User-Guide-Us (Español)

En la Gua del usuario de Wireshark
Wireshark 2.1
Ulf Lamping <ulf.lamping[AT]web.de>Richard Sharpe, programas informticos
y servicios de NS P/L <rsharpe[AT]ns.aus.com>Ed Warnicke
<hagbard[AT]physics.rutgers.edu>
Wireshark: Gua del usuario de Wireshark 2.1

Por Ulf Lamping, Richard Sharpe, y Ed Warnicke Copyright 2004-2014 Ulf
Lamping, Richard Sharpe, Ed Warnicke
se otorga permiso para copiar, distribuir y/o modificar este documento
bajo los trminos de la Licencia Pblica General de GNU, versin 2 o
cualquier versin posterior publicada por la Free Software Foundation.
Todos los logotipos y marcas registradas en este documento son propiedad
de sus respectivos propietarios.
Prefacio
.........................................................................
.................................................... IX 1. Prlogo
.........................................................................
...................................... IX 2. Quin debe leer este
documento?
.........................................................................
...... Ix 3. Agradecimientos
.........................................................................
........................ IX 4. Acerca de este documento
.........................................................................
....................... x 5. Dnde obtener la copia ms reciente de este
documento? .............................................................
X 6. Proporcionar comentarios sobre este documento
...................................................................... x
7. Convenciones tipogrficas
.........................................................................
................. x 7.1. Admoniciones
.........................................................................
........................ x 7.2. Shell y ejemplos de cdigo fuente
......................................................... xi 1.
Introduccin
.........................................................................
........................................... 1 1.1. Qu es Wireshark?
.........................................................................
...................... 1 1.1.1. Algunos propsitos
.........................................................................
..... 1 1.1.2. Caractersticas
.........................................................................
........................... 1 1.1.3. La captura de ejemplares vivos de
muchos diferentes medios de red...... 2 1.1.4. Importar archivos de otros
programas de captura . 2 1.1.5. Exportacin de archivos para otros muchos
programas de captura de.............. 2 1.1.6. Muchos disectores de
protocolo
.........................................................................
.... 2 1.1.7. Open Source Software
.........................................................................
........ 3 1.1.8. Lo que Wireshark no es
.........................................................................
........ 3 1.2. Requisitos del sistema
.........................................................................
.................... 3 1.2.1. Microsoft Windows
.........................................................................
........... 3 1.2.2. UNIX / Linux
.........................................................................
................... 4 1.3. Dnde obtener Wireshark
.........................................................................
................ 4 1.4. Una breve historia de Wireshark
.........................................................................
.......... 5 1.5. Desarrollo y mantenimiento de Wireshark
.............................................................. 5 1.6.
Informar de problemas y obtencin de ayuda
........................................................................
6 1.6.1. Sitio web
.........................................................................
............................ 6 1.6.2. Wiki
.........................................................................
................................ 6 1.6.3. Q&Un sitio
.........................................................................
......................... 6 1.6.4. FAQ
.........................................................................
................................ 6 1.6.5. Listas de correo
.........................................................................
.................... 7 1.6.6. Reportar Problemas
.........................................................................
........... 7 1.6.7. Los bloqueos de informe sobre plataformas UNIX/Linux
................ 8 1.6.8. Los bloqueos de informe sobre plataformas
Windows ........ 8 2. La construccin e instalacin de Wireshark
.........................................................................
............. 9 2.1. Introduccin
.........................................................................
................................ 9 2.2. Obtener el cdigo fuente y
distribuciones binarias
............................................................. 9 2.3.
Instalar Wireshark bajo Windows
........................................................................
9 2.3.1. Componentes de instalacin
.........................................................................
.... 10 2.3.2. Tareas adicionales
.........................................................................
.............. 10 2.3.3. Ubicacin de instalacin
.........................................................................
................ 10 2.3.4. Instalacin de WinPcap
.........................................................................
........... 11 2.3.5. Opciones de lnea de comandos de Windows
Installer............... 11 2.3.6. Manual de instalacin de WinPcap
...................................................................... 11
2.3.7. Actualice Wireshark
.........................................................................
............ 11 2.3.8. Actualizar WinPcap
.........................................................................
.............. 12 2.3.9. Desinstalar Wireshark
.........................................................................
.......... 12 2.3.10. Desinstalar WinPcap
.........................................................................
.......... 12 2.4. Instalar Wireshark bajo MacOS
.........................................................................
12 2.5. Construccin de Wireshark desde el cdigo fuente bajo UNIX
............. 12 2.6. Instalar los binarios bajo UNIX
.........................................................................
13 2.6.1. Instalacin de RPM bajo Red Hat y similares ............ 13
2.6.2. Instalacin de deb's en Debian, Ubuntu y otros derivados de Debian
............ 13
iii
Gua del usuario de Wireshark

2.6.3. Instalacin de portage en Gentoo Linux.................... 14
2.6.4. Instalacin de paquetes bajo FreeBSD ........ 14 2.7. Resolucin
de problemas durante la instalacin en Unix
.............................................................. 14 2.8.
Compilando desde Codigos bajo Windows
..................................................................... 14
3. Interfaz de usuario
.........................................................................
...................................... 15 3.1. Introduccin
.........................................................................
............................... 15 3.2. Wireshark
.........................................................................
.......................... Inicio 15 3.3. La ventana principal
.........................................................................
...................... 15 3.3.1. Ventana principal
.........................................................................
. Navegacin 17 3.4. El men
.........................................................................
................................. 17 3.5. El men "Archivo"
.........................................................................
........................ 19 3.6. El men "Editar"
.........................................................................
........................ 21 3.7. El men "Ver"
.........................................................................
...................... 23 3.8. El men "Ir"
.........................................................................
......................... 26 3.9. La "captura" del men
.........................................................................
................... 28 3.10. "Analizar" men
.........................................................................
................. 29 3.11. El men "Estadsticas"
.........................................................................
................ 31 3.12. El men "Telefona"
.........................................................................
.............. 32 3.13. El men "Herramientas"
.........................................................................
.................... 34 3.14. Los "internos" del men
.........................................................................
................ 35 3.15. El men "Ayuda"
.........................................................................
..................... 35 3.16. La barra de herramientas "Principal"
.........................................................................
................... 37 3.17. El "filtro" de la barra de herramientas
.........................................................................
................... 39 3.18. El "panel" de la lista de paquetes
.........................................................................
.............. 40 3.19. El "paquete" panel de detalles
.........................................................................
.......... 42 3.20. El panel "Packet Bytes"
.........................................................................
........... 42 3.21. La barra de estado
.........................................................................
........................... 43 4. La captura de datos de red viva
.........................................................................
................. 45 4.1. Introduccin
.........................................................................
............................... 45 4.2. Requisitos previos
.........................................................................
.............................. 45 4.3. Empezar a capturar
.........................................................................
........................... 45 4.4. La captura de "Interfaces" cuadro de
dilogo
.......................................................................
46 4.5. La opcin "Capturar" el cuadro de dilogo Opciones
.........................................................................
. 47 4.5.1. Marco de captura
.........................................................................
................. 48 4.5.2. El archivo de captura(s) bastidor
.........................................................................
........ 49 4.5.3. Frame
.........................................................................
....... Detener captura... 50 4.5.4. Opciones de visualizacin
.........................................................................
...... frame 50 4.5.5. Resolucin de nombre frame
.........................................................................
.... 50 4.5.6. Botones
.........................................................................
.......................... 51 4.6. "Editar" el cuadro de dilogo
Configuracin de interfaz
.................................................................. 51
4.7. Los resultados de "compilar" cuadro de dilogo
.........................................................................
52 4.8. "Aadir nuevas interfaces" cuadro de dilogo
.................................................................... 53
4.8.1. Agregar o retirar los tubos
.........................................................................
........ 54 4.8.2. Agregar u ocultar las interfaces locales
........................................................................
54 4.8.3. Agregar u ocultar las interfaces remotas
..................................................................... 55
4.9. La captura remota "Interfaces" cuadro de dilogo....................
55 4.9.1. Remote Capture
.........................................................................
. Interfaces 56 4.9.2. Remote Capture Settings
.........................................................................
... 56 4.10. La interfaz "Detalles" cuadro de dilogo
........................................................................
57 4.11. Capturar archivos y modos
.........................................................................
....... 58 4.12. La capa de enlace de tipo cabezal
.........................................................................
............... 60 4.13. Mientras se est capturando
.........................................................................
............ filtrado 60 4.13.1. Filtrado de trfico remoto
automtico.................... 62 4.13.2. Detener la ejecucin capture
.........................................................................
.. 62
iv
Wireshark User's Guide

4.13.3. Reiniciar una marcha
.........................................................................
. captura 63 5. Archivo de entrada, salida e impresin
.........................................................................
............... 64 5.1. Introduccin
.........................................................................
............................... 64 5.2. Abrir archivos de captura
.........................................................................
...................... 64 5.2.1. El "Abrir archivo de captura" cuadro de
dilogo.................... 64 5.2.2. Formatos de archivo de entrada
.........................................................................
........... 66 5.3. Guardar los paquetes capturados
.........................................................................
.............. 68 5.3.1. "Guardar como archivo de captura" cuadro de
dilogo...................... 68 5.3.2. Formatos de archivos de salida
.........................................................................
......... 70 5.4. Combinar archivos de captura
.........................................................................
.................. 71 5.4.1. "Mezclar con el archivo de captura" cuadro
de dilogo ....... 71 5.5. Importar hex dump
.........................................................................
........................ 73 5.5.1. El "Import from Hex dump" cuadro de
dilogo....... 73 5.6. Archivo Establece
.........................................................................
................................... 75 5.6.1. La "Lista de archivos"
cuadro de dilogo
........................................................................
76 5.7. Exportar datos
.........................................................................
........................... 77 5.7.1. La opcin "Exportar como archivo de
texto sin formato" cuadro de dilogo.................... 77 5.7.2. La
opcin "Exportar como archivo PostScript" cuadro de dilogo ....... 79
5.7.3. La opcin "Exportar como archivo CSV (valores separados por
comas)" cuadro de dilogo ...................... 79 5.7.4. La opcin
"Exportar como C Arrays (packet bytes)" cuadro de dilogo de archivo . 79
5.7.5. La opcin "Exportar como archivo PSML" cuadro de dilogo ...... 80
5.7.6. La opcin "Exportar como archivo PDML" cuadro de
dilogo...................... 80 5.7.7. Selecciona la opcin "Exportar
packet bytes" cuadro de dilogo .... 81 5.7.8. "El cuadro de dilogo
Exportar objetos"
................................................................. 82 5.8.
Paquetes de impresin
.........................................................................
......................... 83 5.8.1. El cuadro de dilogo "Imprimir"
.........................................................................
...... 84 5.9. El "rango" de paquetes frame
.........................................................................
........... 85 5.10. El formato del paquete frame
.........................................................................
........... 85 6. Trabajar con paquetes capturados
.........................................................................
............... 87 6.1. Ver paquetes que han capturado
........................................................................
87 6.2. Los mens emergentes
.........................................................................
............................ 88 6.2.1. Men emergente de la lista de
"Paquete" encabezado de columna . 89 6.2.2. Men emergente de la lista de
paquetes "panel" ...... 90 6.2.3. Men emergente del panel "Detalles" de
paquetes ....... 92 6.3. Filtrado de paquetes mientras visualiza
.........................................................................
..... 94 6.4. Construccin de expresiones de filtro de pantalla
.........................................................................
. 96 6.4.1. Mostrar campos de filtro
.........................................................................
.......... 96 6.4.2. Comparar valores
.........................................................................
............ 96 6.4.3. Combinar expresiones
.........................................................................
..... 98 6.4.4. Operador de subcadena
.........................................................................
........... 98 6.4.5. Operador de pertenencia.
.........................................................................
...... 99 6.4.6. Un error comn
.........................................................................
......... 99 6.5. La expresin "Filtrar" cuadro de dilogo
.........................................................................
99 6.6. Definir y guardar filtros
.........................................................................
......... 101 6.7. Definir y guardar macros
.........................................................................
filtro 102 6.8. Encontrar paquetes
.........................................................................
........................ 102 6.8.1. El "paquete" cuadro de dilogo Find
................................................................... 103
6.8.2. El comando "Buscar siguiente"
.......................................................................
104 6.8.3. El comando "Buscar" anterior
.................................................................. 104
6.9. Ir a un paquete especfico
.........................................................................
.............. 104 6.9.1. El comando "Go back"
.........................................................................
104 6.9.2. El "Avanzar" comando
.................................................................... 104
6.9.3. El paquete "Ir a" cuadro de dilogo
.................................................................. 104
6.9.4. El paquete correspondiente de "Ir a" comando .... 104
V de
la Gua del usuario de Wireshark

6.9.5. "Ir a primer Paquete" comando.................... 104 6.9.6. El
ltimo paquete de "Ir a" comando.................... 105 6.10. Marcar
paquetes
.........................................................................
..................... 105 6.11. Ignorando los paquetes
.........................................................................
..................... 105 6.12. Formatos de visualizacin de la hora y la
hora .............................................................
referencias 105 6.12.1. Tiempo paquetes
.........................................................................
. referenciado 106 7. Temas avanzados
.........................................................................
................................ 108 7.1. Introduccin
.........................................................................
............................. 108 7.2. Flujos TCP
.........................................................................
............. siguiente 108 7.2.1. El "Follow TCP Stream" cuadro de
dilogo ...... 108 7.3. Mostrar packet bytes
.........................................................................
................... 109 7.3.1. Decodificar Como
.........................................................................
..................... 110 7.3.2. Mostrar como
.........................................................................
........................ 110 7.4. Informacin de expertos
.........................................................................
.................... 110 7.4.1. Entradas Info
.........................................................................
......... experto 111 7.4.2. "Experto" de dilogo
.........................................................................
....... Info. 112 7.4.3. "Colorea" Detalles de protocolo rbol
.............................................................. 113 7.4.4.
"Experto" de columna de la lista de paquetes (opcional).................
113 7.5. Anlisis TCP
.........................................................................
........................... 113 7.6. Sellos de tiempo
.........................................................................
............................ 117 7.6.1. Wireshark internals
.........................................................................
......... 117 7.6.2. Formatos de archivo de captura
.........................................................................
........ 118 7.6.3. Precisin
.........................................................................
...................... 118 7.7. Zonas horarias
.........................................................................
............................. 118 7.7.1. Establezca la hora del equipo
correctamente! ........... 119 7.7.2. Wireshark y zonas horarias
.......................................................................
120 7.8. Reensamblaje de paquetes
.........................................................................
.................... 121 7.8.1. Qu es?
.........................................................................
.................... 121 7.8.2. Cmo gestiona
.........................................................................
Wireshark 121 7.9. Resolucin de nombre
.........................................................................
...................... 122 7.9.1. Resolucin de nombres inconvenientes
..................................................................... 122
7.9.2. Resolucin de nombre Ethernet (Capa MAC)...................... 123
7.9.3. Resolucin de nombre IP (capa de red)
............................................................. 123 7.9.4.
Puerto TCP/UDP de resolucin de nombres (capa de transporte) . 123 7.9.5.
VLAN ID resolucin
.........................................................................
....... 123 7.10. Los checksums
.........................................................................
............................. 124 7.10.1. Wireshark validacin checksum
................................................................ 124
7.10.2. Descarga de checksum
.........................................................................
.... 124 8. Estadsticas
.........................................................................
............................................ 126 8.1. Introduccin
.........................................................................
............................. 126 8.2. La ventana "Resumen"
.........................................................................
............ 126 8.3. La "ventana" de jerarqua de protocolo
........................................................................
128 8.4. Conversaciones
.........................................................................
........................... 129 8.4.1. Las "conversaciones" ventana
.................................................................... 129
8.5. Extremos
.........................................................................
................................ 130 8.5.1. La ventana "extremos"
.........................................................................
. 131 8.6. Los grficos de la ventana "IO"
.........................................................................
.......... 132 8.7. Tiempo de respuesta de servicio
.........................................................................
.............. 133 8.7.1. "El tiempo de respuesta de servicio DCE-RPC"
ventana.............. 134 8.8. Comparar dos archivos de captura
.........................................................................
.......... 135 8.9. Estadsticas de Trfico de WLAN
.........................................................................
............ 136 8.10. El protocolo
...............................................................
estadsticas especficas de windows 137 9.
.........................................................................
.......................................... Telefona 138 9.1.
Introduccin
.........................................................................
............................. 138
vi
Wireshark
9.2 Gua del usuario. Anlisis
.........................................................................
........................... RTP 138 9.3. Anlisis
.........................................................................
......................... IAX2 138 9.4. Las llamadas de VoIP
.........................................................................
............................... 139 9.5. Estadsticas de Trfico MAC
.........................................................................
....... LTE 139 9.6. Estadsticas de Trfico RLC
.........................................................................
......... LTE 139 9.7. El protocolo
................................................................
estadsticas especficas de windows 140 10. Personalizacin de Wireshark
.........................................................................
...................... 141 10.1. Introduccin
.........................................................................
............................ 141 10.2. Iniciar desde la lnea de comandos
de Wireshark
............................................................... 141 10.3.
Paquete
.........................................................................
.................. coloreado 147 10.4. Protocolo de control de la
diseccin
.........................................................................
....... 149 10.4.1. Los "Protocolos habilitados" cuadro de dilogo ....
149 10.4.2. Decodifica
.........................................................................
. especificados por el usuario 151 10.4.3. Mostrar usuario especificado
decodifica
................................................................. 152
10.5. Preferencias
.........................................................................
............................ 152 10.5.1. Opciones de interfaz
.........................................................................
.......... 153 10.6. Los perfiles de configuracin
.........................................................................
.............. 154 10.7. Tabla User
.........................................................................
............................. 156 10.8. Filtro de pantalla
.........................................................................
.............. Macros 156 10.9. Los atributos de la categora
.........................................................................
........... ESS 156 10.10. Las rutas de la base de datos GeoIP
.........................................................................
............ 157 10.11. IKEv2 tabla
.........................................................................
........... descifrado 157 10.12. Los identificadores de objeto
.........................................................................
................... 158 10.13. Los usuarios lista Contexto
.........................................................................
........ PRES 158 10.14. Tabla usuarios
.........................................................................
.................. SCCP 159 10.15. SMI (MIB y PIB) Mdulos
.........................................................................
.. 159 10.16. SMI (MIB y PIB) Caminos
.........................................................................
...... 159 10.17. SNMP Trap
............................................................... tipos
especficos de empresa 159 10.18. Tabla usuarios
.........................................................................
................. SNMP 159 10.19. Tektronix K12xx/15 Tabla protocolos RF5
............. 160 10.20. Tabla de protocolo
.........................................................................
....... DLT de usuario Mensajes de Wireshark
.........................................................................
........................... 160 A. 162 A.1. Los mensajes de la lista de
paquetes
.........................................................................
................ 162 A.1.1. [Paquete]
.........................................................................
....... malformado 162 A.1.2. [Tamao de paquete limitado durante la
captura] ............. 162 A.2. Detalles del paquete
.........................................................................
........... mensajes 162 A.2.1. [Respuesta]
.........................................................................
frame: 123 162 A.2.2. [Peticin de fotograma: 123]
.........................................................................
.. 163 A.2.3. [Tiempo de peticin: 0.123 Segundos] ............. 163
A.2.4. [Stream setup por protocolo (cuadro 123)] . 163 B. Archivos y
carpetas
.........................................................................
................................ 164 B.1. Los archivos de captura
.........................................................................
........................... 164 B.1.1. Libpcap, el contenido del archivo
.........................................................................
.... 164 B.1.2. No se guardan en el archivo de captura
................................................................... 164
B.2. Archivo de configuracin y las carpetas del Plugin
................................................................... 165
B.2.1. Carpetas en Windows
.........................................................................
...... 165 B.2.2. Carpetas en sistemas Unix
.................................................................... 165
B.3. Archivos de configuracin
.........................................................................
................... 165 B.4. Plugin
.........................................................................
.......................... carpetas 169 B.5. Las carpetas de Windows
.........................................................................
...................... 170 B.5.1. Perfiles de Windows
.........................................................................
........... 170 B.5.2. Perfiles mviles de Windows
.......................................................................
170 B.5.3. La carpeta temporal de Windows
.......................................................................
171 C. protocolos y campos del Protocolo
.........................................................................
............... 172
vii
Wireshark User's Guide

