoritmo de cifrado a utilizar (ya sea "Des"
o ''AES").
Contrasea de privacidad La contrasea de privacidad. Usar \xDD para
caracteres no imprimibles. Una contrasea hexadecimal debe introducirse
como una secuencia de caracteres \xDD. Por ejemplo, el hexadecimal
010203040506 contrasea debe escribirse como \x01\x02\x03\x04\x05\x06. El
carcter \ debe tratarse como un carcter no imprimible, es decir,
ste debe ser introducido como \x5C o \x5c.
10.19. Tektronix K12xx/15 RF5 Tabla de protocolos
El Tektronix K12xx/15 rf5 utiliza el formato de archivo de archivos
auxiliares (.STK) para identificar los diversos protocolos que son
utilizados por una determinada interfaz. Wireshark no lee estos stk
archivos, utiliza una tabla que le ayuda a identificar qu protocolo de
capa inferior para utilizar.
Stk archivo coincidente de protocolo est manejado por una seccin 10.7,
"la tabla user" con los siguientes campos.
Cadena de coincidencia una coincidencia parcial para un stk filename, el
primer partido gana, por lo tanto, si usted tiene un caso especfico y
una general el especfico debe aparecer primero en la lista.
Este protocolo es el nombre del protocolo de encapsulacin (la capa ms
baja en los paquetes de datos) puede ser simplemente el nombre del
protocolo (por ejemplo, eth2 MTP_witoutfcs, sscf-nni ) o el nombre del
protocolo de encapsulamiento y el protocolo a travs de "aplicacin",
separados por una coma (ej:sscf sscop-nni, sscop:alcap, sscop:nbap, ...)
10.20. Protocolo dlt usuario tabla
cuando un archivo pcap utiliza uno de los usuarios DLT (147 a 162)
wireshark utiliza esta tabla para saber qu protocolo(s) que se va a
utilizar para cada usuario DLT.
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
160
Personalizacin de Wireshark
DLT DLT uno de los usuarios.
Protocolo de carga este es el nombre de la carga de protocolo (la capa
ms baja en los paquetes de datos). (P. ej. "Eth" para ethernet, "ip"
para
el tamao del encabezado de IPv4) Si hay un encabezado de protocolo
(antes de que el protocolo de payload) esto indica que el tamao del
cabezal. Un valor de 0 desactiva el encabezado de protocolo.
Protocolo encabezado Nombre del encabezado de protocolo para ser
utilizado (utiliza "datos" como valor predeterminado).
Tamao del remolque si hay un remolque protocol (despus de la carga til
protocolo) esto indica que el tamao de este trailer. Un valor de 0
desactiva el protocolo de remolque.
Protocolo de remolque remolque el nombre del protocolo que se va a
utilizar (utiliza "datos" como valor predeterminado).
161
mensajes de Wireshark
A.2.2. [Peticin de fotograma: 123]
mismo como "Respuesta en el bastidor: 123" anterior, pero al revs.
A.2.3. [Tiempo de peticin: 0.123 Segundos]
El tiempo entre la solicitud y la respuesta de paquetes.
A.2.4. [Stream setup por protocolo (cuadro 123)]
el control de sesin de protocolo (SDP, H225, etc) mensaje que marc la
creacin de este perodo de sesiones. Puede saltar directamente a la
correspondiente paquete simplemente haciendo doble clic en este mensaje.
163
archivos y carpetas
B.2. Archivo de configuracin de carpetas y plugin
para coincidir con las diferentes polticas para sistemas Unix y Windows,
y las diferentes polticas que se utilizan en diferentes sistemas tipo
Unix, las carpetas que contienen los archivos de configuracin y plugins
son diferentes en diferentes plataformas. Nos indican la ubicacin de las
carpetas de nivel superior en virtud de la cual los archivos de
configuracin y plugins son almacenados aqu, dndoles nombres de
marcadores de posicin independiente de su ubicacin real, y utilizar
esos nombres ms tarde al dar la ubicacin de las carpetas para los
archivos de configuracin y plugins.
Sugerencia
Una lista de las carpetas Wireshark utiliza realmente pueden encontrarse
bajo la pestaa Carpetas en el cuadro de dilogo que aparece cuando se
selecciona Acerca de Wireshark desde el men Ayuda.