D. herramientas de lnea de comandos relacionados
.........................................................................
................. 173 D.1. Introduccin
.........................................................................
............................ 173 D.2. tshark: Terminal-based Wireshark
........................................................................
173 D.3. tcpdump: Capturando con tcpdump para ver con Wireshark
........................ 175 D.4. dumpcap: Capturando con dumpcap para
ver con Wireshark ........ 175 D.5. capinfos: imprimir informacin sobre
archivos de captura............ 176 D.6. rawshark: dump y analizar el
trfico de la red. ...................... 177 D.7. editcap: Editar
archivos de captura
.........................................................................
.......... 178 D.8. mergecap: combinar varios archivos de captura en
uno.............. 183 D.9. text2pcap hexdumps: convertir ASCII a capturas
de red ...................... 184 D.10. reordercap: Reordenar un archivo
de captura
......................................................................
186 11. Este documento la Licencia (GPL)
.........................................................................
.......... 187
viii
Prefacio
1. Prlogo
Wireshark es uno de esos programas que muchos administradores de red me
encantara ser capaz de usar, pero son a menudo impedido conseguir lo que
quisiera de Wireshark, debido a la falta de documentacin.
Este documento es parte de un esfuerzo por el equipo de Wireshark para
mejorar la usabilidad de Wireshark.
Esperamos que le sea de utilidad y esperamos sus comentarios.
2. Quin debe leer este documento?
El pblico objetivo de este libro es alguien utilizando Wireshark.
Este libro le explicar todos los conceptos bsicos y tambin algunas de
las caractersticas avanzadas que proporciona Wireshark. Como Wireshark
se ha convertido en un programa muy complejo desde los primeros das, no
cada caracterstica de Wireshark puede ser explicado en este libro.
Este libro no pretende explicar el rastreo de redes en general y no
proporcionar detalles sobre protocolos de red especficos. Un montn de
informacin til sobre estos temas pueden ser encontrados en Wireshark
Wiki en https://wiki.wireshark.org/.
Mediante la lectura de este libro, aprender a instalar Wireshark, cmo
utilizar los elementos bsicos de la interfaz grfica de usuario (como el
men) y lo que est detrs de algunas de las caractersticas avanzadas
que no siempre son evidentes a primera vista. Esperamos que pueda guiarle
en torno a algunos problemas comunes que a menudo aparecen de nuevo (y a
veces incluso avanzado) usuarios de Wireshark.
3. Agradecimientos
Los autores desean agradecer a todo el equipo de Wireshark para su
asistencia. En particular, los autores desean agradecer a:
Gerald Combs, para iniciar el proyecto de Wireshark y fondos para hacer
esta documentacin.
Guy Harris, para muchas sugerencias tiles y una gran dosis de
paciencia en la revisin de este documento.
Gilbert Ramrez, para general el aliento y consejos tiles en el
camino.
Los autores tambin desea agradecer a las siguientes personas por sus
tiles comentarios sobre este documento:
Pat Eyler, por sus sugerencias sobre cmo mejorar el ejemplo sobre cmo
generar un backtrace.
Martin Regner, por sus diversas sugerencias y correcciones.
Graeme Hewson, para una gran cantidad de correccin gramatical.
Los autores desean agradecer las pginas man y README autores para el
proyecto de Wireshark desde que las secciones de este documento:
endeudarse fuertemente Scott Renfro, desde cuya pgina man mergecap
Seccin D.8, "mergecap: combinar varios archivos de captura en uno" es
derivada.
Ashok Narayanan desde cuyo texto pgina man2pcap Seccin D.9,
"text2pcap hexdumps: convertir ASCII a capturas de red" es derivada.
ix
Prefacio
4. Sobre este documento
Este libro fue originalmente desarrollado por Richard Sharpe con fondos
proporcionados por el Fondo de Wireshark. Fue actualizado por Ed Warnicke
y ms recientemente rediseado y actualizado por Ulf Lamping.
Originalmente fue escrito en DocBook/XML y convertidos a AsciiDoc por
Gerald Combs.
5. Dnde obtener la copia ms reciente de este documento?
La copia ms reciente de esta documentacin puede encontrarse siempre en
https://www.wireshark.org/docs/.
6. Proporcionar comentarios sobre este documento
si usted tiene cualquier comentario sobre este documento, por favor
enviar a los autores a travs de wireshark- dev[at]wireshark.org.
7. Convenciones tipogrficas en
la siguiente tabla se muestran las convenciones tipogrficas que se
utilizan en esta gua.
Tabla 1. Convenciones tipogrficas
Style Descripcin Ejemplo Cursiva los nombres de sus archivos, carpetas y
extensiones C:\desarrollo\Wireshark.
Monoespaciado Los comandos, las banderas, y el medio ambiente CMake la
opcin -g.
Las variables en
negrita Los comandos que deben ser ejecutados por el usuario ejecute
cmake -G Ninja ...
Monovolumen
Botn Botones de la ventana de dilogo y pulse Iniciar para ir a la Luna.
Tecla de acceso directo del teclado Pulse Ctrl+Flecha Abajo para
desplazarse hasta el siguiente paquete.
Seleccione el elemento de men Men Ir Paquete Siguiente para pasar al
siguiente paquete.
7.1. Advertencias
importantes y notables elementos estn marcados como sigue:
Esto es una advertencia
que debe prestar atencin a una advertencia, de lo contrario podra
producirse una prdida de datos.
Esto es una nota
una nota le indicar los errores ms comunes y las cosas que pueden no
ser evidentes.
x
Prefacio
Esta es una sugerencia
consejos son tiles para su trabajo diario con Wireshark.
7.2. Shell y ejemplos de cdigo fuente
Bourne, usuario normal.
$ # Esto es un comentario $ git config --global log.abbrevcommit
verdadero
Bourne, usuario root.
# # Esto es un comentario # ninja instalacin de
lnea de comandos (cmd.exe).
>REM Esto es un comentario >cd C:\desarrollo
PowerShell.
PS#$> Esto es un comentario PS$>choco list -l
C el cdigo fuente.
#Include "config.h"
volver tvb_capturados_length(tvb); } / TODO: implementar su cdigo de
diseccin / static int diseccionar_Foo_message(tvbuff_t tvb,
packet_info pinfo _u_, proto_tree tree _u_, nula datos _u_) { /* Este
mtodo disecciona foos /
XI
Captulo 1. Introduccin
1.1. Qu es Wireshark?
Wireshark es un analizador de paquetes de red. Un analizador de paquetes
de red intenta capturar paquetes de red e intenta mostrar que paquetes de
datos lo ms detallada posible.
Se podra pensar en un analizador de paquetes de red como un dispositivo
de medicin utilizado para examinar lo que ocurre en el interior de un
cable de red, al igual que un voltmetro es utilizado por un electricista
para examinar lo que est pasando dentro de un cable elctrico (pero en
un nivel superior, por supuesto).
En el pasado, dichas herramientas eran muy caros, propietario o ambos.
Sin embargo, con el advenimiento de Wireshark, todo eso ha cambiado.
Wireshark es quizs uno de los mejores analizadores de paquetes de cdigo
abierto disponibles hoy en da.
1.1.1. Algunos propsitos planteados
aqu son algunos ejemplos de personas utilizar Wireshark para:
Los administradores de red utilizan para solucionar los problemas de la
red Red ingenieros de seguridad la utilizan para examinar los problemas
de seguridad desarrolladores lo utilizan para depurar las
implementaciones de protocolos personas utilizan para aprender el
protocolo de red internals
junto a estos ejemplos Wireshark puede ser til en muchas otras
situaciones demasiado.
1.1.2.
Las siguientes caractersticas son algunas de las muchas caractersticas
Wireshark ofrece:
disponible para UNIX y Windows.
Capturar paquetes de datos en vivo desde una interfaz de red.
Abrir archivos que contengan datos de paquetes capturados con
tcpdump/WinDump, Wireshark, y un nmero de otros programas de captura de
paquetes.
Importar paquetes de archivos de texto que contienen los vuelcos
hexadecimales de paquetes de datos.
Pantalla de paquetes con informacin de protocolo muy detallado.
Guardar datos de paquetes capturados.
Exportar algunos o todos los paquetes en un nmero de formatos de
archivo de captura.
Filtrar paquetes en muchos criterios.
Bsqueda de paquetes en muchos criterios.
Colorear pantalla de paquetes basado en filtros.
Crear diversas estadsticas.
1
Introduccin
...y mucho ms!
Sin embargo, para apreciar realmente su poder tienes que empezar a
usarla.
Figura 1.1, "Wireshark captura los paquetes y le permite examinar su
contenido." muestra Wireshark haber captado algunos paquetes y esperando
para examinarlos.
Figura 1.1. Wireshark captura los paquetes y le permite examinar su
contenido.
1.1.3. La captura de ejemplares vivos de muchos diferentes medios de red
Wireshark puede capturar trfico de diferentes tipos de medios de red - y
a pesar de su nombre, incluyendo acceso inalmbrico a internet. Qu tipos
de medios son compatibles, depende de muchas cosas como el sistema
operativo que est utilizando. Una descripcin general de los tipos de
archivos multimedia compatibles pueden ser encontrados en
https://wiki.wireshark.org/ CaptureSetup/NetworkMedia.
1.1.4. Importar archivos de otros programas de captura de
Wireshark puede abrir paquetes capturados en un gran nmero de otros
programas de captura. Para obtener una lista de los formatos de entrada
Vase la seccin 5.2.2, "Formatos de archivo de entrada".
1.1.5. Exportacin de archivos para otros muchos programas de captura de
Wireshark puede guardar los paquetes capturados en un gran nmero de
formatos de otros programas de captura. Para obtener una lista de
formatos de salida, consulte la seccin 5.3.2, "Formatos de archivo de
salida".
1.1.6. Muchos disectores de protocolo
hay disectores de protocolo (o decodificadores, como se les conoce en
otros productos) para un gran nmero de protocolos:
vase el apndice C, protocolos y campos del Protocolo.
2
Introduccin
1.1.7. Open Source Software
Wireshark es un proyecto de software de cdigo abierto y est liberado
bajo la Licencia Pblica General de GNU (GPL). Usted puede usar
libremente Wireshark en cualquier nmero de ordenadores que te gusta, sin
preocuparse de las claves de licencia o comisiones, o tal. Adems, todo
el cdigo fuente est disponible libremente bajo licencia GPL. Por eso,
es muy fcil para la gente para aadir nuevos protocolos de Wireshark,
como plugins, o integrado en la fuente, y a menudo lo hacen!
1.1.8. Lo que Wireshark no es
aqu estn algunas cosas Wireshark no proporcionan:
Wireshark no es un sistema de deteccin de intrusiones. l no le
avisar cuando alguien hace cosas extraas en la red que l/ella no est
permitido hacer. Sin embargo, si ocurren cosas extraas, Wireshark puede
ayudarle a averiguar lo que realmente est sucediendo.
Wireshark no manipular las cosas en la red, que slo "medir" las cosas
de l. Wireshark no enva los paquetes en la red o hacer otras cosas
activas (excepto para las resoluciones de nombres, pero incluso eso puede
ser desactivada).
1.2. Requisitos del sistema
la cantidad de recursos que Wireshark necesita depende de su entorno y en
el tamao del archivo de captura que est analizando. Los valores abajo
debe estar bien para pequeas y medianas archivos de captura de no ms de
unos pocos cientos de MB. Los archivos de captura de mayor tamao
requerirn ms memoria y espacio en disco.
Las redes ocupadas significa una gran captura
con una extensa red de trabajo puede producir fcilmente enormes archivos
de captura. La captura de un gigabit o incluso 100 Megabit red puede
producir cientos de megabytes de la captura de datos en un corto perodo
de tiempo. Un procesador rpido, mucha memoria y espacio en disco es
siempre una buena idea.
Si se agota la memoria de Wireshark se bloquear. Ver
https://wiki.wireshark.org/KnownBugs/OutOfMemory para obtener informacin
detallada y soluciones alternativas.
Aunque Wireshark captura los paquetes mediante un proceso independiente
de la interfaz principal tiene un nico subproceso y no se benefician
mucho de sistemas multi-core.
1.2.1. Microsoft Windows
La actual versin de Wireshark debe ser compatible con cualquier
versin de Windows que an est dentro de su vida til de soporte
extendido. En el momento de escribir esto incluye Windows 10, 8, 7,
Vista, Server 2016, Server 2012 R2, Server 2012, Server 2008 R2 y Server
2008.
Cualquier moderna de 64 bits AMD64/x86-64 o x86 de 32 bits del
procesador.
400 MB de RAM disponible. Los archivos de captura ms grandes requieren
ms memoria RAM.
300 MB de espacio disponible en disco. Captura de archivos requieren
espacio adicional en disco.
1024768 (12801024 o superior recomendado) de resolucin con un mnimo
de 16 bits de color. Color de 8 bits debe funcionar pero la experiencia
del usuario ser degradada. Los usuarios avanzados encontrarn til para
mltiples monitores.
Una tarjeta de red compatible para capturar
3
Introduccin
Ethernet. Cualquier tarjeta compatible con Windows debera funcionar.
Consulte las pginas wiki en Ethernet y descarga de captura para
problemas que pueden afectar a su entorno.
802.11. Consulte la pgina wiki de Wireshark. Capturar informacin
802.11 raw puede ser difcil sin equipo especial.
Otros medios de comunicacin. Ver
https://wiki.wireshark.org/CaptureSetup/NetworkMedia.
Las versiones de Windows que estn fuera del ciclo de vida de soporte
extendido de Microsoft window ya no son compatibles. A menudo es difcil
o imposible de apoyar estos sistemas debido a circunstancias fuera de
nuestro control, tales como bibliotecas de terceros que dependen o debido
a las caractersticas necesarias que slo estn presentes en las
versiones ms recientes de Windows (tales como la seguridad o la
administracin de memoria endurecida).
Wireshark 1.12 fue la ltima versin de sucursales con Windows Server
2003. Wireshark 1.10 fue la ltima sucursal oficialmente el apoyo a
Windows XP. Consulte la pgina Ciclo de vida de versin de Wireshark para
obtener ms detalles.
1.2.2. UNIX / Linux
Wireshark se ejecuta en la mayora de UNIX y UNIX-like plataformas
incluyendo MacOS y Linux. Los requisitos del sistema deben ser
comparables a los valores de la lista anterior de Windows.
Los paquetes binarios estn disponibles para la mayora de sistemas Unix
y distribuciones Linux, incluidas las plataformas siguientes:
Apple MacOS Debian GNU/Linux FreeBSD Gentoo Linux HP-UX
Mandriva Linux OpenPKG NetBSD Red Hat Enterprise/Fedora Linux
Sun Solaris/i386 Sun Solaris/SPARC Canonical Ubuntu
si un paquete binario no est disponible para su plataforma puede
descargar el cdigo fuente y tratar de construir.
Por favor, informe de sus experiencias a wireshark-dev[at]wireshark.org.
1.3. Dnde obtener Wireshark
puede obtener la copia ms reciente del programa desde el sitio web de
Wireshark https://www.wireshark.org/ download.html. La pgina de descarga
debera resaltar automticamente la descarga apropiada para su
plataforma 4 Introduccin y dirigirlo al espejo ms cercano. Oficial de

Windows y MacOS instaladores estn firmados por la Fundacin de
Wireshark.
Una nueva versin de Wireshark normalmente est disponible cada mes o
dos.
Si desea ser notificado sobre nuevas versiones de Wireshark deber
suscribirse a wireshark-announce. Encontrar ms detalles en la seccin
1.6.5, "Listas de Correo".
1.4. Una breve historia de Wireshark
en finales de 1997 Gerald Combs, necesitaba una herramienta para
localizar problemas de red y quera aprender ms acerca de la red de
manera que comenz a escribir etreo (el nombre original del proyecto
Wireshark) como una manera de resolver ambos problemas.
Ethereal inicialmente fue liberado tras varias pausas en el desarrollo en
julio de 1998 como la versin 0.2.0. Dentro de pocos das parches,
informes de errores, y las palabras de aliento que empezaron a llegar y
etrea estaba en su camino al xito.
No mucho despus de que Gilbert Ramrez vio su potencial y contribuy con
un disector de bajo nivel.
En octubre de 1998, Guy Harris estaba buscando algo mejor que tcpview as
que empez a aplicar parches y contribuir disectores de Ethereal.
A finales de 1998, Richard Sharpe, quien estaba dando cursos de TCP/IP,
vio su potencial en esos cursos y comenzado a mirar para ver si admite
los protocolos que necesitaba. Si bien no tena en ese momento nuevos
protocolos podran aadirse fcilmente. As que empez a contribuir
disectores y contribuir parches.
La lista de personas que han contribuido al proyecto se ha vuelto muy
largo desde entonces, y casi todos ellos comenzaron con un protocolo que
necesitaban que Wireshark o ya no manejar. Por lo que copi un disector
existente y ha contribuido al cdigo de vuelta al equipo.
En 2006 el proyecto se mud de casa y re-emergi bajo un nuevo nombre:
Wireshark.
En 2008, despus de diez aos de desarrollo, Wireshark finalmente lleg a
la versin 1.0. Esta versin fue la primera considerada completa, con el
mnimo de caractersticas implementadas. Su lanzamiento coincidi con la
celebracin de la primera Conferencia de usuarios y desarrolladores de
Wireshark, llamado Sharkfest.
En 2015 Wireshark 2.0 fue liberado, que incluy una nueva interfaz de
usuario.
1.5. Desarrollo y mantenimiento de Wireshark
Wireshark fue desarrollado inicialmente por Gerald Combs. Desarrollo y
mantenimiento continuo de Wireshark Wireshark es manejada por el equipo,
un grupo de personas flojas que corregir errores y proporcionar nuevas
funcionalidades.
Tambin ha habido un gran nmero de personas que han contribuido
disectores de protocolo a Wireshark, y se prev que esta tendencia
continuar. Puede encontrar una lista de las personas que han contribuido
cdigo a Wireshark marcando el cuadro de dilogo Acerca de de Wireshark,
o a los autores pgina en el sitio web de Wireshark.
Wireshark es un proyecto de software de cdigo abierto y est liberado
bajo la Licencia Pblica General de GNU (GPL) versin 2. Todo el cdigo
fuente est disponible libremente bajo licencia GPL. Usted es bienvenido
para modificar Wireshark para satisfacer sus propias necesidades, y
agradecera que contribuyen sus mejoras de vuelta al equipo de Wireshark.
Usted gana tres beneficios aportando sus mejoras a la comunidad:
5
Introduccin
1. Otras personas que encontrar sus contribuciones tiles apreciarn, y
sabr que ha ayudado a personas de la misma manera que los
desarrolladores de Wireshark han ayudado a la gente.
2. Los desarrolladores de Wireshark podra mejorar an ms sus cambios,
como siempre hay margen para mejorar. O se pueden aplicar algunas cosas
avanzadas en la parte superior de su cdigo, que pueden ser tiles para
usted tambin.
3. Los mantenedores y desarrolladores de Wireshark mantendr su cdigo y
fijndolo al API cambia u otros cambios, y generalmente se mantiene en
sintona con lo que est sucediendo con Wireshark. Por lo tanto, si se
actualiza de Wireshark (que se hace a menudo), puede obtener una nueva
versin de Wireshark desde la web y los cambios ya estarn incluidos sin
ningn esfuerzo para usted.
El cdigo fuente y binario de Wireshark kits para algunas plataformas
estn disponibles en la pgina de descarga de la pgina web: Wireshark
https://www.wireshark.org/download.html.
1.6. Informar de problemas y obtencin de ayuda
si tiene problemas o necesita ayuda con Wireshark hay varios lugares que
pueden ser de inters para usted (bueno, adems de esta gua, por
supuesto).
1.6.1. Sitio web
encontrar mucha informacin til en la pgina web en Wireshark
https://www.wireshark.org/.
1.6.2.
Wireshark Wiki Wiki en Https://wiki.wireshark.org/ proporciona una amplia
gama de informacin relacionada con Wireshark y captura de paquetes en
general. Encontrar un montn de informacin no forma parte de esta gua
del usuario.
Por ejemplo, existe una explicacin de cmo capturar en una red
conmutada, un esfuerzo continuo para crear un protocolo de referencia y
mucho ms.
Y lo mejor de todo, si usted quiere contribuir con sus conocimientos
sobre un tema especfico (tal vez un protocolo de red que usted conoce
bien) puede editar las pginas wiki, simplemente usando su navegador web.
1.6.3. Q&Un sitio
Wireshark Q&a un sitio Https://ask.wireshark.org/ ofrece un recurso
donde las preguntas y respuestas vienen juntos. Usted tiene la opcin de
buscar lo que se formularon preguntas antes y qu respuestas fueron dadas
por personas que saban acerca de la cuestin. Las respuestas se
califican, as puedes elegir los mejores fcilmente. Si tu pregunta no ha
sido discutido antes puede publicar uno mismo.
1.6.4. FAQ
Preguntas Frecuentes a menudo listas de preguntas frecuentes y sus
respuestas correspondientes.
Lea las preguntas frecuentes
antes de enviar cualquier correo a las listas de correo a continuacin,
asegrese de leer las FAQ. Por lo que a menudo contestar cualquier
pregunta que usted pueda tener. Esto ahorrar a s mismo y a los dems un
montn de tiempo. Tenga en cuenta que muchas personas estn suscritos a
las listas de correo.
Encontrar las preguntas ms frecuentes dentro de Wireshark haciendo clic
en el elemento de men Ayuda/contenido y seleccionar la pgina de FAQ en
el dilogo que aparece.
6
Introduccin
Una versin online est disponible en el sitio web de Wireshark
https://www.wireshark.org/faq.html. Usted puede preferir esta versin en
lnea, ya que es normalmente ms hasta la fecha y el formato HTML es ms
fcil de usar.
1.6.5. Listas de correo
hay varias listas de correo especficas de Wireshark temas disponibles:
wireshark-anunciar esta lista de correo le informar acerca de las nuevas
versiones de programas, los cuales generalmente aparecen aproximadamente
cada 4-8 semanas.
wireshark-usuarios de esta lista es para los usuarios de Wireshark. La
gente publica sobre la creacin y uso de Wireshark, otros (esperemos)
proporcionan respuestas.
wireshark-dev Esta lista es para desarrolladores de Wireshark. Si desea
iniciar la elaboracin de un protocolo, el disector de unirse a esta
lista.
Puede suscribirse a cada una de estas listas desde el sitio web de
Wireshark: https://www.wireshark.org/lists/.
A partir de ah, puede elegir qu lista de correo que desee suscribirse
Suscribirse haciendo clic en el botn Cancelar suscripcin//Opciones bajo
el ttulo de la lista correspondiente. Los enlaces a los archivos estn
incluidos en esa pgina.
Las listas son archivados
puede buscar en los archivos de la lista para ver si alguien la misma
pregunta algn tiempo antes y quizs ya tiene una respuesta. De esa
manera, usted no tiene que esperar hasta que alguien responde a su
pregunta.
1.6.6. Reportar Problemas
Nota
antes de reportar cualquier problema, por favor asegrese de que tiene
instalada la ltima versin de Wireshark.
Cuando se informa de problemas con Wireshark por favor suministre la
siguiente informacin:
1. El nmero de versin de Wireshark y las bibliotecas dependientes
vinculadas con ella, como Qt o GLib. Puede obtenerlo en Wireshark acerca
de cuadro o el comando wireshark -v.
2. Informacin acerca de la plataforma se ejecuta en Wireshark.
3. Una descripcin detallada de su problema.
4. Si obtiene un mensaje de error/advertencia, copie el texto del mensaje
(y unas cuantas lneas antes y despus de ella, si hay alguna) para que
otros puedan encontrar el lugar donde las cosas van mal. Por favor no dar
algo como: "Me aparece un mensaje de advertencia mientras hacen x" como
este no te dan una buena idea de dnde mirar.
No enviar archivos de gran tamao
no enviar archivos grandes (> 1 MB) para las listas de correo. Basta
con colocar una nota que an hay datos disponibles bajo peticin.
Archivos grandes slo molestar a un montn de gente en la lista que no
estn interesados en su problema especfico. Si es necesario, se le
pedir ms datos por parte de las personas que realmente te puede ayudar.
7
Introduccin
No enve informacin confidencial!
Si enva archivos de captura a las listas de correo debe asegurarse de
que no contienen ninguna informacin sensible o confidencial, como
contraseas o informacin personal identificable (PII).
1.6.7. Los bloqueos de informe sobre plataformas UNIX/Linux
cuando se informa se bloquea con Wireshark es til si usted proporciona
el rastreo informacin junto con la informacin mencionada en "Reportar
Problemas".
Puede obtener esta informacin de trazas con los siguientes comandos de
UNIX o Linux (la nota de las comillas invertidas):
$ gdb 'whereis wireshark | cut -f2 -d: | cut -d -f2 ''' core >&
backtrace backtrace ^D.txt
si no tiene gdb disponible, usted tendr que verificar su depurador del
sistema operativo.
Backtrace Correo.txt a wireshark-dev[at]wireshark.org.
1.6.8. Los bloqueos de informe sobre plataformas Windows,
las distribuciones de Windows no contienen los archivos de smbolos
(.pdb), porque son muy grandes. Puede descargarlas por separado en
Https://www.wireshark.org/download/win32/all-versions/ y https://
Www.wireshark.org/download/win64/all-versions/ .
8
Captulo 2. La construccin e instalacin de Wireshark

2.1. Introduccin
Como con todas las cosas no debe ser un principio y as es con Wireshark.
Utilizar Wireshark debe instalarlo primero. Si est ejecutando Windows o
MacOS puede descargar un lanzamiento oficial en https://
Www.wireshark.org/download.html, instalarlo, y omitir el resto de este
captulo.
Si se ejecuta otro sistema operativo como Linux o FreeBSD es posible que
desee instalar desde el cdigo fuente. Varias distribuciones de Linux
ofrecen paquetes de Wireshark, pero comnmente barco fuera de versiones
actualizadas.
No hay otras versiones de UNIX buque Wireshark hasta ahora. Por esa
razn, usted necesitar saber dnde obtener la ltima versin de
Wireshark y cmo instalarlo.
Este captulo le muestra cmo obtener paquetes fuente y binarios y cmo
construir Wireshark desde el origen si decide hacerlo.
Los siguientes son los pasos generales que se utilice:
1. Descargar el paquete apropiado para sus necesidades (por ejemplo,
fuente o binaria.
2. Compile el cdigo fuente en un archivo binario si es necesario. Esto
puede implicar la creacin y/o la instalacin de otros paquetes
necesarios.
3. Instalar los archivos binarios en sus destinos finales.
2.2. Obtener el cdigo fuente y distribuciones binarias
puede obtener tanto el cdigo fuente y distribuciones binarias desde el
sitio web de Wireshark: https:// www.wireshark.org/download.html.
Seleccione el vnculo de descarga y, a continuacin, seleccione el
paquete binario o cdigo fuente.
Descargar todos los archivos necesarios
si usted est construyendo Wireshark desde fuente que tendr, en general,
a menos que ya haya descargado antes de Wireshark, probablemente necesite
descargar varios paquetes con el cdigo fuente si estn construyendo
Wireshark desde el origen. Este tema se aborda con ms detalle a
continuacin.
Una vez que hayas descargado los archivos pertinentes, puede pasar a la
etapa siguiente.
2.3. Instalar Wireshark bajo Windows
Windows installer nombres contienen la plataforma y versin. Por ejemplo,
Wireshark-win64-2.5.0.exe instala Wireshark 2.5.0 para Windows de 64
bits. El instalador incluye Wireshark WinPcap que es necesaria para la
captura de paquetes.
Simplemente descarga el instalador de Wireshark
https://www.wireshark.org/download.html y ejecutarlo.
Los paquetes oficiales son firmados por la Fundacin de Wireshark. Puede
elegir instalar varios opcional
9
construyendo e instalando
los componentes de Wireshark y seleccione la ubicacin del paquete
instalado. Se recomienda usar la configuracin predeterminada para la
mayora de los usuarios.
2.3.1. Componentes de instalacin
en la pgina Seleccionar componentes del instalador puede seleccionar
entre las siguientes opciones:
Wireshark - El analizador de protocolos de red que todos conocemos y
sobre todo el amor.
TShark - una lnea de comandos analizador de protocolos de red. Si no
lo ha probado usted debe.
Wireshark 1 Legado - El viejo (GTK+) interfaz de usuario en caso de que
lo necesites.
Plugins y extensiones - extras para el Wireshark y TShark motores
diseccin Disector con algunos plugins plugins - extended disecciones.
rbol Plugins - Estadsticas Estadsticas ampliadas.
El Mate - Meta anlisis y rastreo de motor - extensin configurable por
el usuario(s) del motor, el filtro de pantalla consulte
https://wiki.wireshark.org/Mate para ms detalles.
- SNMP MIB SNMP MIB SNMP para una descripcin ms detallada de la
diseccin.
Herramientas - Otras herramientas de lnea de comandos para trabajar
con archivos de captura Editcap - Lee un archivo de captura y escribe
algunos o todos los paquetes en otro archivo de captura.
Text2Pcap - lee un carcter ASCII hexadecimal y escribe los datos en un
archivo de captura pcap.
Reordercap - reordena un archivo de captura por timestamp.
Mergecap: combina varios archivos de captura guardado en un nico
archivo de salida.
Capinfos - Proporciona informacin sobre archivos de captura.
Rawshark - Raw packet filter.
Gua del usuario - La instalacin local de la Gua del usuario. Los
botones de Ayuda en la mayora de dilogos requerir de una conexin a
internet para mostrar pginas de ayuda si la Gua del usuario no est
instalado localmente.
2.3.2. Tareas adicionales
Los accesos directos del men Inicio - agregar algunos accesos directos
en el men Inicio.
El icono de escritorio - Aadir un icono al escritorio de Wireshark.
El icono de Inicio Rpido - aadir un icono de Wireshark para el inicio
rpido de la barra de herramientas del explorador.
Asociar extensiones de archivo a Wireshark - asociar archivos de traza
de red estndar de Wireshark.
2.3.3. Ubicacin de instalacin
por defecto Wireshark se instala en %ProgramFiles%\Wireshark en Windows
de 32 bits64 y %ProgramFiles%\Wireshark en Windows de 64 bits. Esto
expande a C:\Archivos de programa \Wireshark en la mayora de los
sistemas.
10 La
construccin e instalacin de Wireshark

2.3.4. Instalacin de WinPcap
Wireshark instalador contiene las ltimas WinPcap installer.
Si no tienes WinPcap instalado no podr capturar el trfico de red en
vivo pero usted todava ser capaz de abrir archivos de captura guardado.
Por defecto la ltima versin de WinPcap ser instalado. Si no desea
hacer esto o si desea volver a instalar WinPcap puede verificar la
instalacin de WinPcap de verificacin segn sea necesario.
Para obtener ms informacin acerca de ver y Https://wiki.wireshark.org/
https://www.winpcap.org/ WinPcap WinPcap.
2.3.5. Opciones de lnea de comandos de Windows Installer
para casos especiales, hay algunos parmetros de lnea de comandos
disponibles:
/S ejecuta el instalador o desinstalador silenciosamente con valores
predeterminados. El instalador silencioso no instalar WinPCap.
/Desktopicon Instalacin del icono en el escritorio, =S - forzar la
instalacin, =no - no instalar, de lo contrario, utilice la configuracin
predeterminada. Esta opcin puede ser til para un instalador silencioso.
/Quicklaunchicon Instalacin del icono de inicio rpido, =S - forzar
la instalacin, =no - no instalar, de lo contrario, utilice la
configuracin predeterminada.
/D establece el directorio de instalacin predeterminado ($INSTDIR),
anulando InstallDir y InstallDirRegKey. Debe ser el ltimo parmetro
utilizado en la lnea de comandos y no debe contener comillas, incluso si
la ruta contiene espacios.
/NCRC deshabilita la comprobacin CRC. Recomendamos encarecidamente no
utilizar este distintivo.
Ejemplo:
> Wireshark-win64-wireshark-2.0.5.exe /NCRC /s /desktopicon=yes
/quicklaunchicon=N/D=C:\Archivos de programa\foo
ejecutando el instalador sin ningn parmetro muestra el instalador
interactivo normal.
2.3.6. Manual de instalacin de WinPcap
como se ha mencionado, el instalador de Wireshark se encarga de la
instalacin de WinPcap. Lo siguiente slo es necesario si desea utilizar
una versin diferente a la que se incluye en el instalador de Wireshark,
p. ej.,
debido a una nueva versin de WinPcap fue liberado.
WinPcap versiones adicionales (incluyendo nuevas versiones alfa o beta)
puede ser descargado desde el sitio de WinPcap https://www.winpcap.org/.
principal El instalador para Windows es compatible con sistemas
operativos Windows modernos.
2.3.7. Actualice Wireshark
por defecto el paquete Windows oficial comprobar la existencia de nuevas
versiones y te avisaremos cuando estn disponibles. Si usted tiene la
comprobacin de actualizaciones preferencia desactivada o si se ejecuta
en un entorno aislado de Wireshark debe suscribirse a wireshark-announce.
Consulte la seccin 1.6.5, "Listas de Correo" para obtener ms
informacin sobre cmo suscribirse a esta lista.
11 La
creacin e instalacin de
nuevas versiones de Wireshark Wireshark suelen publicarse cada cuatro a
seis semanas. Actualizacin de Wireshark se realiza de la misma manera
como instalarlo. Simplemente descargue e inicie el instalador EXE. Un
reinicio generalmente no es necesario, y todos sus ajustes personales
permanecen inalterados.
2.3.8. Actualizacin de
nuevas versiones de WinPcap WinPcap estn disponibles con menos
frecuencia. Encontrar las instrucciones para la actualizacin de WinPcap
WinPcap sitio web en https://www.winpcap.org/. Puede que tenga que
reiniciar el equipo despus de instalar una nueva versin de WinPcap.
2.3.9. Desinstalacin
Puedes desinstalar Wireshark Wireshark usando el panel de control
Programas y caractersticas. Seleccione la entrada "Wireshark" para
iniciar el proceso de desinstalacin.
El desinstalador de Wireshark ofrece varias opciones para la extraccin.
El valor predeterminado es para quitar los componentes bsicos, pero
mantener su configuracin personal y WinPcap. WinPcap se deja instalado
por defecto en el caso de otros programas lo necesitan.
2.3.10. Desinstalacin
Puedes desinstalar WinPcap WinPcap independientemente de Wireshark usando
la entrada de WinPcap en Programas y caractersticas en el panel de
control. Recuerde que si desinstala WinPcap no podr capturar cualquier
cosa con Wireshark.
2.4. Instalar Wireshark bajo MacOS
el diario macOS paquetes se distribuyen como imgenes de disco (.dmg) que
contiene el instalador de la aplicacin. Instalar Wireshark simplemente
abrir la imagen de disco y ejecute el programa de instalacin adjunto.
El paquete de instalacin incluye Wireshark, sus utilidades de lnea de
comando, y un daemon de lanzamiento que ajusta los permisos de captura al
inicio del sistema. Consulte el archivo lame incluido para obtener ms
detalles.
2.5. Construccin de Wireshark desde el cdigo fuente bajo UNIX
Edificio Wireshark requiere la correcta construccin de medio ambiente
incluye un compilador y muchas bibliotecas de soporte. Consulte la Gua
para Desarrolladores en Https://www.wireshark.org/docs/ para ms
informacin.
Utilice los siguientes pasos generales para construir Wireshark desde
fuente bajo UNIX o Linux:
1. Desempaquetar el cdigo fuente de su archivo tar comprimido. Si est
utilizando Linux o su versin de Unix usa GNU tar puede usar el siguiente
comando:
$ tar xaf wireshark-2.4.5.tar.xz
en otros casos, usted tendr que usar los siguientes comandos:
$ xz wireshark -d-2.4.5.tar.xz $ tar xf wireshark-2.4.5.tar
2. Cambie el directorio al directorio de origen de Wireshark.
12
Construccin e instalacin
$ cd Wireshark wireshark-2.4.5
3. Configurar la fuente de manera que construir correctamente para su
versin de UNIX. Usted puede hacer esto con el siguiente comando:
$ ./configure
Si este paso falla, tendr que corregir el problema y vuelva a ejecutar
la configuracin. Sugerencias para la solucin de problemas se
proporcionan en la seccin 2.7, "Resolucin de problemas durante la
instalacin en Unix".
4. Construir las fuentes.
$ make
5. Instale el software en su destino final.
$ make install
Una vez instalado Wireshark con make install arriba, usted debera ser
capaz de ejecutar mediante la introduccin de Wireshark.
2.6. Instalar los binarios bajo UNIX
en general instalando los binarios bajo su versin de Unix ser
especfico para los mtodos de instalacin utilizados con su versin de
UNIX. Por ejemplo, en AIX, usara SMIT para instalar el paquete binario
de Wireshark, mientras que con Tru64 UNIX (antes conocido como Digital
UNIX) que utilizara setld.
2.6.1. Instalacin de RPM bajo Red Hat e igualmente
construir RPMs desde el cdigo fuente de Wireshark resultados en varios
paquetes (la mayora de las distribuciones, siga el mismo sistema):
El paquete contiene el ncleo de wireshark Wireshark, bibliotecas y
herramientas de lnea de comandos.
El wireshark-paquete qt contiene la interfaz grfica de usuario basada
en qt.
El wireshark-gtk (antiguamente wireshark-gnome) paquete contiene el
legado GUI basado en GTK+.
Muchas distribuciones utilice yum o una herramienta de gestin de
paquetes similar para realizar la instalacin del software (incluidas sus
dependencias) ms fcil. Si su distribucin utiliza yum, use el siguiente
comando para instalar Wireshark junto con la GUI Qt:
yum install wireshark wireshark-qt
Si has construido tu propia RPMs desde los orgenes de Wireshark puede
instalarlos ejecutando, por ejemplo:
rpm -ivh wireshark-2.0.0-1.x86_64.rpm wireshark-qt-2.0.0-1.x86_64.rpm
Si el comando mencionado anteriormente falla porque faltan dependencias,
instalar las dependencias primero y, a continuacin, vuelva a intentar el
paso anterior.
2.6.2. Instalacin de deb's en Debian, Ubuntu y otros derivados de Debian
Si se puede instalar desde el repositorio, entonces utilice
$ aptitude install wireshark
13
construir e instalar Wireshark
Aptitude debe ocuparse de todos los problemas de dependencias para usted.
Utilice el siguiente comando para instalar Descargar Wireshark deb's en
Debian:
$ dpkg -i wireshark-common_2.0.5.0-1_i386.deb_wireshark wireshark-
2.0.5.0-1_i386.deb
dpkg no ocuparse de todas las dependencias, pero informa de lo faltante.
Captura requiere privilegios
instalando paquetes Wireshark los usuarios no root no obtener derechos
automticamente para capturar paquetes. Para permitir que los usuarios
que no sean root para capturar paquetes, siga el procedimiento descrito
en /usr/share/doc/wireshark-common/README.Debian
2.6.3. Instalacin de portage en Gentoo Linux,
use el siguiente comando para instalar Wireshark bajo Gentoo Linux con
todas las caractersticas extras:
$ USE="c-ares gtk ipv6 snmp portaudio ssl roscas kerberos selinux" emerge
Wireshark
2.6.4. Instalacin de paquetes bajo FreeBSD,
use el siguiente comando para instalar Wireshark bajo FreeBSD:
$ pkg_add -r wireshark
pkg_add debe ocuparse de todos los problemas de dependencias para usted.
2.7. Resolucin de problemas durante la instalacin en Unix una serie
de errores que pueden ocurrir durante el proceso de instalacin.
Algunos consejos sobre como resolver estos se proporcionan aqu.
Si la configuracin de la etapa no tendr que averiguar por qu. Puede
comprobar el archivo config.log en el directorio de origen para averiguar
qu ha fallado. Las ltimas lneas de este archivo debera ayudar a
determinar el problema.
Los problemas estndar son que usted no tiene un paquete de desarrollo
necesario en el sistema o que el paquete de desarrollo no es suficiente.
Tenga en cuenta que la instalacin de un paquete de biblioteca no es
suficiente. Necesita instalar el paquete de desarrollo. configurar
tambin fallar si no tiene libpcap (al menos el requisito de incluir
archivos) en su sistema.
Si no puede determinar cules son los problemas, enve un correo
electrnico a la lista de correo de wireshark-dev explicando tu problema.
Incluye la salida del fichero config.log y cualquier otra cosa que
consideres relevantes tales como realizar un seguimiento de la etapa.
2.8. Compilando desde Codigos bajo Windows
Se recomienda encarecidamente que utilice el instalador binario de
Windows a menos que quieren empezar a desarrollar Wireshark en la
plataforma Windows.
Para ms informacin de cmo construir Wireshark para Windows desde las
fuentes consulte Developer's Guide en https://www.wireshark.org/docs/.
Si lo desea, tambin puede echar un vistazo a la Wiki de Desarrollo
(https://wiki.wireshark.org/Development) para la ltima documentacin de
desarrollo disponibles.
14
Captulo 3. Interfaz de usuario
3.1. Introduccin
Ahora que ha instalado Wireshark y muy probablemente preparado para
empezar a capturar sus primeros paquetes.
En los prximos captulos exploraremos:
Cmo funciona la interfaz de usuario de Wireshark Cmo capturar
paquetes en Wireshark Cmo ver paquetes en Wireshark Cmo filtrar
paquetes en Wireshark ... y muchas otras cosas!
3.2. Iniciar Wireshark
puede iniciar Wireshark desde la shell o gestor de ventanas.
Sugerencia para usuarios de potencia
al arrancar Wireshark es posible especificar la configuracin opcional
mediante la lnea de comandos.
Consulte Seccin 10.2, "Iniciar Wireshark desde la lnea de comandos"
para ms detalles.
En los captulos siguientes, un montn de capturas de pantalla de
Wireshark ser mostrado. Como Wireshark se ejecuta en muchas plataformas
diferentes con diferentes Gestores de ventanas, diferentes estilos
aplicados y existen diferentes versiones de la GUI Toolkit subyacente
utilizado, su pantalla puede tener un aspecto diferente en las capturas
de pantalla. Pero como no hay verdaderas diferencias en la funcionalidad
de estas capturas de pantalla an debe estar bien comprensible.
3.3. La ventana principal
veamos Wireshark la interfaz de usuario. Figura 3.1, "La ventana
principal" muestra Wireshark como lo hara normalmente lo ve despus de
algunos paquetes se capturan o cargado (cmo hacer esto se describe ms
adelante).
Interfaz de usuario 15
Figura 3.1. La ventana principal
La ventana principal de Wireshark se compone de partes que son comnmente
conocida por muchos otros programas GUI.
1. El men (consulte la seccin 3.4, "El men") se utiliza para iniciar
acciones.
2. La barra de herramientas principal (vase la seccin 3.16, "La" de la
barra de herramientas "Principal") proporciona acceso rpido a los
elementos utilizados con frecuencia en el men.
3. La barra de herramientas Filtro (consulte Seccin 3.17, "El "filtro"
de la barra de herramientas") proporciona una manera de manipular
directamente el filtro de visualizacin utilizados actualmente (vase la
seccin 6.3, "Filtrado de paquetes mientras viewing").
4. El panel Lista de paquetes (consulte Seccin 3.18, "paquetes" de la
"Lista"), el panel muestra un resumen de todos los paquetes capturados.
Haciendo clic en los paquetes en este panel permite controlar lo que
aparece en los otros dos paneles.
5. El panel de detalles del paquete (consulte Seccin 3.19, "El "paquete"
del panel de detalles") muestra el paquete seleccionado en el panel de
lista de paquetes con ms detalle.
6. El panel packet bytes (consulte Seccin 3.20, "El panel "Packet
Bytes"") muestra los datos del paquete seleccionado en el panel de lista
de paquetes, y resalta el campo seleccionado en el panel de detalles del
paquete.
7. La barra de estado (consulte Seccin 3.21, "La barra de estado muestra
informacin detallada sobre el estado actual del programa y los datos
capturados.
Sugerencia
El diseo de la ventana principal se puede personalizar cambiando la
configuracin de preferencias. Consulte Seccin 10.5, "Preferencias" para
ms detalles!
3.3.1.
Lista de paquetes de navegacin de la ventana principal y el detalle de
la navegacin puede hacerse completamente desde el teclado. Tabla 3.1,
"navegacin con teclado" muestra una lista de las pulsaciones de teclas
que le permiten moverse rpidamente alrededor de un archivo de captura.
Consulte la Tabla 3.5, "Go" para los elementos del men de navegacin
adicionales pulsaciones de teclas.
Tabla 3.1.
Acelerador de navegacin por teclado
Ficha Descripcin, Mays+Tab mueve entre los elementos de la pantalla,
por ejemplo, a partir de las barras de herramientas de la lista de
paquetes para el paquete detalle.
Mover hacia abajo al siguiente paquete o elemento de detalle.
Hasta desplazarse al anterior paquete o elemento de detalle.
Ctrl+Flecha abajo, F8 pasar al siguiente paquete, incluso si la lista de
paquetes no est centrado.
Ctrl+Flecha arriba, F7 para mover el paquete anterior, incluso si la
lista de paquetes no est centrado.
Ctrl+. Moverse al siguiente paquete de la conversacin (TCP, UDP o IP).
Ctrl+, mueva el paquete anterior de la conversacin (TCP, UDP o IP).
Alt+Derecha o pasar al siguiente paquete en el historial de seleccin.
Opcin+Derecha (MacOS)
Alt+Izquierda o mover el paquete anterior en el historial de seleccin.
Opcin+Derecha (MacOS) dej en el paquete detalle, cierra el elemento
seleccionado en el rbol. Si ya est cerrado, salta al nodo principal.
Justo en el paquete detalle, abre el elemento seleccionado en el rbol.
Mays+Derecho en detalle el paquete, se abre el elemento de rbol
seleccionado y todos sus subrboles.
Ctrl+Derecha en detalle el paquete, se abre a todos los elementos de
rbol.
Ctrl+Izquierda en el paquete detalle, cierra todos los elementos del
rbol.
Retroceso en el paquete detalle, salta al nodo principal.
Volver, entrar en los detalles del paquete, cambia el elemento
seleccionado en el rbol.
Ayuda Acerca de Wireshark Mtodos abreviados de teclado se mostrar
una lista de todos los accesos directos en la ventana principal.
Adems, al escribir en cualquier parte de la ventana principal comenzar
el llenado en un filtro de visualizacin.
3.4. El men
el men principal de Wireshark est situado en la parte superior de la
ventana principal (Windows, Linux) o en la parte superior de la pantalla
principal (MacOS). Un ejemplo se muestra en la Figura 3.2, "El Men".
Nota
Algunos elementos de men ser desactivado (atenuado) si la funcin
correspondiente no est disponible.
Por ejemplo, no puede guardar un archivo de captura si no ha capturado o
cargar los paquetes.
Figura 3.2. El men
17 de
interfaz de usuario
el men principal contiene los siguientes elementos:
ARCHIVO Este men contiene opciones para abrir y combinar archivos de
captura, guardar, imprimir o exportar archivos de captura en todo o en
parte, y para cerrar la aplicacin Wireshark. Consulte Seccin 3.5, "El
men "Archivo"".
Editar Este men contiene opciones para encontrar un paquete, el tiempo
de referencia o marque uno o ms paquetes, manejar perfiles de
configuracin y configurar sus preferencias; (cortar, copiar y pegar no
se aplica actualmente).
Consulte Seccin 3.6, "El men "Editar"".
Ver Este men controla la visualizacin de los datos capturados,
incluyendo la colorizacin de paquetes, zoom de la fuente, mostrando un
paquete en una ventana separada, la expansin y contraccin de los
rboles en los detalles del paquete, ....
Consulte Seccin 3.7, "El men "Ver"".
Vaya Este men contiene opciones para ir a un determinado paquete.
Consulte Seccin 3.8, "El men "Ir"".
Capturar Este men le permite iniciar y detener la captura y editar
filtros de captura. Consulte Seccin 3.9, "La "captura" del men".
Analizar Este men contiene opciones para manipular mostrar filtros,
habilitar o deshabilitar la diseccin de protocolos, configure el usuario
especificado descodifica y siga un flujo TCP. Consulte Seccin 3.10,
"Analizar" el "men".
Este men contiene elementos de estadsticas para mostrar varias ventanas
de estadsticas, incluyendo un resumen de los paquetes que han sido
capturados, el protocolo de visualizacin jerarqua estadsticas y mucho
ms. Consulte Seccin 3.11, "la" del men "Estadsticas".
Este men contiene elementos de telefona para mostrar diversas
estadsticas relacionadas con telefona de Windows, incluyendo un
anlisis de los medios, diagramas de flujo, el protocolo de visualizacin
jerarqua estadsticas y mucho ms. Consulte Seccin 3.12, "telefona" el
"men".
Wireless los elementos de este men mostrar Bluetooth inalmbrica IEEE
802.11 y estadsticas.
Este men contiene herramientas diversas herramientas disponibles en
Wireshark, como la creacin de cortafuegos reglas ACL. Consulte Seccin
3.13, "la" del men "Herramientas".
Ayuda Este men contiene opciones para ayudar al usuario, por ejemplo, el
acceso a algunas pginas del manual de ayuda bsica, de las diversas
herramientas de lnea de comandos, el acceso en lnea a algunas de las
pginas web, y el habitual dilogo Acerca de. Consulte Seccin 3.15, "El
men "Ayuda"".
Cada uno de estos elementos de men se describen en mayor detalle en las
secciones que siguen.
Hacer la vida ms fcil accesos directos a
elementos de men ms comunes tienen mtodos abreviados de teclado. Por
ejemplo, puede pulsar el mando (o Strg en alemn) y los K claves juntos
para abrir el cuadro de dilogo "Opciones de captura".
3.5. El men "Archivo"
del men Archivo Wireshark contiene los campos que se muestran en la
Tabla 3.2, "Opciones del men Archivo".
Figura 3.3. El men "Archivo" en el
cuadro 3.2. Las opciones del men Archivo
men Descripcin del Acelerador
abierto... Ctrl+O muestra el cuadro de dilogo Abrir archivo que le
permite cargar un archivo de captura para su visualizacin. Se discute en
ms detalle en la seccin 5.2.1, "El "Abrir archivo de captura" cuadro de
dilogo".
Abrir reciente Esto permite abrir archivos de captura recientemente
inaugurado.
Al hacer clic en uno de los elementos de submen abrir el
correspondiente archivo de captura directamente.
Combinar... Este elemento de men permite combinar un archivo de captura
en el cargados actualmente. Se discute en ms detalle en la seccin 5.4,
"Combinar archivos de captura".
Importar de Volcado hexadecimal... Este elemento de men abre el cuadro
de dilogo Importar archivo que le permite importar un archivo de texto
que contiene un volcado hexadecimal en una nueva captura temporal. Se
discute en ms detalle en la seccin 5.5, "Importar hex dump".
Cerrar Ctrl+W Este elemento de men se cierra la captura actual. Si no ha
guardado la captura, se le pedir que lo haga primero (esto puede ser
desactivado por un valor de preferencia).
Elemento de men
Guardar Acelerador Ctrl+S
Guardar como... Mays+Ctrl+S
Conjunto de Archivo Lista de archivos
Archivo Configurar Archivo siguiente
conjunto de Archivo
Exportar archivo anterior paquetes especificados...
Exportacin disecciones de paquetes... Ctrl+H
Exportar objetos
Imprimir... Ctrl+P
20
Descripcin
Este elemento de men se guarda la captura actual. Si no ha configurado
un nombre de archivo de captura predeterminado (quizs con la opcin -w
<capfile>Opcin), Wireshark emergente para guardar el archivo de captura
como cuadro de dilogo (que se discute en la seccin 5.3.1, "El archivo
de captura de "Guardar como" cuadro de dilogo").
Si ya ha guardado la captura actual, este elemento de men estar
atenuado.
No se puede guardar una captura en vivo mientras el proceso de captura.
Debe detener la captura con el fin de guardarlo.
Este men le permite guardar el archivo de captura actual para cualquier
archivo que le gustara. Aparece el cuadro de dilogo Guardar como
archivo de captura de cuadro (que se discute en la seccin 5.3.1,
"Guardar como archivo de captura" cuadro de dilogo").
Este elemento del men le permite mostrar una lista de archivos en un
archivo. Aparece el conjunto de archivos de lista de Wireshark (cuadro de
dilogo, que se analiza con ms detalle en la seccin 5.6, "conjuntos de
archivos").
Si el archivo cargado actualmente es parte de un conjunto de archivos,
saltar al siguiente archivo en el conjunto. Si no es parte de un conjunto
de archivos o slo el ltimo archivo de ese conjunto, este tema est
atenuado.
Si el archivo cargado actualmente es parte de un conjunto de archivos,
saltar al archivo anterior en el conjunto. Si no es parte de un conjunto
de archivos o slo el primer archivo en ese conjunto, este tema est
atenuado.
Este elemento de men permite exportar todos (o algunos) de los paquetes
en el archivo de captura en archivo. Aparece el cuadro de dilogo
Exportar Wireshark (que se discute en Seccin 5.7, "Exportar datos").
Estos elementos de men le permiten exportar los bytes actualmente
seleccionado en el panel packet bytes a un archivo de texto, un archivo
en varios formatos, incluyendo plain, CSV y XML. Se analiza con ms
detalle en la seccin 5.7.7, "El paquete seleccionado de exportacin
"bytes" cuadro de dilogo".
Estos elementos de men le permiten exportar capturados, DICOM, SMB, HTTP
o TFTP objetos en archivos locales. Aparece una lista de objetos
correspondiente (que se discute en la seccin 5.7.8, "El "Exportar
objetos" cuadro de dilogo")
Esta opcin de men le permite imprimir todos (o algunos) de los paquetes
en el archivo de captura. Aparece el cuadro de dilogo Imprimir de
Wireshark (que se discute en la seccin 5.8, "paquetes de impresin").
Elemento de men de la interfaz de usuario Descripcin acelerador