B.2.1. Carpetas en Windows
APPDATA es la carpeta de datos de aplicaciones personales, por ejemplo:
C:\Users\nombre de usuario\AppData\Roaming\Wireshark (los detalles se
pueden encontrar en: Seccin B.5.1, "perfiles de Windows").
Wireshark Wireshark es la carpeta del programa, por ejemplo: C:\Archivos
de programa\Wireshark.
B.2.2. Carpetas en sistemas Unix
XDG_CONFIG_HOME es la carpeta para los archivos de configuracin
especficos del usuario. Es generalmente $HOME/.config, donde $HOME es la
carpeta de inicio del usuario, que es generalmente algo como
/home/username, o / Users/USERNAME en MacOS.
Si est utilizando MacOS y se est ejecutando una copia de Wireshark
instalada como un paquete de aplicaciones, APPDIR es el directorio de
nivel superior del paquete de aplicaciones de Wireshark, que normalmente
ser / Aplicaciones/Wireshark.app. De lo contrario, INSTALLDIR es el de
nivel superior del directorio en el que residen los subdirectorios en los
que estn instalados los componentes de Wireshark. Esto normalmente ser
/usr si Wireshark es suministrado con el sistema (por ejemplo, siempre
como un paquete con una distribucin de Linux) y /usr/local si, por
ejemplo, has construir Wireshark desde el origen y lo instal.
B.3. Los archivos de configuracin de
Wireshark utiliza una serie de archivos de configuracin mientras se est
ejecutando. Algunos de stos se encuentran en la carpeta de configuracin
personal y se usan para mantener informacin entre ejecuciones de
Wireshark, aunque algunos de ellos se mantienen en las reas del sistema.
El formato del contenido de los archivos de configuracin es la misma en
todas las plataformas.
En Windows:
La carpeta de configuracin personal de Wireshark Wireshark es la sub-
carpeta de la carpeta, es decir,
APPDATA\Wireshark.
La carpeta Configuracin global de Wireshark Wireshark es la carpeta
del programa y tambin se utiliza como la carpeta de configuracin del
sistema.
En sistemas tipo Unix:
La configuracin personal folder es XDG_CONFIG_HOME/Wireshark. Por
razones de compatibilidad con Wireshark antes del 2.2, si
XDG_CONFIG_HOME/wireshark no existe y $HOME/.wireshark est presente,
entonces ste ser usado.
165
archivos y carpetas
Si est utilizando MacOS y se est ejecutando una copia de Wireshark
instalada como un paquete de aplicaciones, la configuracin global
carpeta es APPDIR/Contents/Resources/share/Wireshark. De lo contrario, la
configuracin global carpeta es INSTALLDIR/share/Wireshark.
El archivo /etc carpeta es la carpeta de configuracin del sistema. La
carpeta realmente utilizados en el sistema pueden variar, tal vez algo
como: /usr/local/etc.
Cuadro B.1. Archivos de configuracin descripcin
Descripcin Archivo/Carpeta Preferencias Configuracin del cuadro de
dilogo Preferencias de
configuracin GUI recientes (por ejemplo, listas de archivos recientes).
cfilters captura filtros.
filtros de visualizacin.
colorfilters dfilters reglas de colores.
disabled_protos protocolos deshabilitados.
teres Ethernet. Resolucin de nombres la
resolucin de nombres Ethernet manuf.
hosts IPv4 e IPv6.
Los servicios de resolucin de nombres de servicios de red.
subredes subred IPv4. Resolucin de nombres la
resolucin de nombres. IPX ipxnets
VLAN ID de VLAN, resolucin de nombres.
Archivo de
preferencias de contenido Este archivo contiene sus preferencias de
Wireshark, incluidos los predeterminados para capturar y visualizar los
paquetes.
Es un simple archivo de texto que contiene declaraciones de la forma:
variable: valor
al inicio del programa, si hay un archivo de preferencias en la carpeta
de configuracin global, es leer primero. Entonces, si hay un archivo de
preferencias en la carpeta de configuracin personal, que es de lectura;
si hay una preferencia definida en ambos archivos, la configuracin en el
archivo de preferencias personales anula la configuracin en el archivo
de preferencias globales.
Si pulsa el botn Guardar en el cuadro de dilogo "Preferencias", todos
los ajustes actuales se escriben en el archivo de preferencias
personales.
Recientes Este fichero contiene varios ajustes relacionados con la GUI
como el tamao y la posicin de la ventana principal, la lista de
archivos recientes y tal. Es un simple archivo de texto que contiene
declaraciones de la forma:
variable: el valor
se lee al inicio del programa y escrito a la salida del programa.
cfilters Este archivo contiene todos los filtros de captura que se han
definido y guardado. Se compone de una o ms lneas, donde cada lnea
tiene el siguiente formato:
" <filter name>" <filter string>
166
archivos y carpetas
al iniciar el programa, si existe un archivo cfilters en la carpeta de
configuracin personal, es leer. Si no existe un archivo cfilters en la
carpeta de configuracin personal, entonces, si hay un archivo cfilters
en la carpeta de configuracin global, es de lectura.
Cuando pulse el botn Guardar en el cuadro de dilogo Filtros de
captura", todos los filtros de captura actual se escriben en el archivo
de captura filtros personales.
dfilters Este archivo contiene todos los filtros de visualizacin que ha
definido y ha guardado. Se compone de una o ms lneas, donde cada lnea
tiene el siguiente formato:
" <filter name>" <filter string>
Al iniciar el programa, si existe un archivo dfilters en la carpeta de
configuracin personal, es leer. Si no existe un archivo dfilters en la
carpeta de configuracin personal, entonces, si hay un archivo dfilters
en la carpeta de configuracin global, es de lectura.
Cuando pulse el botn Guardar en el cuadro de dilogo Filtros de
visualizacin", todos los filtros de captura actual se escriben en el
archivo de filtros de pantalla personales.
colorfilters Este archivo contiene todos los filtros de color que se han
definido y guardado. Se compone de una o ms lneas, donde cada lnea
tiene el siguiente formato:
@ <filter name>@ <filter string>@[ <bg RGB(16-bit)>][ <fg RGB(16-bit)>]
Al inicio del programa, si existe un archivo colorfilters en la carpeta
de configuracin personal, es leer. Si no existe un archivo colorfilters
en la carpeta de configuracin personal, entonces, si hay un archivo
colorfilters en la carpeta de configuracin global, es de lectura.
Wwhen pulsar el botn Guardar en el cuadro de dilogo Reglas de colores",
todos los filtros de color son escritos en el archivo de filtros de color
personal.
disabled_protos cada lnea de este archivo se especifica un nombre de
protocolo deshabilitados. Los siguientes son algunos ejemplos:
tcp y udp
al inicio del programa, si hay un disabled_protos archivo en la carpeta
de configuracin global, es leer primero.
Entonces, si hay una disabled_protos archivo en la carpeta de
configuracin personal, que es de lectura; si hay una entrada para un
protocolo establecido en ambos archivos, la configuracin del archivo de
protocolos deshabilitados personal anula la configuracin en el archivo
de protocolos de global de personas con discapacidad.
Cuando pulse el botn Guardar en el cuadro de dilogo Protocolos
habilitados", el conjunto actual de los protocolos deshabilitados se
escribe en el archivo de protocolos deshabilitados personales.
teres cuando Wireshark es intentar traducir una direccin MAC de
hardware a un nombre, consulta los teres archivo en la carpeta de
configuracin personal primero. Si la direccin no se encuentra en ese
archivo, Wireshark consultan a los teres archivo en la carpeta de
configuracin del sistema.
Cada lnea de estos archivos se compone de un nombre y direccin de
hardware separados por espacios en blanco. Los dgitos de las direcciones
de hardware estn separados por dos puntos (:), guiones (-) o puntos (.).
Los siguientes son algunos ejemplos:
FF-FF-FF-FF-FF-FF emiten c0-00-FF-FF-FF-FF TR_broadcast 00.2b.08.93.4b.a1
Freds_machine
167
archivos y carpetas,
la configuracin de este archivo son ledas en cuando una direccin MAC
es para ser traducido a un nombre, y nunca escrito por Wireshark.
manuf al inicio del programa, si hay un archivo de fabricacin en la
carpeta de configuracin global, es de lectura.
Las entradas en este archivo se usa para traducir los tres primeros bytes
de una direccin Ethernet en un nombre de fabricantes. Este archivo tiene
el mismo formato que el archivo ethers, excepto las direcciones son tres
bytes de largo.