salir Ctrl+Q Este elemento del men le permite salir de Wireshark.
Wireshark le pedir que guarde el archivo de captura si an no ha
guardado anteriormente (esto puede ser desactivado por un valor de
preferencia).
3.6. El men "Editar"
del men Edicin de Wireshark contiene los campos que se muestran en la
Tabla 3.3, "Editar elementos de men".
Figura 3.4. El men "Editar" del
cuadro 3.3. Editar elementos del men
Elemento Descripcin acelerador
copiar estos elementos de men se copia la lista de paquetes, paquetes,
detalle o propiedades del paquete seleccionado en el portapapeles.
Buscar Paquete... Ctrl+F Este elemento de men aparece una barra de
herramientas que le permite encontrar un paquete por muchos criterios.
Hay ms informacin sobre la bsqueda de paquetes en Seccin 6.8,
"paquetes de diagnstico".
Buscar siguiente Ctrl+N Este elemento de men intenta encontrar el
siguiente paquete que coincida con la configuracin de "Buscar
Paquete...".
Buscar anterior Ctrl+B Este elemento de men anterior intenta encontrar
el paquete que coincida con la configuracin de "Buscar Paquete...".
21
Elemento de men de la interfaz de usuario

marcar o desmarcar Paquete Acelerador Ctrl+M
Marcar todos los paquetes mostrados Mays+Ctrl+M
Desmarcar todos muestra la combinacin de teclas Ctrl+Alt+M paquetes
Siguiente marca Shift+Alt+N Marca
anterior Mays+Alt+B
Ignorar/paquete no ignorar Ctrl+D
Ignorar todos muestran Mays+Ctrl+D
no ignorar las muestra todas las teclas Ctrl+Alt+D Establecer/Cancelar
referencia de tiempo Ctrl+T
Unset todas las referencias de tiempo Ctrl+Alt+T
prxima vez referencia Ctrl+Alt+N de
referencia de tiempo anterior Ctrl+Alt+B
Cambio de tiempo Ctrl+Mays+T
Paquete comentario...
Comentario de captura...
Los perfiles de configuracin... Mays+Ctrl+A
Preferencias... Mays+Ctrl+P o Cmd+ (MacOS)
22
Descripcin
Este elemento de men marca el paquete seleccionado actualmente. Consulte
Seccin 6.10, "Marcado de paquetes" para ms detalles. Este
elemento de men marca todos los paquetes mostrados. Este
elemento de men unmarks todos los paquetes mostrados.
Buscar el siguiente paquete marcado.
Encontrar el anterior paquete marcado.
Este elemento de men marca el paquete seleccionado actualmente como
ignoradas. Consulte Seccin 6.11, "Ignorar paquetes" para ms detalles.
Este elemento de men marca todos los paquetes mostrados como ignoradas.
Este elemento de men unmarks ignorado todos los paquetes.
Este elemento de men ajustar un tiempo de referencia en el paquete
seleccionado. Consulte la seccin 6.12.1, "Packet vez de referencia" para
obtener ms informacin acerca de los paquetes de referencia de tiempo.
Este elemento de men elimina todas las referencias de tiempo de los
paquetes.
Este elemento de men intenta encontrar la prxima vez referenciado
paquete.
Este elemento de men intenta encontrar el tiempo anterior paquete de
referencia.
Esto mostrar el cuadro de dilogo Time Shift, que le permite ajustar las
marcas de tiempo de algunos o todos los paquetes.
Esto le permitir agregar un comentario en un solo paquete.
Tenga en cuenta que la capacidad para guardar paquete comentarios depende
del formato de archivo. Por ejemplo, admite comentarios pcapng no pcap.
Esto le permitir agregar un comentario de captura. Tenga en cuenta que
la capacidad de guardar la captura comentarios depende del formato de
archivo. Por ejemplo, admite comentarios pcapng no pcap.
Este elemento de men se abrir un cuadro de dilogo para el manejo de
perfiles de configuracin. Ms detalle en Seccin 10.6, "Configuracin de
perfiles".
Este elemento de men se abrir un cuadro de dilogo que le permite
establecer las preferencias de muchos parmetros que controlan el
Wireshark. Tambin puede guardar sus preferencias para Wireshark
utilizar la prxima vez que lo inicie. Ms detalle en Seccin 10.5,
"Preferencias".
Interfaz de usuario
3.7. El men "Ver"
del men Ver de Wireshark contiene los campos que se muestran en la Tabla
3.4, los elementos de men "Ver".
Figura 3.5. El men "Ver" la
tabla 3.4. Ver los elementos de men del
men de la barra de herramientas Principal Descripcin del acelerador
este elemento de men se muestra u oculta la barra de herramientas
principal, consulte la seccin 3.16, "La" de la barra de herramientas
"Principal".
Este elemento de men de la barra de herramientas Filtro muestra u oculta
la barra de herramientas filtro, consulte la seccin 3.17, "El "filtro"
de la barra de herramientas".
Este elemento de men Barra de herramientas inalmbricas muestra u oculta
la barra de herramientas inalmbricas. No puede estar presente en algunas
plataformas.
Este elemento de men Barra de estado muestra u oculta la barra de
estado, consulte la seccin 3.21, "Barra de estado".
Lista de paquetes Este elemento de men se muestra u oculta el panel de
lista de paquetes, consulte la seccin 3.18, "el "panel" de la lista de
paquetes".
Detalles del paquete Este elemento de men se muestra u oculta el panel
de detalles del paquete, consulte la seccin 3.19, "El "paquete" del
panel de detalles".
Packet Bytes Este elemento de men se muestra u oculta el panel packet
bytes, consulte Seccin 3.20, "El panel "Packet Bytes"".
23
Elemento de men de la interfaz de usuario de

tiempo acelerador Formato de visualizacin de la fecha y la hora del
da: 1970-01-01 01:02:03.123456
Formato de visualizacin de tiempo
Tiempo de da:
01:02:03.123456
Formato de visualizacin de tiempo
segundos desde el Epoch (1970-01-01):
formato de visualizacin de tiempo 1234567890.123456 segundos desde el
comienzo de la captura: 123.123456
Formato de visualizacin de tiempo segundos desde la anterior de
paquetes capturados: 1.123456
segundos Formato de visualizacin de tiempo desde el ltimo paquete de
muestra: 1.123456
Formato de visualizacin de tiempo automtico (Precisin) Formato de
archivo de
formato de visualizacin de tiempo Segundos: 0
Formato de visualizacin de tiempo ... segundos: 0....
Formato de visualizacin de tiempo Mostrar segundos con las horas y los
minutos
24
Descripcin
Seleccionar esto indica Wireshark para mostrar la hora en la fecha y la
hora del da en formato, consulte la seccin 6.12, "Tiempo de formatos de
visualizacin y las referencias de tiempo".
Los campos "Hora del da", "la fecha y la hora del da", "segundos desde
el inicio de la captura", "segundos desde la anterior de paquetes
capturados" y "segundos desde el ltimo paquete de muestra" son
mutuamente excluyentes.
Seleccionando este indica Wireshark para ver las marcas de tiempo en
tiempo de formato de da, consulte Seccin 6.12, "Tiempo de formatos de
segundos desde 1970-01-01 00:00:00, consulte Seccin 6.12, "Tiempo de
formatos de visualizacin y las referencias de tiempo".
segundos desde el inicio del formato de captura, consulte Seccin 6.12,
"Tiempo de formatos de visualizacin y las referencias de tiempo".
segundos desde el anterior formato de paquetes capturados, consulte
Seccin 6.12, "Tiempo de formatos de visualizacin y las referencias de
tiempo".
segundos desde que aparece anterior formato de paquetes, consulte la
seccin 6.12, "Tiempo de formatos de visualizacin y las referencias de
tiempo".
Seleccionando este indica Wireshark para visualizar la hora de sellos con
la precisin indicada por el formato de archivo de captura utilizado,
consulte Seccin 6.12, "Tiempo de formatos de visualizacin y las
referencias de tiempo".
Los campos "Automtico", "S" y "... segundos" son mutuamente excluyentes.
Seleccionando este indica Wireshark para ver las marcas de tiempo con una
precisin de un segundo, consulte Seccin 6.12, "Tiempo de formatos de
Seleccionando este indica Wireshark para ver las marcas de tiempo con una
precisin de un segundo, decisecond, centisecond, milisegundos,
microsegundos o nanosegundo, consulte Seccin 6.12, "Tiempo de formatos
de visualizacin y las referencias de tiempo".
segundos, con las horas y los minutos.
Elemento de men de la interfaz de usuario de

resolucin de nombres del acelerador Resolver nombre
Habilitar la resolucin de nombres para la
resolucin de nombre de capa MAC Activar para la
resolucin de nombre de capa de red Habilitar para colorear la capa de
transporte lista de paquetes
Auto Scroll en Live Capture
Zoom In Zoom Out Ctrl++ Ctrl+-
Tamao normal Ctrl+=
Cambiar el tamao de todas las columnas de la combinacin de teclas
Mays+Ctrl+R
muestra columnas se
expandirn los subrboles Mays+
contraer los subrboles Mays+
Expandir todo Ctrl+
25
Descripcin
Este elemento permite activar un nombre resolver del paquete actual
nicamente, consulte Seccin 7.9, "Resolucin de nombres".
Este elemento le permite controlar si Wireshark o no traduce las
direcciones MAC en nombres, consulte la seccin 7.9, "Resolucin de
nombres".
Este elemento le permite controlar si se traduce las direcciones de red
Wireshark en nombres, consulte la seccin 7.9, "Resolucin de nombres".
Este elemento le permite controlar si se traduce en Wireshark o no el
transporte direcciones en nombres, vea Seccin 7.9, "Resolucin de
nombres".
Este elemento le permite controlar si Wireshark o no deben colorear la
lista de paquetes.
Habilitar la colorizacin ralentizar la visualizacin de nuevos paquetes
mientras captura / carga archivos de captura.
Este elemento permite especificar que Wireshark se debe desplazar el
panel Lista de paquetes como nuevos vienen en paquetes, de forma que
siempre estn mirando el ltimo paquete. Si no se especifica este,
Wireshark simplemente aade paquetes nuevos en el extremo de la lista,
pero no se desplaza el panel Lista de paquetes.
Zoom en los paquetes de datos (aumentar el tamao de la fuente). Alejar
de los paquetes de datos (disminuir el tamao de la fuente). Establecer
nivel de zoom a 100% (definir el tamao de la fuente de vuelta a la
normalidad).
El tamao de todos los anchos de columna de modo que el contenido quepa
en ella.
Cambiar tamao pueden tardar un tiempo considerable, especialmente si hay
un gran archivo de captura es cargado.
Este elemento de men se despliega con una lista de todas las columnas
configuradas. Estas columnas ahora pueden mostrarse u ocultarse en la
lista de paquetes.
Este elemento de men se expande el subrbol actualmente seleccionado en
el rbol de los detalles del paquete.
Este elemento de men se contrae el subrbol actualmente seleccionado en
el rbol de los detalles del paquete.
Wireshark mantiene una lista de todos los subrboles de protocolo que se
expanden, y lo utiliza para asegurar que la correcta los subrboles son
expandidas cuando muestra un paquete. Este elemento de men se expande
todos los subrboles en todos los paquetes de la captura.
Elemento de men de la interfaz de usuario Collapse All Acelerador Ctrl+

Colorear
Colorear Conversacin Conversacin Color 1-10
Colorear conversacin Reset
conversacin Colorear colorear Colorear Nueva regla...
Reglas de colores...
Mostrar Paquete en nueva ventana
Recargar Ctrl+R
3.8. El men "Ir"
Wireshark Ir men contiene los campos que se muestran en la Tabla 3.5,
"Go" elementos de men
Descripcin
Este elemento de men se contrae la vista de rbol de todos los paquetes
en la lista de captura.
Esta opcin de men abre un submen que permite a los paquetes de color
en el panel de lista de paquetes basado en las direcciones de los
paquetes seleccionados. Esto hace que sea fcil distinguir los paquetes
pertenecientes a las distintas conversaciones. Seccin 10.3, "paquetes"
de coloracin.
Estos elementos de men habilitar uno de los 10 filtros de color temporal
basado en la conversacin seleccionada actualmente.
Este elemento de men borra todas las reglas de coloracin temporal.
Esta opcin de men abre una ventana de dilogo en la que una nueva
coloracin permanente regla puede ser creado sobre la base de la
conversacin seleccionada actualmente.
Este elemento de men se abrir un cuadro de dilogo que le permite
paquetes de color en el panel de lista de paquetes de acuerdo a las
expresiones de filtro que usted elija. Puede ser muy til para detectar
ciertos tipos de paquetes, consulte la seccin 10.3, "paquetes" de
coloracin.
Este elemento de men abre el paquete seleccionado en una ventana
separada. La ventana slo muestra la vista de rbol y byte paneles de
visualizacin.
Este elemento de men permite volver a cargar el archivo de captura
actual.
.
Figura 3.6. El men "Ir"
Cuadro 3.5. Vaya elementos del men
Elemento acelerador
atrs Alt+
Adelante Alt+
Ir a Paquete... Ctrl+G
Ir al paquete correspondiente
paquete anterior Ctrl+
Paquete siguiente Ctrl+
Primer Paquete Ctrl+Inicio ltimo Paquete Ctrl+Fin
27
Descripcin
Saltar a la visit recientemente el paquete en el paquete de la historia,
como el historial de la pgina en un explorador web.
Saltar al siguiente visit el paquete en el paquete de la historia, como
el historial de la pgina en un explorador web.
Traer un marco de ventana que permite especificar un nmero de paquetes
y, a continuacin, va a ese paquete. Consulte Seccin 6.9, "Ir a un
paquete especfico" para ms detalles.
Vaya al paquete correspondiente del campo protocolo seleccionado
actualmente. Si el campo seleccionado no corresponde a un paquete, este
tema est atenuado.
Ir a la anterior en la lista de paquetes. Esto puede utilizarse para
mover el paquete anterior, incluso si la lista de paquetes no tiene el
foco del teclado.
Pasar a la siguiente en la lista de paquetes. Esto puede utilizarse para
mover el paquete anterior, incluso si la lista de paquetes no tiene el
foco del teclado.
Saltar al primer paquete del archivo de captura.
Saltar al ltimo paquete del archivo de captura.
Elemento de men de la interfaz de usuario del

paquete anterior Descripcin del acelerador en Ctrl+, mueva el paquete
anterior en la conversacin actual. Esto puede utilizarse para mover el
paquete anterior, incluso si la lista de paquetes no tiene el foco del
teclado.
En la conversacin siguiente paquete Ctrl+. Pasar al siguiente paquete en
la conversacin actual. Esto puede utilizarse para mover el paquete
anterior, incluso si la lista de paquetes no tiene el foco del teclado.
3.9. La "captura" del men
El men captura de Wireshark contiene los campos que se muestran en la
Tabla 3.6, "capturar los elementos de men".
Figura 3.7. La "captura" del men
Tabla 3.6. Capturar elementos del men
Elemento Descripcin Acelerador Interfaces... Ctrl+I Esta opcin de men
abre un cuadro de dilogo que muestra lo que est sucediendo en las
interfaces de red Wireshark conoce, consulte Seccin 4.4, "La captura de
"Interfaces" cuadro de dilogo") .
Opciones... Ctrl+K Esta opcin de men abre el cuadro de dilogo Opciones
de captura (que se examinan ms adelante en la seccin 4.5, "El
"capturar" el cuadro de dilogo Opciones") y le permite iniciar la
captura de paquetes.
28 de
interfaz de usuario del

men
Inicio Descripcin Acelerador Ctrl+E inmediatamente iniciar la captura de
paquetes con la misma configuracin que la ltima vez.
Detener Ctrl+E Este elemento de men se detiene la captura actualmente en
ejecucin, consulte la seccin 4.13.2, "Detener la ejecucin capture") .
Reinicie Ctrl+R Este elemento de men se detiene la captura actualmente
en ejecucin y comienza de nuevo con las mismas opciones, esto es slo
por conveniencia.
Filtros de captura... Este elemento de men se abrir un cuadro de
dilogo que permite crear y editar filtros de captura. Puede nombrar los
filtros y puede guardarlos para uso futuro. Ms detalles sobre este tema
se presenta en la seccin 6.6, "Definicin y guardar filtros"
3.10. "Analizar" del men
El men Analizar Wireshark contiene los campos que se muestran en la
Tabla 3.7, "Analizar los elementos de men".
Figura 3.8. "Analizar" del men
Tabla 3.7. Analizar elementos del men
Elemento Descripcin Acelerador
Filtros de visualizacin... Este elemento de men se abrir un cuadro de
dilogo que permite crear y editar filtros de visualizacin. Puede
nombrar los filtros y puede guardarlos para futuros
29
Elemento de men de la interfaz de usuario

del filtro de pantalla del acelerador Macros...
Aplicar como columna
aplicar como filtro ...
Preparar un filtro ...
Protocolos habilitados... Mays+Ctrl+E
Decodificar Como...
Usuario especificado decodifica...
Follow TCP Stream
Stream UDP Siga
Siga secuencia SSL
Experto
30
Descripcin Info. Ms detalles sobre este tema se presenta en la seccin
6.6, "Definicin y guardar filtros"
Este elemento de men se abrir un cuadro de dilogo que permite crear y
editar macros del filtro de visualizacin. Puede filtrar el nombre de
macros, y puede guardarlos para uso futuro. Ms detalles sobre este tema
se presenta en la seccin 6.7, "Definicin de filtro y guardar macros"
Este elemento de men se agrega el elemento de protocolo seleccionado en
el panel de detalles del paquete como una columna a la lista de paquetes.
Estos elementos de men cambiar el filtro de visualizacin actual y
aplicar el filtro cambiado inmediatamente.
Dependiendo del elemento de men seleccionado, el filtro de visualizacin
actual cadena ser sustituido o adjuntarse el campo protocolo
seleccionado en el panel de detalles del paquete.
Estos elementos de men cambiar el filtro de visualizacin actual pero
no aplicar el cambio de filtro.
Dependiendo del elemento de men seleccionado, el filtro de visualizacin
actual cadena ser sustituido o adjuntarse el campo protocolo
seleccionado en el panel de detalles del paquete.
Este elemento de men permite al usuario activar/desactivar disectores de
protocolo, consulte Seccin 10.4.1, "El "Protocolos habilitados" cuadro
de dilogo"
Este elemento de men permite al usuario forzar Wireshark para
decodificar ciertos paquetes como un protocolo en particular, consulte la
seccin 10.4.2, "Usuario especificado decodifica"
Este elemento de men permite al usuario forzar Wireshark para
decodificar ciertos paquetes como un protocolo en particular, consulte la
seccin 10.4.3, "Mostrar usuario especificado decodifica"
Este elemento de men abre una ventana separada y muestra todos los
segmentos TCP capturados que estn en la misma conexin TCP como un
paquete seleccionado, consulte Seccin 7.2, "Despus de flujos TCP"
misma funcionalidad como "Follow TCP Stream" pero para UDP arroyos.
Misma funcionalidad como "Follow TCP Stream" pero para flujos de SSL.
Consulte la pgina wiki sobre SSL para obtener instrucciones sobre la
prestacin de claves SSL.
Abre un cuadro de dilogo mostrando algn experto de informacin acerca
de los paquetes capturados. La cantidad de informacin que depender del
protocolo y vara desde muy detallada a inexistente. XXX - Agregar una
nueva seccin sobre este vnculo y desde aqu
Men de interfaz de usuario Elemento Descripcin acelerador

conversacin Filtro ... En este men encontrar conversacin filtro
para varios protocolos.
3.11. Las "estadsticas" del men
El men Estadsticas de Wireshark contiene los campos que se muestran en
la Tabla 3.8, "Estadsticas de elementos de men".
Figura 3.9. El men "Estadsticas"
Todos los elementos del men, se abrir una nueva ventana que muestra
informacin estadstica especfica.
En el cuadro 3.8. Estadsticas elementos del men
Elemento Acelerador Resumen Descripcin Muestra informacin acerca de los
datos capturados, consulte Seccin 8.2, "La ventana "Resumen"".
Jerarqua de protocolo Mostrar un rbol jerrquico de estadsticas del
protocolo, consulte Seccin 8.3, "La ventana de "jerarqua" de
protocolo".
Mostrar una lista de conversaciones conversaciones (trfico entre dos
extremos), vase la seccin 8.4.1, "La ventana" de "conversaciones".
Mostrar una lista de Endpoints Endpoints (trfico a/desde una direccin),
vase la seccin 8.5.1, "La ventana" "extremos".
Longitudes de paquetes... Consulte Seccin 8.10, "El protocolo de
estadsticas especficas de windows"
31
Men de interfaz de usuario Elemento Descripcin acelerador IO Grficos

grficos especificados por el usuario (por ejemplo, el nmero de paquetes
en el transcurso del tiempo), consulte la seccin 8.6, "La ventana de
grficos" "IO".
Visualizacin del tiempo de respuesta del servicio el tiempo que
transcurre entre la solicitud y la respuesta correspondiente, consulte
Seccin 8.7, "el tiempo de respuesta del servicio".
ANCP Vase la seccin 8.10, "El protocolo"
Colledtd estadsticas especficas de Windows... Consulte Seccin 8.10,
"El protocolo"
comparar estadsticas especficas de Windows... Consulte Seccin 8.10,
"El protocolo de estadsticas especficas de windows"
grfico de flujo... Consulte Seccin 8.10, "Las estadsticas especficas
del protocolo
HTTP de Windows" estadsticas de solicitud/respuesta HTTP, consulte
Seccin 8.10, "El protocolo de estadsticas especficas" de Windows
direcciones IP... Consulte Seccin 8.10, "Las estadsticas especficas
del protocolo
IP de Windows" destinos... Consulte Seccin 8.10, "Las estadsticas
especficas de protocolo
tipos de protocolo IP de windows"... Consulte Seccin 8.10, "Las
estadsticas especficas del protocolo
ONC RPC de Windows" de programas Vase la seccin 8.10, "El protocolo de
estadsticas especficas de Windows
Sametime" Vase la seccin 8.10, "El protocolo de estadsticas
especficas de Windows
TCP Stream" grfico consulte Seccin 8.10, "El protocolo de estadsticas
especficas de windows"
UDP multidifusin Consulte Seccin 8.10, "El protocolo de estadsticas
especficas de Windows
trfico WLAN", vase la seccin 8.9, "Estadsticas de Trfico de WLAN"
BOOTP y DHCP Vase la seccin 8.10, "El protocolo de estadsticas
especficas" de Windows
3.12. El "men" de Telefona
Telefona Wireshark men contiene los campos que se muestran en la Tabla
3.9, "elementos de men de telefona".
Figura 3.10. El men "Telefona"
Todos los elementos del men, se abrir una nueva ventana que muestra
informacin estadstica relacionada con telefona especfico.
Cuadro 3.9. Elementos del men de telefona
elemento acelerador
SMPP IAX2 operaciones...

El SCTP
ANSI GSM
H.225...
Mensajes ISUP...
LTE MTP3
SIP RTP...
33
Descripcin
ver Seccin 9.7, "El protocolo de estadsticas especficas de windows",
vase la seccin 9.7, "El protocolo de estadsticas especficas de
windows",
windows",
windows",
windows",
windows",
windows",
vea Seccin 9.5, "LTE MAC Estadsticas de trfico", vase la seccin 9.7,
"El protocolo de estadsticas especficas" de Windows
Consulte Seccin 9.2, "Anlisis de RTP", vase la seccin 9.7, "El
protocolo de estadsticas especficas de la
interfaz de usuario de windows" del

men Accelerator Descripcin
UCP mensajes... Consulte Seccin 9.7, "El protocolo de estadsticas
especficas
llamadas VoIP windows"... Consulte Seccin 9.4, "las llamadas VoIP" WAP-
WSP... Consulte Seccin 9.7, "El protocolo de estadsticas especficas"
de Windows
3.13. El men "Herramientas"
del men Herramientas de Wireshark contiene los campos que se muestran en
la Tabla 3.10, elementos del men "Herramientas".
En la figura 3.11. Las "herramientas" del men
Tabla 3.10. Las opciones del men Herramientas
men Descripcin acelerador
reglas ACL Firewall permite crear reglas ACL de lnea de comandos para
diferentes productos, incluyendo firewall de Cisco IOS, Linux Netfilter
(iptables), OpenBSD y PF (a travs de Netsh Firewall de Windows). Reglas
para las direcciones MAC, direcciones IPv4, los puertos TCP y UDP, y el
IPv4+port combinaciones son compatibles.
Se supone que las normas se aplican a una interfaz externa.
Lua Estas opciones le permiten trabajar con el intrprete Lua
opcionalmente construir en Wireshark. Ver
34
Men de interfaz de usuario Elemento Descripcin El Acelerador "Soporte

Lua en Wireshark" en Wireshark Developer's Guide.
3.14. El men "internos"
Wireshark Internals men contiene los campos que se muestran en la Tabla
3.11, los elementos de men "internos".
La figura 3.12. Los "internos" del men
Tabla 3.11. Internals elementos del men
Elemento acelerador
tablas disector Descripcin Esta opcin de men abre un cuadro de dilogo
mostrando las tablas con relaciones subdissector.
Protocolos admitidos (lento!) Este elemento de men se abrir un cuadro
de dilogo mostrando los protocolos admitidos y campos del protocolo.
3.15. El men "Ayuda"
del men Ayuda de Wireshark contiene los campos que se muestran en la
Tabla 3.12, elementos del men "Ayuda".
Figura 3.13. La "Ayuda" del men
Tabla 3.12. Ayudar a elementos del men
Elemento contenido del Acelerador
Manual F1 pginas ...
Sitio Web
FAQ's
Descargas
Captura muestra Wiki

sobre Wireshark
36
Descripcin
Esta opcin de men abre un sistema de ayuda bsica.
Este elemento de men se inicia un navegador Web mostrando una de las
pginas de manual de html instalados localmente.
Esta opcin de men inicia un explorador Web que muestra la pgina web
de: https://www.wireshark.org/.
Esta opcin de men inicia un explorador Web que muestran diversas FAQ's.
Este elemento de men se inicia un navegador Web mostrando las descargas
desde: Https://www.wireshark.org/ download.html.
Este elemento de men se inicia un navegador Web mostrando la primera
pgina desde: https://wiki.wireshark.org/.
Este elemento de men se inicia un navegador Web mostrando la muestra
recoge desde: https://wiki.wireshark.org/ SampleCaptures.
Este elemento de men abre una ventana de informacin que proporciona
informacin detallada sobre diversos temas, tales como la forma de
Wireshark es construir, los plugins cargados, el de las carpetas, ...
Interfaz de usuario
nota
abriendo un navegador Web podran no ser compatibles con su versin de
Wireshark. Si este es el caso, los elementos de men correspondientes
quedarn ocultos.
Si llama un navegador Web falla en su mquina, no ocurre nada, o el
navegador se inicia pero no se muestra la pgina, eche un vistazo a la
configuracin del explorador web en el cuadro de dilogo de preferencias.
3.16. La "Principal" de la barra de herramientas
La barra de herramientas principal proporciona acceso rpido a los
elementos utilizados con frecuencia en el men. Esta barra de
herramientas puede ser personalizado por el usuario, pero se puede
ocultar mediante el men Ver, si el espacio de la pantalla es an ms
necesario para mostrar los datos del paquete.
En el men, slo los elementos tiles en el estado actual del programa
estar disponible. Los dems sern atenuadas (por ejemplo, no puede
guardar un archivo de captura si no ha cargado uno).
La figura 3.14. La "Principal" de la barra de herramientas
Tabla 3.13. Los elementos de la barra de herramientas La
barra de herramientas La barra de herramientas principal Elemento
Descripcin del elemento de men Icono
Interfaces... Capturar Este elemento muestra las interfaces de captura
de
Interfaces... Cuadro de dilogo de lista (que se examinan ms adelante en
la seccin 4.3, "Iniciar captura").
Opciones... Opciones de captura... Este elemento muestra el cuadro de
dilogo Opciones de captura (que se examinan ms adelante en la seccin
4.3, "Iniciar captura") y le permite iniciar la captura de paquetes.
Iniciar Captura Iniciar este tema inicia la captura de paquetes con las
opciones desde la ltima vez.
Detener Captura Detener este tema detiene el proceso de captura en vivo
actualmente en ejecucin en Seccin 4.3, "Iniciar captura").
Reinicie Capturar Reiniciar este tema detiene el proceso de captura en
vivo actualmente en ejecucin y reinicia de nuevo, para mayor comodidad.
Abrir... Archivo Abrir... Este elemento muestra el cuadro de dilogo
Abrir archivo que le permite cargar un archivo de captura para su
visualizacin. Se discute en ms detalle en la seccin 5.2.1, "El "Abrir
archivo de captura" cuadro de dilogo".
Guardar como... Archivo Guardar como... Este elemento le permite
guardar el archivo de captura actual para cualquier archivo que le
gustara. Aparece el cuadro de dilogo Guardar como archivo de captura de
cuadro (que se discute en la seccin 5.3.1, "Guardar como archivo de
captura" cuadro de dilogo").
37
Barra de herramientas Barra de herramientas de la interfaz de usuario