Un ejemplo es:
00:00:01 Xerox XEROX # CORPORATI
La configuracin de este archivo se leen en el inicio del programa y
nunca escrito por Wireshark.
hosts Wireshark utiliza las entradas de los archivos hosts para traducir
las direcciones IPv4 e IPv6 en los nombres.
Al iniciar el programa, si existe un archivo hosts en la carpeta de
configuracin global, es leer primero. Entonces, si hay un archivo hosts
en la carpeta de configuracin personal, que es de lectura; si hay una
entrada para una direccin IP determinada en ambos archivos, la
configuracin del archivo hosts personal anula la entrada en el archivo
hosts global.
Este archivo tiene el mismo formato que el habitual archivo /etc/hosts en
sistemas Unix.
Un ejemplo es:
# Los comentarios deben estar precedidos por el signo #!
192.168.0.1 homeserver
la configuracin de este archivo se leen en el inicio del programa y
nunca escrito por
servicios de Wireshark Wireshark utiliza los servicios de archivos a
traducir los nmeros de puerto en los nombres.
Al iniciar el programa, si hay un archivo de servicios en la carpeta de
configuracin global, es leer primero. Entonces, si hay un archivo de
servicios en la carpeta de configuracin personal, que es de lectura; si
hay una entrada para un determinado nmero de puerto en ambos archivos,
la configuracin en el archivo hosts personal anula la entrada en el
archivo hosts global.
Un ejemplo es:
mydns 5045/udp # Mi ow # Mi propio nombre de dominio mydns 5045/tcp # Mi
ow # Mi propio nombre de dominio
la configuracin de estos archivos se leen en el inicio del programa y
nunca escrito por Wireshark.
subredes Wireshark utiliza las subredes archivos para traducir una
direccin IPv4 en una subred nombre. Si no hay ninguna coincidencia
exacta de un archivo hosts o de DNS es encontrado, Wireshark intentar
una coincidencia parcial para la subred de la direccin.
Al iniciar el programa, si hay un archivo de subredes en la carpeta de
configuracin personal, es leer primero. Entonces, si hay un archivo de
subredes en la carpeta de configuracin global, que es de lectura; si hay
una preferencia definida en ambos archivos, la configuracin en el
archivo de preferencias globales anula la configuracin en el archivo de
preferencias personales.
Cada lnea en uno de estos archivos se compone de una direccin IPv4, una
longitud de la mscara de subred separada slo por un / y un nombre
separados por espacios en blanco. Mientras que la direccin debe ser una
direccin IPv4, los valores ms all de la longitud de la mscara son
posteriormente ignorado.
168
archivos y carpetas,
un ejemplo es:
# Los comentarios deben estar precedidos por el signo #!
192.168.0.0/24 ws_test_red
parcialmente un nombre coincidente se imprimir como "subnet-
name.restante-direccin". Por ejemplo, "192.168.0.1" en la subred
anterior sera impresa como "ws_test_red.1"; si la longitud de la mscara
anterior haba sido de 16 en lugar de 24, la direccin impresa sera
''ws_test_red.0.1".
La configuracin de estos archivos se leen en el inicio del programa y
nunca escrito por Wireshark.
ipxnets cuando Wireshark es intentar traducir un nmero de red IPX para
un nombre, consulta el archivo ipxnets en la carpeta de configuracin
personal primero. Si la direccin no se encuentra en ese archivo,
Wireshark ipxnets consulta el archivo en la carpeta de configuracin del
sistema.
Un ejemplo es:
C0.A8.2C.00 HR C0-A8-1c-00 CEO 00:00:Ser:EF IT_Server1 110f FileServer3,
la configuracin de este archivo son ledas en cuando un nmero de red
IPX se traduce a un nombre, y nunca escrito por Wireshark.
VLAN vlan Wireshark utiliza el archivo para traducir la etiqueta VLAN IDs
en nombres.
Al iniciar el programa, si hay un archivo de VLAN en la carpeta de
configuracin personal, es leer.
Cada lnea de este archivo consta de una etiqueta VLAN ID y un nombre
descriptivo, separadas por un espacio en blanco o un tabulador.