Elemento Descripcin del elemento de men Icono Si usted tiene
actualmente un archivo de captura temporal, Guardar, el icono se mostrar
en su lugar.
Cerrar el archivo Cerrar este tema cierra la captura actual. Si no ha
guardado la captura, se le pedir que guarde primero.
Ver recarga recarga Este elemento le permite volver a cargar el archivo
de captura actual.
Imprimir... Archivo Imprimir... Este elemento le permite imprimir todos
(o algunos) de los paquetes en el archivo de captura. Aparece el cuadro
de dilogo Imprimir de Wireshark (que se discute en la seccin 5.8,
"paquetes de impresin").
Buscar Paquete... Editar encontrar este elemento abre un cuadro de
dilogo de ese
paquete... le permite encontrar un paquete. Hay ms informacin sobre la
bsqueda de paquetes en Seccin 6.8, "paquetes de diagnstico".
Volver ir Volver este tema salta de nuevo en el paquete de la historia.
Mantenga pulsada la tecla Alt (Option en MacOS) ir hacia atrs en el
historial de seleccin.
Ir hacia adelante ir ir adelante este tema salta hacia adelante en el
paquete de la historia. Mantenga pulsada la tecla Alt (Option en MacOS)
para avanzar en el historial de seleccin.
Ir a Paquete... Ir Ir a Paquete... Este elemento muestra un cuadro de
dilogo que le permite especificar un nmero de paquetes para ir a ese
paquete.
Ir al primer paquete vaya Primer Paquete este tema salta al primer
paquete del archivo de captura.
Ir al ltimo paquete vaya ltimo Paquete este tema salta al ltimo
paquete del archivo de captura.
Ver Colorear Colorear Colorear la lista de paquetes (o no).
Desplazamiento automtico en Live View Auto Scroll desplazamiento
automtico de la lista de paquetes mientras realiza una captura en vivo
en Live Capture captura (o no).
En vista de zoom Acercar el zoom en los paquetes de datos (aumentar el
tamao de la fuente).
Ver Alejar Zoom Out Zoom de los paquetes de datos (disminuir el tamao
de la fuente).
Tamao normal Ver Tamao Normal Establecer nivel de zoom a 100%.
38

Elemento Descripcin del elemento de men Icono
redimensionar columnas Ver Cambiar tamao Cambie el tamao de las
columnas, de modo que el contenido se adapta a ellos.
Las columnas de
los filtros de captura... Capturar capturar este elemento abre un
cuadro de dilogo que permite
filtros... para crear y editar filtros de captura. Puede nombrar los
filtros y puede guardarlos para uso futuro. Ms detalles sobre este tema
se presenta en la seccin 6.6, "Definicin y guardar filtros".
Filtros de visualizacin... Analizar Mostrar Este elemento abre un
cuadro de dilogo que permite
filtros... para crear y editar filtros de visualizacin. Puede nombrar
los filtros y puede guardarlos para uso futuro. Ms detalles sobre este
tema se presenta en la seccin 6.6, "Definicin y guardar filtros".
Reglas de colores... Ver Colorear Este elemento abre un cuadro de
dilogo que permite
reglas... a paquetes de color en el panel de lista de paquetes de acuerdo
a las expresiones de filtro que usted elija. Puede ser muy til para
detectar ciertos tipos de paquetes. Ms detalles sobre este tema se
presenta en la seccin 10.3, "paquetes" de coloracin.
Preferencias... Editar Preferencias Este elemento abre un cuadro de
dilogo que le permite establecer las preferencias de muchos parmetros
que controlan el Wireshark. Tambin puede guardar sus preferencias para
Wireshark utilizar la prxima vez que lo inicie. Ms detalle en Seccin
10.5, "Preferencias"
Ayuda Ayuda Contenido Este tema trae un cuadro de dilogo de ayuda.
3.17. El "filtro" de la barra de herramientas
La barra de herramientas Filtro le permite editar rpidamente y aplicar
filtros de visualizacin. Ms informacin sobre filtros de visualizacin
est disponible en la seccin 6.3, "paquetes de filtrado mientras ve".
La figura 3.15. El "filtro" de la barra de herramientas
Tabla 3.14. Filtrar los elementos de la barra de herramientas
Barra de herramientas Barra de herramientas Elemento Descripcin Icono
Filtro: Abre el dilogo de construccin del filtro, descrito en la Figura
6.8, "El "Filtros de captura" y "Mostrar cuadros de dilogo de filtros".
39

Elemento Descripcin Icono
Filtrar el rea de entrada para introducir o modificar una cadena de
filtro de pantalla, consulte la seccin 6.4, "Creacin de expresiones de
filtro de pantalla". Una comprobacin de sintaxis de la cadena de filtro
se realiza mientras se est escribiendo.
El fondo se volver de color rojo si se introduce una cadena incompleta o
no vlida, y se convertir en verde cuando se introduce una cadena
vlida. Puede hacer clic en la flecha del men desplegable para
seleccionar una cadena de filtro introducido previamente en una lista.
Las entradas de la lista desplegable permanecer disponible incluso
despus de un reinicio de programa.
Despus de que usted haya cambiado algo en este campo, no olvide pulsar
el botn Aplicar (o la tecla Enter/Return), para aplicar esta cadena de
filtro para la visualizacin.
Este campo tambin es donde el filtro actual en efecto se muestra.
Expresin... El botn central denominado "Agregar expresin..." se abre
un cuadro de dilogo que le permite editar un filtro de visualizacin de
una lista de campos del protocolo, tal como se describe en la seccin
6.5, "La expresin "Filtrar" cuadro de dilogo"
Clara Restablecer el filtro de visualizacin actual y borra el rea de
edicin.
Aplicar Aplicar el valor actual en el rea de edicin como el nuevo
filtro de visualizacin.
Aplicar un filtro de visualizacin de grandes archivos de captura puede
tardar bastante tiempo.
3.18. El "panel" de la lista de paquetes
El paquete panel lista muestra todos los paquetes en el archivo de
captura actual.
La figura 3.16. La lista de paquetes "panel"
Cada lnea de la lista de paquetes corresponde a un paquete en el archivo
de captura. Si selecciona una lnea en este panel, ms detalles sern
mostrados en el paquete "Detalles" y "Packet Bytes" paneles.
Mientras disecando un paquete, Wireshark pondr informacin de los
disectores de protocolo en las columnas.
Como protocolos de nivel superior puede sobrescribir la informacin desde
los niveles ms bajos, que normalmente se suele ver la informacin desde
el nivel ms alto posible.
Por ejemplo, echemos un vistazo a un paquete que contiene TCP IP interior
dentro de un paquete Ethernet. El disector Ethernet escribir sus datos
(como las direcciones Ethernet), el disector IP sobrescribir este por su
propio (como las direcciones IP), el disector TCP sobrescribir la
informacin IP, y as sucesivamente.
Hay un montn de diferentes columnas disponibles. Las columnas que se
muestran pueden ser seleccionados por los parmetros de preferencia,
consulte la seccin 10.5, "Preferencias".
Las columnas predeterminadas mostrar:
No. El nmero del paquete en el archivo de captura. Este nmero no
cambiar, incluso si se usa un filtro de visualizacin.
Tiempo el timestamp del paquete. El formato de presentacin de esta
marca de tiempo se puede cambiar, consulte la seccin 6.12, "Tiempo de
formatos de visualizacin y las referencias de tiempo".
Fuente la direccin donde este paquete est viniendo.
La direccin de destino donde se va a este paquete.
Protocolo el nombre del protocolo en un corto (quizs) versin
abreviada.
La longitud de cada paquete.
Informacin Informacin adicional acerca del contenido del paquete. La
primera columna muestra cmo cada paquete est relacionado con el paquete
seleccionado. Por ejemplo, en la imagen de arriba el primer paquete
seleccionado, que es una peticin DNS. Wireshark muestra una flecha hacia
la derecha para la propia solicitud, seguido de una flecha a la izquierda
para la respuesta en el paquete 2. Por qu hay una lnea discontinua?
Hay ms paquetes DNS ms abajo que utilizan los mismos nmeros de puerto.
Wireshark tratarlas como pertenecientes a la misma conversacin y dibuja
una lnea que conecta los mismos.
Tabla 3.15. Smbolos de paquetes relacionados
primer paquete en una conversacin.
Parte de la conversacin seleccionada.
No forma parte de la conversacin seleccionada.
ltimo paquete en una conversacin.
Solicitud.
Respuesta.
El paquete seleccionado reconoce este paquete.
El paquete seleccionado es un duplicado del acuse de recibo de este
paquete.
El paquete seleccionado est relacionado con este paquete de alguna otra
manera, por ejemplo, como parte del montaje.
La lista de paquetes tiene una barra de desplazamiento inteligente que
muestra un mapa en miniatura de cerca los paquetes. Cada lnea de trama
de scrollbar corresponde a un solo paquete, por lo que el nmero de
paquetes que aparecen en el mapa depende
41
Interfaz de usuario
en el espacio fsico de la pantalla y la altura de la lista de paquetes.
Un alto la lista de paquetes en una de alta resolucin ("Retina") se
mostrar muy pocos paquetes. En la imagen de arriba el scrollbar muestra
el estado de ms de 500 paquetes junto con los 15 mostrados en la lista
de paquetes.
Haciendo clic con el botn derecho del ratn aparecer un men
contextual, descrito en la Figura 6.4, "Men emergente del "panel" de la
lista de paquetes".
3.19. El paquete "Detalles"
el paquete panel panel de detalles muestra el paquete actual
(seleccionado en la lista de paquetes "panel") en una forma ms
detallada.
La figura 3.17. El paquete "panel de detalles"
Este panel muestra los protocolos y campos del protocolo del paquete
seleccionado en el panel de "lista de paquetes". Los protocolos y los
campos del paquete se muestra en un rbol que se puede expandir y
contraer.
Hay un men de contexto (clic con el botn derecho del ratn). Ver
detalles en la Figura 6.5, "Men emergente del panel "Detalles" de
paquetes".
Algunos campos del protocolo tienen significados especiales.
Los campos generados. Wireshark s generar informacin del protocolo
adicional que no est presente en los datos capturados. Esta informacin
est encerrada entre corchetes ('[' y ']'). Genera informacin incluye
los tiempos de respuesta, anlisis TCP, GeoIP informacin y validacin de
la suma de comprobacin.
Enlaces. Si Wireshark detecta una relacin con otro paquete en el
archivo de captura que generar un enlace a ese paquete. Los enlaces
estn subrayados y se muestran en azul. Si hace doble clic en un vnculo
Wireshark saltar al paquete correspondiente.
3.20. El panel "Packet Bytes"
El packet bytes panel muestra los datos del paquete actual (seleccionado
en la lista de paquetes "panel") en un estilo hexdump.
La figura 3.18. El "Packet Bytes"
42 panel de
interfaz de usuario
El "Packet Bytes" panel muestra un volcado hexadecimal cannica de los
paquetes de datos. Cada lnea contiene el desplazamiento de datos, 16
bytes hexadecimales y ASCII de 16 bytes. No printalbe bytes se sustituye
por un punto ('.').
Segn los datos del paquete, a veces ms de una pgina, por ejemplo
cuando Wireshark ha montado algunos paquetes en un solo bloque de datos.
(Consulte la seccin 7.8, "Montaje de Paquetes" para ms detalles).
En este caso usted puede ver cada origen de datos haciendo clic en su
pestaa correspondiente en la parte inferior del panel.
La figura 3.19. El "Packet Bytes" panel con fichas
pginas adicionales normalmente contienen datos reensamblados de varios
paquetes o datos descifrados.
El men contextual (clic con el botn derecho del ratn) de la pestaa
Etiquetas mostrar una lista de todas las pginas disponibles. Esto puede
ser til si el tamao del panel es demasiado pequeo para todas las
etiquetas de pestaa.
3.21. La barra de estado
La barra de estado muestra mensajes informativos.
En general, la parte izquierda muestra informacin relacionada con el
contexto, la parte media mostrar informacin sobre el archivo de
captura, y el lado derecho muestra el perfil de configuracin
seleccionado. Arrastre los controles entre las reas de texto para
cambiar el tamao.
La figura 3.20. La primera barra de estado
Esta barra de estado se muestra aunque no se carga el archivo de captura,
por ejemplo, cuando se inicia de Wireshark.
Figura 3.21. La barra de estado con una carga el archivo de captura
La vieta coloreada de la izquierda muestra el mayor nivel de
informacin de expertos encontrada en el archivo de captura actualmente
cargado. Al colocar el puntero del ratn sobre este icono se mostrar una
descripcin textual del experto nivel info, y haciendo clic en el icono,
se abrir el cuadro de dilogo Informacin de expertos. Para una
descripcin detallada de la informacin de expertos, consulte Seccin
7.4, "Informacin de expertos".
El lado izquierdo muestra la informacin sobre el archivo de captura,
su nombre, su tamao y el tiempo transcurrido mientras era capturado. Si
coloca el puntero sobre un nombre de archivo mostrar la ruta completa y
el tamao.
La parte central muestra el nmero actual de paquetes en el archivo de
captura. Se muestran los siguientes valores:
Los paquetes: el nmero de paquetes capturados.
Muestra: El nmero de paquetes que se muestra actualmente.
43
Interfaz de usuario
marcada: El nmero de marcado de paquetes (slo se muestra si los
paquetes estn marcados).
Descartados: El nmero de paquetes perdidos (slo se muestra si
Wireshark fue incapaz de capturar todos los paquetes).
Ignorada: El nmero de paquetes ignorados (slo se muestra si se
ignoran los paquetes).
Tiempo de carga: el tiempo que tom para cargar la captura (reloj de
pared).
La parte derecha muestra el perfil de configuracin seleccionado. Al
hacer clic en este parte de la barra de estado, se abrir un men con
todos los perfiles de configuracin disponibles, y seleccionar en esta
lista cambiar el perfil de configuracin.
La figura 3.22. La barra de estado con un perfil de configuracin men
Para una descripcin detallada de los perfiles de configuracin, consulte
la seccin 10.6, "Configuracin de perfiles".
La figura 3.23. La barra de estado con un protocolo seleccionado
Este campo aparece si se ha seleccionado un campo de protocolo del
paquete "panel de detalles".
Sugerencia
El valor entre parntesis (en este ejemplo "ipv6.src') puede usarse como
un filtro de pantalla, que representa el campo de protocolo seleccionado.
La figura 3.24. La barra de estado con un filtro de pantalla
este mensaje aparece si est intentando utilizar un filtro de
presentacin que puede tener resultados inesperados. Para una descripcin
detallada, consulte Seccin 6.4.6, "Un error comn".
44
Captulo 4. Captura viva de los datos de la red

4.1. Introduccin La
captura de datos de red en vivo es una de las principales funciones de
Wireshark.
La captura de Wireshark motor proporciona las siguientes caractersticas:
Capturar desde distintos tipos de hardware de red como Ethernet o
802.11.
Detener la captura sobre diferentes factores desencadenantes, como la
cantidad de datos capturados, tiempo transcurrido o el nmero de
paquetes.
Mostrar simultneamente descodificar paquetes mientras Wireshark es la
captura.
Filtrar paquetes, reduciendo la cantidad de datos que se va a capturar.
Consulte Seccin 4.13, "Filtrado" mientras se est capturando.
Guarde los paquetes en varios archivos mientras realiza una captura a
largo plazo, rotacin opcionalmente a travs de un nmero fijo de
archivos (un "ringbuffer"). Consulte Seccin 4.11, "capturar los archivos
y los modos".
Capturar de forma simultnea de varias interfaces de red.
El motor de captura an carece de las siguientes caractersticas:
Detener la captura (o realizar alguna otra accin) segn los datos
capturados.
4.2. Requisitos previos
configurar Wireshark a capturar paquetes por primera vez puede ser
complicado. Una gua completa de "Cmo configurar una captura" est
disponible en https://wiki.wireshark.org/CaptureSetup.
Aqu estn algunos errores comunes:
Usted puede necesitar privilegios especiales para iniciar una captura
viva.
Usted necesita elegir el interfaz de red para capturar paquetes de
datos.
Es necesario capturar en el lugar correcto de la red para ver el
trfico que desea ver.
Si tiene problemas para configurar su entorno de captura debera echar un
vistazo a la gua mencionada anteriormente.
4.3. Empezar a capturar
los siguientes mtodos pueden utilizarse para iniciar la captura de
paquetes con Wireshark:
Usted puede hacer doble clic en una interfaz en la ventana principal.
Usted puede obtener una visin general de las interfaces disponibles
utilizando el "Interfaces" cuadro de dilogo de captura (Capture
Opciones...). Consulte la Figura 4.1, "La captura de "Interfaces" en el
cuadro de dilogo Microsoft Windows" o
45
Capturar datos de red viva la

figura 4.2, "La captura de "Interfaces" cuadro de dilogo sobre
Unix/Linux" para ms informacin. Puede iniciar una captura de este
cuadro de dilogo mediante el botn de arranque.
Puede iniciar inmediatamente una captura utilizando los ajustes
actuales seleccionando capturar Iniciar o cliking el primer botn de la
barra de herramientas.
Si ya conoce el nombre de la interfaz de captura puede iniciar
Wireshark desde la lnea de comandos:
$ wireshark -i eth0 -k
Esto comenzar la captura de Wireshark en la interfaz eth0. Se pueden
encontrar ms detalles en la seccin 10.2, "Iniciar Wireshark desde la
lnea de comandos".
4.4. La captura de "Interfaces" cuadro de dilogo
cuando se seleccione Capturar Opciones... en el men principal de
Wireshark emerja la captura "Interfaces" cuadro de dilogo como se
muestra en la Figura 4.1, "La captura de "Interfaces" en el cuadro de
dilogo Microsoft Windows" o en la Figura 4.2, "La captura de
"Interfaces" cuadro de dilogo sobre Unix/Linux".
Tanto usted como su sistema operativo puede ocultar interfaces
este cuadro de dilogo slo mostrar las interfaces locales Wireshark
puede acceder. Tambin ocultar interfaces marcadas como ocultas en la
seccin 10.5.1, "Opciones de interfaz". Como Wireshark podra no ser
capaz de detectar todas las interfaces locales y no puede detectar las
interfaces remotas disponibles podra haber ms capturar interfaces
disponibles de la lista.
Es posible seleccionar ms de una interfaz y capturar de forma
simultnea.
Figura 4.1. La captura de "Interfaces" cuadro de dilogo de la
figura 4.2 de Microsoft Windows. La captura de "Interfaces" cuadro de
dilogo sobre Unix/Linux
46
captura viva de red del

dispositivo de datos (Unix/Linux solamente) El nombre de dispositivo de
interfaz.
Descripcin La descripcin de la interfaz proporcionada por el sistema
operativo o el comentario agregado definido por el usuario en la seccin
10.5.1, "Opciones de interfaz".
La primera direccin IP IP Wireshark podra encontrar para esta interfaz.
Puede hacer clic en la direccin para moverse a travs de otras
direcciones asignadas, si est disponible. Si la direccin no poda ser
encontrado "ninguno" se mostrar.
Los paquetes que el nmero de paquetes capturados desde esta interfaz,
desde este cuadro de dilogo se abre. Aparecer atenuada si no packet fue
capturado en el ltimo segundo.
Paquetes/s nmero de paquetes capturados en el ltimo segundo. Aparecer
atenuada si no packet fue capturado en el ltimo segundo.
Stop Detiene la ejecucin de la captura.
Inicie una captura en todas las interfaces seleccionadas inmediatamente,
usando la configuracin de la ltima captura o los ajustes por defecto,
si no se ha configurado ninguna opcin.
Opciones Abre el cuadro de dilogo Opciones de captura con la marcada
interfaces seleccionadas. Consulte Seccin 4.5, "El "capturar" el cuadro
de dilogo de opciones".
Detalles (slo Microsoft Windows) Abre un cuadro de dilogo con
informacin detallada sobre la interfaz. Consulte Seccin 4.10, "Detalles
de interfaz" cuadro de dilogo".
Ayuda Mostrar esta pgina de ayuda.
Cerrar Cerrar este cuadro de dilogo.
4.5. La opcin "Capturar" el cuadro de dilogo Opciones
cuando seleccione Capturar Opciones... (O utilice el elemento
correspondiente en la barra de herramientas principal), Wireshark aparece
el "capturar" el cuadro de dilogo Opciones como se muestra en la Figura
4.3, "El "capturar" el cuadro de dilogo de opciones".
47
Captura de datos de red viva la

figura 4.3. La opcin "Capturar" el cuadro de dilogo Opciones
Sugerencia
Si no est seguro de qu opciones para elegir en este cuadro de dilogo
slo intente mantener los valores predeterminados como esto debera
funcionar bien en muchos casos.
4.5.1. Marco de captura
La tabla muestra la configuracin de todas las interfaces disponibles:
El nombre de la interfaz y sus direcciones IP. Si la direccin no poda
ser resuelto por el sistema, "Ninguno" ser mostrado.
Nota
Las interfaces loopback no estn disponibles en plataformas Windows.
El tipo de cabezal de capa de enlace.
La informacin si promicuous modo est activado o desactivado.
La cantidad mxima de datos que ser capturado para cada paquete. El
valor predeterminado se establece en el 262144 bytes.
48
Captura viva de los datos de la red

El tamao de los buffers del kernel que est reservado para mantener
los paquetes capturados.
La informacin si los paquetes sern capturados en modo monitor
(Unix/Linux solamente).
El filtro de captura elegido.
Marcando las casillas de la primera columna de las interfaces son
seleccionados para ser capturado. Haciendo doble clic en en una interfaz
"modificar" el cuadro de dilogo Configuracin de interfaz, como se
muestra en Figura 4.4, "La ventana "Editar" el cuadro de dilogo
Configuracin de interfaz" se abrir.
Capturar en todas las interfaces como Wireshark puede capturar en varias
interfaces, es posible elegir para capturar en todas las interfaces
disponibles.
Capturar todos los paquetes en modo promiscuo esta casilla de
verificacin permite especificar que Wireshark debe poner todas las
interfaces en modo promiscuo cuando la captura.
Filtro de captura Este campo permite especificar un filtro de captura
para todas las interfaces que estn seleccionados. Una vez que un filtro
se ha introducido en este campo, los nuevos interfaces seleccionadas
heredar el filtro. Los filtros de captura se examinan en mayor detalle
en la seccin 4.13, "Filtrado" mientras se est capturando. El valor por
omisin es vaca o sin filtro.
Tambin puede hacer clic en el botn Filtro de captura y Wireshark,
aparecer el cuadro de dilogo Filtros de captura y le permiten crear y/o
seleccione un filtro. Consulte Seccin 6.6, "Definicin y guardar
filtros"
Compilar BPFs Seleccionado Este botn le permite compilar el filtro de
captura en BPF cdigo y aparecer una ventana que le muestra el pseudo
cdigo resultante. Esto puede ayudar a entender el funcionamiento del
filtro de captura que ha creado.
El compilar ciertos BPFs botn te conduce a la Figura 4.5, "Compilar
resultados" cuadro de dilogo".
Sugerencia
sugerencia de usuario avanzado de Linux
la ejecucin de BPFs puede acelerarse en Linux girando sobre BPF JIT
ejecutando
$ echo 1 >/proc/sys/net/core/bpf_jit_enable
si an no est activado. Para que el cambio sea persistente puede
utilizar sysfsutils.
Administrar administrar interfaces Interfaces El botn abre la figura
4.6, "aadir nuevas interfaces" cuadro de dilogo", donde los tubos
pueden ser definidas, las interfaces locales escaneadas o oculto, o
interfaces remotas aadido (slo Windows).
4.5.2. El archivo de captura(s) bastidor
una explicacin acerca del uso del archivo de captura puede encontrarse
en Seccin 4.11, "capturar los archivos y los modos".
Archivo en este campo le permite especificar el nombre del archivo que se
utilizar para el archivo de captura. Este campo se deja en blanco por
defecto. Si el campo se deja en blanco, la captura de datos se
almacenarn en un archivo temporal. Consulte Seccin 4.11, "Capturar
archivos y modos" para ms detalles.
Tambin puede hacer clic en el botn situado a la derecha de este campo
para navegar a travs del sistema de ficheros.
Usar varios archivos en lugar de usar un solo archivo Wireshark cambiar
automticamente a una nueva si una determinada condicin desencadenante
es alcanzado.
49
Captura de datos de red en vivo

-ng formato PCAP Utilice esta casilla de verificacin permite especificar
que Wireshark guarda los paquetes capturados en formato PCAP-ng.
Esta nueva generacin de formato de archivo de captura est actualmente
en desarrollo. Si hay ms de una interfaz es elegido para la captura,
esta casilla de verificacin se establece de forma predeterminada. Ver
https://wiki.wireshark.org/Development/ PcapNg para ms detalles de PCAP-
ng.
Siguiente archivo cada n megabyte(s) Varios archivos nicamente. Pasar al
siguiente archivo despus del nmero dado de byte(s)/kilobyte(s)/megabyte
gigabyte(s)/(s) han sido capturados.
Siguiente archivo cada n minutos(s) Varios archivos nicamente: pasar al
siguiente archivo despus del nmero dado de
segundo(s)/minutos/horas(s)(s)/(s) das que han transcurrido.
Anillo con n archivos varios archivos nicamente: forma un anillo de los
archivos de captura con el nmero determinado de archivos.
Detener captura despus de n(s) archivo(s) Slo archivos mltiples:
Detener la captura despus de cambiar al siguiente archivo el nmero
especificado de veces.
4.5.3. Detener captura... marco
... despus de n paquete(s) detener la captura despus del nmero de
paquetes que han sido capturados.
... Despus de n megabytes(s) detener la captura despus de que el nmero
dado de byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) han sido capturados.
Esta opcin est desactivada si la opcin "Usar varios archivos" est
seleccionado.
... Despus de n minuto(s) para detener la captura despus de que el
nmero dado de segundo(s)(s)/minutos/horas/das(s) que han transcurrido.
4.5.4. Mostrar opciones de
actualizacin de bastidor lista de paquetes en tiempo real Esta opcin le
permite especificar que Wireshark se debe actualizar la lista de paquetes
Panel en tiempo real. Si no se especifica este, Wireshark no muestra
todos los paquetes hasta que se detenga la captura. Cuando se activa esta
casilla, captura de Wireshark en un proceso independiente y alimenta la
captura a la visualizacin.
El desplazamiento automtico en Live Capture Esta opcin le permite
especificar que Wireshark se debe desplazar el panel Lista de paquetes
como nuevos vienen en paquetes, de forma que siempre estn mirando el
ltimo paquete. Si no se especifica esta Wireshark simplemente aade
paquetes nuevos en el extremo de la lista, pero no se desplaza el panel
Lista de paquetes. Esta opcin est atenuada si "Actualizar la lista de
paquetes en tiempo real" est desactivada.
4.5.5. Bastidor de resolucin de nombres la
resolucin de nombres MAC activar esta opcin le permite controlar si
Wireshark o no traduce las direcciones MAC en nombres.
Consulte Seccin 7.9, "Resolucin de nombres".
Habilitar la resolucin de nombres de red Esta opcin le permite
controlar si se traduce las direcciones de red Wireshark en nombres.
Consulte Seccin 7.9, "Resolucin de nombres".
50

permiten la resolucin de nombre de transporte Esta opcin le permite
controlar si se traduce en Wireshark o no direcciones en los protocolos
de transporte. Consulte Seccin 7.9, "Resolucin de nombres".
4.5.6. Botones
Una vez que haya establecido los valores que deseo y ha seleccionado las
opciones que usted necesita, simplemente haga clic en Iniciar para
comenzar la captura o en Cancelar para cancelar la captura.
4.6. Configuracin de la interfaz de la ventana "Editar" cuadro de
dilogo
si hace doble clic en una interfaz en la Figura 4.3, "Opciones" la opcin
"Capturar" el cuadro de dilogo se mostrar el siguiente cuadro de
dilogo.
Figura 4.4. Configuracin de la interfaz de la ventana "Editar" cuadro de
dilogo
puede establecer los siguientes campos de este cuadro de dilogo:
Direccin IP: La direccin IP(es) de la interfaz seleccionada. Si la
direccin no poda ser resuelto por el sistema "Ninguno" ser mostrado.
Encabezado de la capa de enlace de tipo a menos que estn en la rara
situacin que requiere este mantenga la configuracin predeterminada.
Para una descripcin detallada.
Consulte Seccin 4.12, "La capa de enlace de tipo cabezal"
configuracin inalmbrica (slo Windows) Aqu puede configurar los
ajustes de captura inalmbrica usando el adaptador AirPCap. Para una
descripcin detallada consulte el AirPCap Users Guide.
Configuracin remota (slo Windows) Aqu puede configurar los ajustes de
captura remota. Para una descripcin detallada consulte Seccin 4.9, "la
captura remota de Interfaces"" el cuadro de dilogo
Capturar paquetes en modo promiscuo esta casilla de verificacin permite
especificar que Wireshark debera poner la interfaz en modo promiscuo
cuando la captura. Si no se especifica esta Wireshark slo podr capturar
los paquetes que van hacia o desde tu ordenador (no todos los paquetes en
su segmento de LAN).
51
Captura viva de los datos de red

Nota:
Si algn otro proceso ha puesto la interfaz en modo promiscuo puede
capturar en modo promiscuo incluso si desactiva esta opcin.
Incluso en modo promiscuo todava no necesariamente ver todos los
paquetes en su segmento de LAN.
Consulte el FAQ de Wireshark para obtener ms informacin.
Limitar cada paquete a n bytes Este campo le permite especificar la
cantidad mxima de datos que ser capturado para cada paquete, y a veces
se denomina el snaplen. Si est desactivado, el valor se ajusta al mximo
65535 que ser suficiente para la mayora de los protocolos. Algunas
reglas bsicas:
Si usted no est seguro, simplemente, mantener el valor predeterminado.
Si usted no necesita o no desea que todos los datos de un paquete - por
ejemplo, si usted slo necesita la capa de enlace, IP y TCP headers - es
posible que desee elegir una pequea longitud instantnea, como menos
tiempo de CPU es necesario para realizar la copia de paquetes, se
necesita menos espacio de bfer para los paquetes y, por lo tanto, quizs
menos paquetes sern descartados si el trfico es muy pesado.
Si no puede capturar todos los datos en un paquete que puede encontrar
que los paquetes de datos que desea est en la parte que ha bajado o que
el montaje no es posible ya que los datos necesarios para el montaje est
ausente.
Tamao del bfer: n megabyte(s) Introduzca el tamao de bfer para ser
utilizado durante la captura. Este es el tamao de los buffers del kernel
que conservar los paquetes capturados, hasta que se escriben en el
disco. Si se producen cadas de paquetes, intente aumentar este valor.
Captura de paquetes en modo monitor (Unix/Linux solamente) Esta casilla
de verificacin permite configurar la interfaz inalmbrica para capturar
todo el trfico que pueda recibir, no slo el trfico de las NBS a la que
est asociada, que puede ocurrir incluso cuando se establece el modo
promiscuo. Tambin puede ser necesario activar esta opcin para ver los
encabezados de IEEE 802.11 y/o la informacin de la radio de las tramas
capturadas.
Nota
En modo monitor el adaptador puede desvincularse de la red estaba
asociado.
Filtro de captura Este campo permite especificar un filtro de captura.
Los filtros de captura se examinan en mayor detalle en la seccin 4.13,
"Filtrado" mientras se est capturando. El valor por omisin es vaca o
sin filtro.
Tambin puede hacer clic en el botn Filtro de captura y Wireshark traer
el "cuadro de dilogo Filtros de captura" y le permitir crear y/o
seleccione un filtro. Consulte Seccin 6.6, "Definicin y guardar filtros
BPF Compilar" Este botn le permite compilar el filtro de captura en BPF
cdigo y aparecer una ventana que le muestra el pseudo cdigo
resultante. Esto puede ayudar a entender el funcionamiento del filtro de
captura que ha creado.
4.7. Los resultados de "compilar" el cuadro de dilogo
Esta figura muestra los resultados de la compilacin de las interfaces
seleccionadas.
52

figura 4.5. Los resultados de "compilar" el cuadro de dilogo
de la ventana de la izquierda se enumeran los nombres de interfaz. Los
resultados de una interfaz individual se muestran en la ventana de la
derecha cuando se selecciona.
4.8. "Aadir nuevas interfaces" cuadro de dilogo
como un punto central para administrar interfaces este cuadro de dilogo
consta de tres pestaas para aadir o quitar las interfaces.
Figura 4.6. "Aadir nuevas interfaces" cuadro de dilogo
53
captura viva de los datos de la red

4.8.1. Agregar o retirar los tubos
Figura 4.7. "Aadir nuevas interfaces - Tubos" cuadro de dilogo
para agregar correctamente una tubera, este tubo ya debe haber sido
creado. Haga clic en el botn Nuevo y escriba el nombre de la
canalizacin y su ruta. Alternativamente, se puede utilizar el botn
Examinar para localizar el tubo. Con el botn Guardar el tubo se agrega a
la lista de interfaces disponibles. Posteriormente, se pueden aadir
otros tubos.
Para quitar un tubo en la lista de interfaces que primero tiene que ser
seleccionada. A continuacin, haga clic en el botn Eliminar.
4.8.2. Agregar u ocultar las interfaces locales
Figura 4.8. "Aadir nuevas interfaces - Interfaces locales" cuadro de
dilogo
La pestaa "Interfaces locales" contiene una lista de las interfaces
locales disponibles, incluyendo los ocultos, que no aparecen en las otras
listas.
54

si una nueva interfaz local se agrega, por ejemplo, una interfaz
inalmbrica ha sido activado, no se agrega automticamente a la lista
para evitar el constante anlisis de un cambio en la lista de interfaces
disponibles. Para renovar la lista una reexploracin puede hacerse.
Una forma de ocultar una interfaz es cambiar las preferencias. Si la
casilla de verificacin "Ocultar" est activada y haga clic en el botn
Aplicar, la interfaz no se ven en las listas de los "Interfaces" de
Captura de cuadro de dilogo. Los cambios se guardan en el archivo de
preferencias.
4.8.3. Agregar u ocultar las interfaces remotas
Figura 4.9. "Aadir nuevas interfaces - Interfaces remotas" cuadro de
dilogo
en esta pestaa interfaces en hosts remotos pueden ser agregados. Una o
ms de estas interfaces pueden estar ocultos. En contraste con las
interfaces locales no se guardan en el archivo de preferencias.
Para quitar un host incluyendo todas sus interfaces en la lista, tiene
que ser seleccionado. A continuacin, haga clic en el botn Eliminar.
Para una descripcin detallada consulte Seccin 4.9, "la captura remota
de Interfaces" cuadro de dilogo"
4.9. La captura remota "Interfaces" cuadro de dilogo
adems de hacer la captura de interfaces locales Wireshark es capaz de
alcanzar a travs de la red a un demonio llamado capture o procesos de
servicio para recibir datos capturados.
Slo Microsoft Windows
este dilogo y capacidad slo est disponible en Microsoft Windows. En
Linux/Unix, puede lograr el mismo efecto (de forma segura) a travs de un
tnel SSH.
El servicio de Protocolo de Captura de paquetes remotos debe estar
ejecutndose en la plataforma de destino antes de Wireshark puede
conectarse a ella. La forma ms sencilla es instalar WinPcap desde
Https://www.winpcap.org/install/ en el destino. Una vez completada la
instalacin vaya al panel de control de servicios, busque el servicio de
Protocolo de Captura de paquetes remotos e iniciarlo.
55
Captura de datos de red viva

Nota
Asegrese de que tiene acceso exterior al puerto 2002 de la plataforma de
destino. Este es el puerto donde el servicio de Protocolo de Captura de
paquetes remotos puede ser alcanzado por defecto.
Para acceder a las interfaces de dilogo Remote Capture utilice el botn
"Aadir nuevas interfaces - Remoto" de dilogo. Consulte la Figura 4.9,
"aadir nuevas interfaces - Interfaces remotas" cuadro de dilogo" y
seleccione Aadir.
4.9.1. Interfaces de captura remota
Figura 4.10. La captura remota "Interfaces" cuadro de dilogo
tiene que configurar los siguientes parmetros en el cuadro de dilogo
Host: introduzca la direccin IP o nombre de host de la plataforma de
destino donde el servicio de Protocolo de Captura de paquetes remotos
est escuchando. La lista desplegable contiene los hosts que han sido
previamente contactados exitosamente. La lista puede estar vaca
seleccionando "Borrar lista" de la lista desplegable.
Establecer el nmero de puerto del puerto donde el servicio de Protocolo
de Captura de paquetes remotos est escuchando. Dejar abierta para usar
el puerto predeterminado (2002).
Autenticacin nula Seleccione esta opcin si no necesita autenticacin
para tomar el lugar de captura remota para ser iniciado. Esto depende de
la plataforma de destino. Configuracin de la plataforma de destino como
este hace insegura.
Autenticacin de contrasea Esta es la forma habitual de conexin a una
plataforma de destino. Establecer las credenciales necesarias para
conectarse al servicio de Protocolo de Captura de paquetes remotos.
4.9.2. Configuracin de Remote Capture
la captura remota puede ser ajustado para adaptarse a su situacin. El
botn Configuracin remota en la Figura 4.4, "La ventana "Editar" el
cuadro de dilogo Configuracin de interfaz" te ofrece esta opcin.
Aparece el cuadro de dilogo mostrado en la figura 4.11, "El "Remote"
cuadro de dilogo Ajustes de captura".
56

figura 4.11. La "distancia" cuadro de dilogo Ajustes de captura
se pueden establecer los siguientes parmetros en este cuadro de dilogo:
No capturar trfico RPCAP propio Esta opcin establece un filtro de
captura, de manera que el trfico que fluye de vuelta desde el servicio
de Protocolo de Captura de paquetes remotos a Wireshark no es capturado,
as como tambin enviar atrs. La recursividad en esta satura el vnculo
con el trfico de duplicados.
Usted slo debe desactivar esta opcin cuando se captura en una interfaz
distinta a la que se conectan a la interfaz de Wireshark.
Utiliza UDP para transferir datos de control Remote Capture y los flujos
de datos a travs de una conexin TCP. Esta opcin permite elegir un
stream UDP para la transferencia de datos.
Opcin de muestreo Ninguno Esta opcin indica la distancia del servicio
de Protocolo de Captura de paquetes para enviar todos los paquetes
capturados que han pasado el filtro de captura. Generalmente, esto no es
un problema en una sesin de captura remota con suficiente ancho de
banda.
Opcin de muestreo 1 de x paquetes Esta opcin limita el servicio de
Protocolo de Captura de paquetes remotos para enviar slo una sub-muestra
de los datos capturados, en trminos de nmero de paquetes. Esto permite
capturar ms de una sesin de captura remota de banda estrecha de un
mayor ancho de banda de interfaz.
Opcin de muestreo 1 cada x milisegundos Esta opcin limita el servicio
de Protocolo de Captura de paquetes remotos para enviar slo una sub-
muestra de los datos capturados en trminos de tiempo. Esto permite
capturar ms de una sesin de captura de banda estrecha de un mayor ancho
de banda de interfaz.
4.10. La interfaz "Detalles"
cuando el cuadro de dilogo Seleccionar detalles de la interfaz de
captura del men emergente, Wireshark la interfaz "Detalles" cuadro de
dilogo como se muestra en la figura 4.12, "Detalles de interfaz" cuadro
de dilogo". Este cuadro de dilogo muestra distintas caractersticas y
estadsticas para la interfaz seleccionada.
Slo Microsoft Windows
Este dilogo slo est disponible en Microsoft Windows
57 la
captura de datos de red viva la

figura 4.12. El "cuadro de dilogo Detalles de interfaz"
4.11. Capturar archivos y modos
durante la captura de la libpcap, capturando el motor subyacente se
agarra a los paquetes de la tarjeta de red y mantener los datos de
paquete en un kernel (relativamente) pequea buffer. Este dato es ledo
por Wireshark y guardarse en un archivo de captura.
Por defecto Wireshark guarda los paquetes en un archivo temporal. Tambin
puede decirle a Wireshark para salvar a una especfica ("permanente")
Archivo y cambiar a un archivo diferente despus de que haya transcurrido
un determinado perodo de tiempo o un nmero determinado de paquetes han
sido capturados. Estas opciones estn controladas en el "Output" en la
pestaa "Opciones de captura" de dilogo.
58

figura 4.13. Las opciones de salida de captura de
punta que
trabajan con archivos grandes (de varios cientos de MB) puede ser
bastante lenta. Si usted planea hacer una captura a largo plazo o para
capturar un elevado trfico de red, pensar en utilizar uno de los
"mltiples opciones de archivos". Esto expandir los paquetes capturados
en varios archivos ms pequeos que pueden ser mucho ms agradable para
trabajar.
Utilizando varios archivos puede cortar contexto informacin relacionada.
Wireshark mantiene informacin de contexto de la carga de datos de
paquetes, por lo que pueden informar sobre problemas relacionados con el
contexto (como un error de secuencia) y mantiene la informacin de
contexto protocolos relacionados (por ejemplo, donde se intercambian
datos en la fase de establecimiento y slo se refiere a los paquetes ms
tarde). Como se mantiene esta informacin nicamente para el archivo
cargado, utilizando uno de los mltiples modos de archivo puede cortar
estos contextos. Si el establecimiento de la fase se guarda en un archivo
y las cosas que te gustara ver en otro, puede que no vea algunos de los
valioso contexto informacin relacionada.
Informacin acerca de las carpetas utilizadas para capturar archivos
pueden encontrarse en el Apndice B, Archivos y carpetas.
La tabla 4.1. Archivo de captura del modo seleccionado en las opciones de
captura de
"Crear un nombre de archivo "utilizar un modo circular, el nombre de
archivo resultante(s) utiliza un nuevo archivo..." buffer..."
- - - un archivo temporal wiresharkXXXXXX (donde xxxxxx es un nmero
nico)
foo.cap - - un nico fichero foo.cap foo.cap x - varios archivos,
foo_00001_20100205110102.cap, continua foo_00002_20100205110318.cap, ...
foo.cap x x varios archivos, anillo foo_00001_20100205110102.cap, buffer
foo_00002_20100205110318.cap, ...
Solo un archivo temporal se crear un archivo temporal y utilizado (esta
es la opcin predeterminada). Despus de la captura se detiene este
archivo se puede guardar posteriormente bajo el nombre de usuario
especificado.
59
Captura de datos de red en vivo