Un ejemplo es:
123 Server-LAN 2049 HR-Client-LAN
La configuracin de este archivo se leen en el inicio del programa y
nunca escrito por Wireshark.
B.4.
Wireshark admite plugins plugin carpetas para diversos fines. Los Plugins
pueden ser scripts escritos en Lua o cdigo escrito en C o C++ y
compilado a cdigo mquina.
Wireshark busca plugins en una carpeta plugin personal y global de la
carpeta plugin. Plugins Lua se almacenan en carpetas; el plugin plugins
compilados se almacenan en subcarpetas de la carpeta plugins, con el
nombre de la subcarpeta es el nmero de versin de Wireshark.
En Windows:
El personal carpeta plugin es\appdata\plugins de Wireshark.
La carpeta plugin global sea Wireshark\plugins.
En sistemas tipo Unix:
169
archivos y carpetas
personales La carpeta plugin es XDG_CONFIG_HOME/wireshark/plugins o, si
XDG_CONFIG_HOME/wireshark no existe y $HOME/.wireshark es presente,
$HOME/.wireshark/plugins.
Si se ejecuta en MacOS y Wireshark se instala como un paquete de
aplicaciones, la carpeta plugin global es
APPDIR/Contents/plugins/wireshark, de lo contrario la
INSTALLDIR/lib/wireshark/ plugins.
B.5. Las carpetas de Windows
Aqu encontrar algunos detalles acerca de las carpetas utilizadas en
Wireshark en diferentes versiones de Windows.
Como ya se mencion, se pueden encontrar las carpetas utilizadas
actualmente en el cuadro de dilogo Acerca de Wireshark.
B.5.1. Perfiles de Windows
Windows utiliza algunos directorios especiales para almacenar los
archivos de configuracin de usuario que definir el "perfil de usuario".
Esto puede ser confuso, ya que la ubicacin del directorio predeterminado
ha cambiado desde la versin de Windows a la versin y tambin puede ser
diferente para el ingls y las versiones internacionalizadas de Windows.
Nota
Si ha actualizado a una nueva versin de Windows, su perfil podra
mantenerse en la antigua ubicacin. Los valores predeterminados aqu
mencionadas pueden no aplicar.
Las siguientes guas usted al lugar adecuado donde buscar los datos del
perfil de Wireshark.
Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, y las
ediciones de servidor asociado C:\Users\nombre de
usuario\AppData\Roaming\Wireshark.
1 Windows XP, Windows Server 2003 y Windows 2000: C:\Documents and
Settings\nombre de usuario\Application Data. "Documents and Settings" y
"Application Data" podra ser internacionalizadas.
1 Windows NT 4 C:\Winnt\Profiles\nombre de usuario\Application
Data\Wireshark
1 Windows ME, Windows 98 con perfiles de usuario en Windows ME y 98
podra habilitar perfiles de usuario independientes. En ese caso, algo
as como C:
\Windows\Profiles\nombredeusuario\Application Data\Wireshark es
utilizado.
1 Windows ME, Windows 98 sin perfiles de usuario perfiles de usuario
activada sin la ubicacin predeterminada para todos los usuarios es
C:\Windows\Application Data\Wireshark.
B.5.2. Perfiles mviles de Windows
algunas grandes entornos Windows utilizar perfiles mviles. Si este es el
caso de las configuraciones de todos los programas que uso no se guardan
en el disco duro local. Se almacenarn en el servidor de dominio en su
lugar.
Su configuracin viajar con usted desde un ordenador a otro con una
excepcin. La "Configuracin Local" en su carpeta de datos de perfil
(normalmente algo como: C:\Documents and Settings
1ya no apoyado por Wireshark. Slo de referencia histrica.
170
archivos y carpetas
\Nombre de usuario\Configuracin local) no se transferir al servidor de
dominio. Este es el valor predeterminado para los archivos de captura
temporal.
B.5.3. La carpeta temporal de Windows
Wireshark utiliza la carpeta que est definido por la variable de entorno
TMPDIR o TEMP. Esta variable ser fijado por el instalador de Windows.
Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, y las
ediciones de servidor asociado C:\Users\nombre de
usuario\AppData\Local\Temp
1 Windows Server 2003, Windows XP, Windows 2000, C:\Documents and
Settings\nombre de usuario\Configuracin local\Temp
1 Windows NT C:\TEMP
171