nico llamado archivo de un nico archivo de captura ser utilizado. Si
desea colocar el nuevo archivo de captura en una determinada carpeta,
elija este modo.
Varios archivos, continua como el "nico denominado archivo" modo, pero
se crea un nuevo archivo y utiliza despus de alcanzar uno de los
interruptor archivo mltiples condiciones (uno de los siguiente valores
cada archivo ...").
Varios archivos, anillo varios archivos muy parecido al "continuo",
alcanzando uno de los mltiples archivos contacto condiciones (uno de los
"Siguiente archivo cada ..." valores) pasar al siguiente archivo. Este
ser un archivo recin creado si el valor de "bfer con n archivos" no se
alcanza, ya que de lo contrario se reemplazar al ms antiguo de los
archivos utilizados anteriormente (formando un "anillo"). De este modo
limitar el uso mximo de disco, incluso para una cantidad ilimitada de
capturar datos de entrada, slo manteniendo los ltimos datos capturados.
4.12. Tipo de cabezal de capa de vnculo
en la mayora de los casos, no tendr que modificar el tipo de cabezal de
capa de enlace. Algunos exceaptions son como sigue:
Si est capturando en un dispositivo Ethernet puede ser ofrecido una
opcin de "Ethernet" o "DOCSIS". Si est capturando el trfico procedente
de un sistema de terminacin de mdem de cable de Cisco que est poniendo
en el trfico Ethernet DOCSIS para ser capturado, seleccione "DOCSIS", de
lo contrario, seleccione "Ethernet".
Si est capturando en un dispositivo 802.11 en algunas versiones de BSD
puede ser ofrecido una opcin de "Ethernet" o "802.11". "Ethernet" har
que los paquetes capturados para tener fake ("cocinado") Ethernet
encabezados. "802.11" les har tener plena cabezales IEEE 802.11. A menos
que la captura debe ser ledo por una aplicacin que no admite
encabezados 802.11 debe seleccionar "802.11".
Si est capturando en un DAG Endace tarjeta conectada a una lnea serial
sincrnica puede ser ofrecido una opcin de "PPP en serie" o "HDLC de
Cisco". Si el protocolo de lnea serial es PPP, seleccione "PPP en serie"
y si el protocolo de lnea serial es HDLC de Cisco, seleccione "HDLC de
Cisco".
Si est capturando en un DAG Endace tarjeta conectada a una red ATM puede
ser ofrecido una opcin de "RFC 1483 IP sobre ATM" o "Sun materias ATM".
Si el trfico slo ser capturado es RFC 1483 LLC- IP encapsulado, o si la
captura debe ser ledo por una aplicacin que no admite SunATM
encabezados, seleccione "RFC 1483 IP sobre ATM", de lo contrario,
seleccione "Sun materias ATM".
4.13. Filtrar durante la captura de
Wireshark utiliza el filtro libpcap idioma para filtros de captura. Un
breve resumen de la sintaxis siguiente.
Documentacin completa puede encontrarse en la pgina man de filtro pcap.
Usted puede encontrar un montn de ejemplos de filtros de captura en
https://wiki.wireshark.org/CaptureFilters.
Introduzca el filtro de captura en el campo "Filtro" de Wireshark
"capturar" el cuadro de dilogo Opciones, como se muestra en la Figura
4.3, "El "capturar" el cuadro de dilogo de opciones".
Un filtro de captura toma la forma de una serie de expresiones primitivas
conectadas por conjunciones (y/o) y opcionalmente precedidos por no:
[no] [y|o primitivo [no] ...] primitiva
Un ejemplo se muestra en el ejemplo 4.1, "un filtro de captura para
telnet que capta el trfico hacia y desde un host en particular".
60
Captura de red en vivo

ejemplo de datos 4.1. Un filtro de captura para telnet que capta el
trfico hacia y desde un host en particular
un filtro de captura para telnet que capta el trfico hacia y desde un
host en particular
el puerto TCP 23 y el host 10.0.0.5
Este ejemplo capta trfico telnet hacia y desde el host 10.0.0.5, y
muestra cmo utilizar dos primitivas y conjuncin. Otro ejemplo se
muestra en el ejemplo 4.2, "captar todo el tr fico de telnet no desde
10.0.0.5", y muestra cmo capturar todo el trfico excepto el telnet que
desde 10.0.0.5.
Ejemplo 4.2. Captura todo el tr fico de telnet no desde 10.0.0.5
capturar todo el tr fico de telnet no desde
el puerto TCP 23 10.0.0.5 y 10.0.0.5 no src host
una primitiva es simplemente uno de los siguientes: [src|dst] host
<host>Esta primitiva permite filtrar en una direccin IP o nombre de
host. Opcionalmente puede preceder a la primitiva con la palabra
clave|src dst para especificar que slo estn interesadas en las
direcciones de origen o destino. Si no estn presentes, los paquetes
donde la direccin especificada aparece como el origen o el destino
direccin ser seleccionado.
ter [src|dst] host <ehost>Esta primitiva permite filtrar las direcciones
de host Ethernet. Opcionalmente, puede incluir la palabra clave src|dst
entre las palabras clave de ter y host para especificar que slo estn
interesadas en las direcciones de origen o destino. Si no estn
presentes, los paquetes donde aparece la direccin especificada en la
direccin de origen o destino ser seleccionado
host de puerta de enlace. <host>Esta primitiva permite filtrar los
paquetes que utiliza como host en un gateway. Es decir, cuando la fuente
o destino Ethernet fue anfitrin, pero ni el origen ni el destino
direccin IP fue anfitrin.
[Src dst]|net <net>[{Mscara <mask>}|{len <len>}] Esta primitiva le
permite filtrar por nmeros de red. Opcionalmente puede preceder a esta
primitiva con la palabra clave|src dst para especificar que slo estn
interesadas en una red de origen o destino.
Si ninguno de estos paquetes estn presentes, sern seleccionados que
tienen la red especificada en la direccin de origen o destino. Adems,
puede especificar la mscara de red o el prefijo CIDR para la red si son
diferentes de los suyos propios.
[Tcp|udp] [src dst]|port <port>Esta primitiva permite filtrar sobre los
nmeros de puerto TCP y UDP. Opcionalmente puede preceder a esta
primitiva con las palabras clave|src dst|UDP y TCP que le permiten
especificar que slo estn interesados en los puertos de origen o destino
y paquetes TCP o UDP, respectivamente. Las palabras clave deben aparecer
tcp|udp antes|src dst.
Si no se especifican, los paquetes sern seleccionados tanto para los
protocolos TCP y UDP, y cuando aparece la direccin especificada en el
campo Puerto de origen o destino.
Menos|mayor <length>Esta primitiva permite filtrar los paquetes cuya
duracin es inferior o igual a la longitud especificada, o mayor o igual
que la longitud especificada, respectivamente.
ip|ether proto <protocol>Esta primitiva permite filtrar segn el
protocolo especificado en la capa Ethernet o la capa IP.
61

el ter|broadcast ip|multicast esta primitiva permite filtrar IP sobre
Ethernet o las difusiones simples o mltiples.
<expr>Relop <expr>Esta primitiva permite crear complejas expresiones de
filtro que selecciona bytes o rangos de bytes de los paquetes. Consulte
la pgina man de filtro pcap en Http://www.tcpdump.org/manpages/pcap-
filter.7.html para ms detalles.
4.13.1. Filtrado de trfico remoto automtico
Si Wireshark se ejecuta de forma remota (utilizando, por ejemplo, SSH,
exporta una ventana X11, un servidor Terminal Server, ...), el contenido
remoto tiene que ser transportado a travs de la red, aadiendo una gran
cantidad de (generalmente insignificante) paquetes al trfico realmente
interesante.
Para evitar esto, Wireshark intenta averiguar si est conectado de forma
remota (mirando algunas variables de entorno especficas) y crea
automticamente un filtro de captura que coincide con aspectos de la
conexin.
Las siguientes variables de entorno son analizados:
SSH_CONNECTION (ssh) <remote IP><remote port><local IP><local port>
SSH_CLIENT (ssh) <remote IP><remote port><local port>
REMOTEHOST (tcsh, otros?) <remote name>
DISPLAY (x11) [nombre remoto]: <display num>
Nombresesin (terminal server). <remote name>
En Windows solicita el sistema operativo si se est ejecutando en un
entorno de Servicios de Escritorio remoto.
4.13.2. Detener la ejecucin capturar
una sesin de captura se detendr en uno de los siguientes modos:
1. Mediante el botn Stop de la captura de "Info" cuadro de dilogo.
Nota
La captura de "Info" cuadro de dilogo podra estar oculto si la opcin
"Ocultar informacin de captura se utiliza la opcin del dilogo".
1. Detener captura utilizando el elemento de men.
2. Utilizando el botn de la barra de herramientas Detener.
3. Pulsando Ctrl+E.
4. La captura se detiene automticamente si se cumplen las condiciones de
parada, por ejemplo, la mxima cantidad de datos fue capturado.
62

4.13.3. Reiniciar una marcha capturar
una sesin de captura de ejecucin puede reiniciarse con las mismas
opciones de captura como la ltima vez, esto eliminar todos los paquetes
previamente capturados. Esto puede ser til, si algunos interesantes
paquetes son capturados y no hay necesidad de mantenerlos.
Restart es una funcin de conveniencia y equivalente a un tope de captura
tras un inicio de captura de inmediato.
Un reinicio puede desencadenarse en una de las siguientes formas:
1. Utilizando el elemento de men Capture Reiniciar.
2. Reiniciar utilizando el botn de la barra de herramientas.
63
Captulo 5. Archivo de entrada, salida y la impresin

5.1. Introduccin En
este captulo se describe la entrada y salida de la captura de datos.
Abra Captura de archivos en diversos formatos de archivo de captura
Guardar y exportar archivos de captura en diversos formatos de archivo de
captura Fusionar archivos de captura juntos Importar archivos de
texto que contienen los vuelcos hexadecimales de paquetes Impresin de
paquetes
5.2. Abrir archivos de captura
Wireshark puede leer archivos de captura previamente guardado. Para
leerlos, simplemente seleccione el Archivo Abrir un men o un elemento
de barra de herramientas. Wireshark aparecer el "archivo abierto"
(cuadro de dilogo), que se examina en ms detalle en la seccin 5.2.1,
"El "Abrir archivo de captura" cuadro de dilogo".
Es conveniente usar arrastrar y soltar
puede abrir un archivo, simplemente arrastrando en el administrador de
archivos y colocndolo en la ventana principal de Wireshark. Sin embargo,
drag-and-drop pueden no estar disponibles en todos los entornos de
escritorio.
Si no ha guardado el archivo de captura actual se le pedir que lo haga
para evitar la prdida de datos.
Esta advertencia se puede desactivar en las preferencias.
Adems de su formato de archivo nativo (pcapng), Wireshark puede leer y
escribir archivos de captura de un gran nmero de otros programas de
captura de paquetes. Consulte la seccin 5.2.2, "Formatos de archivo de
entrada" para obtener la lista de formatos de captura Wireshark
comprende.
5.2.1. El "Abrir archivo de captura"
el cuadro de dilogo "Abrir archivo de captura" cuadro de dilogo le
permite buscar un archivo de captura que contengan paquetes capturados
previamente para su visualizacin en Wireshark. En las secciones
siguientes se muestran algunos ejemplos de Wireshark dilogo "Abrir
archivo". La aparicin de este cuadro de dilogo depende del sistema. Sin
embargo, la funcionalidad debe ser el mismo en todos los sistemas.
Comportamiento de dilogo comn en todos los sistemas:
Seleccionar archivos y directorios.
Haga clic en el botn Abrir o Aceptar para aceptar el archivo
seleccionado y abrirlo.
Haga clic en el botn Cancelar para volver a Wireshark y no carga un
archivo de captura.
Wireshark extensiones al comportamiento estndar de estos dilogos:
64
Archivo de entrada, salida e impresin

Ver archivo de informacin previa, como el tamao del archivo y el
nmero de paquetes seleccionados de un archivo de captura.
Especificar un filtro de visualizacin con el botn de filtro y campo
de filtro. Este filtro ser utilizada para abrir el nuevo archivo. El
campo de texto se convierte en fondo verde para una cadena de filtro
vlido y rojo para una invlida.
Al hacer clic en el botn Filtro causas Wireshark para abrir el cuadro de
dilogo "filtros" (que se discute en la seccin 6.3, "Filtrado de
paquetes mientras viewing").
Especificar qu tipo de resolucin de nombres que debe realizarse para
todos los paquetes haciendo clic en uno de los "..." La resolucin de
nombres de botones de comprobacin. Los detalles acerca de la resolucin
de nombres puede encontrarse en Seccin 7.9, "Resolucin de nombres".
Ahorrar mucho tiempo cargando enormes archivos de captura
puede cambiar el filtro de pantalla y la resolucin de nombres de
configuracin ms adelante durante la visualizacin de los paquetes. Sin
embargo, la carga de enormes archivos de captura puede requerir una
cantidad significativa de tiempo extra si se cambian estas opciones ms
adelante, de modo que en tales situaciones puede ser una buena idea
establecer al menos el filtro por adelantado aqu.
Figura 5.1. "Abierto" en Microsoft Windows
Este es el dilogo de abrir archivo de Windows habituales, adems de
algunas extensiones de Wireshark.
65
especfico para este dilogo:
El botn Ayuda te llevar a esta seccin de este "Gua del usuario".
Figura 5.2. "Abierto": Linux y UNIX
es el Gimp comn/GNOME File Open dialog plus algunas extensiones de
Wireshark.
Especfico para este dilogo:
El botn + le permite agregar un directorio seleccionado en el panel de
la derecha de la lista de favoritos en la parte izquierda. Estos cambios
son persistentes.
El botn - le permite quitar un directorio seleccionado de la lista.
Algunos elementos (como "Escritorio") no puede ser retirado de la lista
de favoritos.
Si Wireshark no reconoce el archivo seleccionado como un archivo de
captura se atena el botn Abrir.
5.2.2. Formatos de archivo de entrada
Los siguientes formatos de archivo de otras herramientas de captura puede
abrirse con Wireshark:
pcapng. Un sistema flexible, etensible sucesor del formato libpcap.
Wireshark 1.8 y posteriormente guardar archivos como pcapng por defecto.
Las versiones anteriores a la 1.8 utilizan libpcap.
Libpcap. El formato predeterminado que utiliza la biblioteca de captura
de paquetes libpcap. Utilizado por tcpdump, _Nmap Snort, ntop, y muchas
otras herramientas.
Oracle (antes Sun) y snoop atmsnoop Finisar (previamente Shomiti)
Agrimensor captura
66

Microsoft Network Monitor captura Novell LANalyzer captura AIX
iptrace captura Cinco redes captura NetXray Network Associates
Sniffer basado en Windows y Sniffer Pro captura Red General/Network
Associates Sniffer basado en DOS (comprimido o sin comprimir) captura
AG/Grupo/Savvius WildPackets
EtherPeek/TokenPeek/AiroPeek/EtherHelp/PacketGrabber captura RADCOM
WAN/LAN del analizador captura Network Instruments Observer versin 9
captura Lucent/Ascend router debug output HP-UX de nettl Toshiba's
routers RDSI salida de vuelco ISDN4BSD i4btrace Utilidad de trazas de
los EyeSDN S0 USB formato IPLog del Cisco Secure Intrusion Detection
System pppd logs (formato pppdump) La salida de VM's
TCPIPtrace/TCPtrace/UCX$TRACE utilidades La salida de texto de la DBS
Etherwatch VMS utilidad Visual Networks' Visual UpTime captura del
trfico La salida de coseno L2 La salida de depuracin de Accellent
5Opiniones agentes LAN Sistemas de medicin Endace' ERF Formato captura
Linux Bluez Bluetooth stack traces hcidump -w Catapulta DCT2000
.archivos Gammu genera la salida de texto de los telfonos Nokia DCT3
en modo Netmonitor Serie IBM (OS/400) Comm rastros (ASCII y Unicode)
Juniper Netscreen snoop captura Symbian OS btsnoop captura Tamosoft
CommView captura Textronix K12xx .rf5 de 32 bits captura Textronix
formato K12 formato de archivo de texto capta
67

Apple PacketLogger captura Captura de Aethra' PC108 Software de
telecomunicaciones para su Los instrumentos de prueba de los
nuevos formatos de archivo se agregan a partir de tiempo al tiempo.
Puede que no sea posible leer algunos formatos dependientes de los tipos
de paquetes capturados. Captura Ethernet generalmente son compatibles
para la mayora de los formatos de archivo, pero puede que no sea posible
leer otros tipos de paquetes como PPP o IEEE 802.11 de todos los formatos
de archivo.
5.3. Guardar los paquetes capturados
se pueden guardar los paquetes capturados utilizando simplemente el
Archivo Guardar como... del men. Puede elegir qu paquetes para
guardar y el formato de archivo que se utiliza.
No toda la informacin se guardar en un archivo de captura. Por ejemplo,
la mayora de los formatos de archivo no registran el nmero de paquetes
perdidos. Vase la seccin B.1, "Captura de archivos" para obtener ms
detalles.
5.3.1. "Guardar como archivo de captura" el cuadro de dilogo "Guardar
como" del archivo de captura (cuadro de dilogo) le permite guardar la
captura actual en un archivo. En las secciones siguientes se muestran
algunos ejemplos de este cuadro de dilogo. La aparicin de este
cuadro de dilogo depende del sistema.
Sin embargo, la funcionalidad debe ser el mismo en todos los sistemas.
Figura 5.3. "Guardar" en Microsoft Windows
68, el
archivo de entrada, salida e impresin

Este es el cuadro de dilogo Guardar archivo de Windows comn con algunas
extensiones adicionales de Wireshark.
Un comportamiento especfico para este dilogo:
Si est disponible, el botn de "Ayuda" le llevar a esta seccin de
este "Gua del usuario".
Si no proporciona una extensin de archivo para el archivo (por ej.
.Pcap) Wireshark anexar la extensin de archivo estndar para el formato
de archivo.
Figura 5.4. "Guardar" en Linux y UNIX
es el Gimp comn/GNOME dilogo guardar archivos con extensiones
adicionales de Wireshark.
Especfico para este dilogo:
Haga clic en el + en "Buscar otras carpetas" le permite explorar los
archivos y carpetas del sistema de archivos.
Con este cuadro de dilogo, puede realizar las siguientes acciones:
1. Escriba el nombre del archivo que desea guardar los paquetes
capturados en, como un estndar de nombre de archivo en el sistema de
archivos.
69
Archivo de entrada, salida y la impresin

2. Seleccione el directorio para guardar el archivo.
3. Seleccione el rango de los paquetes se guardan. Consulte Seccin 5.9,
"paquetes" de la gama "frame".
4. Especificar el formato del archivo de captura guardado haciendo clic
en el cuadro desplegable de tipo de archivo. Puede elegir uno de los
tipos descritos en la seccin 5.3.2, "Formatos de archivo de salida".
Algunos formatos de captura pueden no estar disponibles dependiendo del
tipo de paquetes capturados.
Wireshark puede convertir formatos de archivo de
captura puede convertir archivos de un formato a otro mediante la lectura
de un archivo de captura y escribir utilizando un formato diferente.
1. Haga clic en el botn Guardar o el botn OK para aceptar y guardar el
archivo seleccionado. Si Wireshark tiene un problema al guardar los
paquetes capturados en el archivo especificado se mostrar un cuadro de
dilogo de error. Despus de hacer clic en Aceptar en el cuadro de
dilogo de error que puedes intentarlo de nuevo.
2. Haga clic en el botn Cancelar para volver a Wireshark sin guardar los
paquetes.
5.3.2. Formatos de archivos de salida
Wireshark puede guardar los paquetes de datos en su formato de archivo
nativo (pcapng) y en los formatos de archivo de otros analizadores de
protocolo para otras herramientas pueden leer la captura de datos.
Formatos de archivo diferentes tienen diferentes time stamp precisiones
Guardar desde el formato de archivo utilizado actualmente a un formato
diferente puede reducir la precisin de la hora; consulte la seccin 7.6,
"sellos de tiempo" para ms detalles.
Los siguientes formatos de archivo pueden guardarse por Wireshark (con
las extensiones de archivo conocidas):
pcapng (.pcapng). Un sistema flexible, etensible sucesor del formato
libpcap. Wireshark 1.8 y posteriormente guardar archivos como pcapng por
defecto. Las versiones anteriores a la 1.8 utilizan libpcap.
Libpcap, tcpdump y varias otras herramientas mediante la captura
tcpdump formato (*.pcap,.cap.dmp) Accellent 5Opiniones (5.vw) HP-
UX de nettl (.TRC0.TRC1) Microsoft Network Monitor - NetMon (.cap)
Sniffer de Network Associates - DOS (.cap,.enc.trc,fdc,.syc)
Sniffer de Network Associates - Windows (*.cap) Network Instruments
Observer versin 9 (.BFR) Novell LANalyzer (.TR1) Oracle (antes
Sun) snoop (.snoop,.pac) Redes visuales Visual UpTime trfico (.)
70
Archivo de entrada, salida e impresin de

formatos de archivo nuevos se agregan a partir de tiempo al tiempo.
Si o no las herramientas anteriores sern ms tiles que Wireshark es una
pregunta diferente ;-)
analizadores de protocolo de terceros puede requerir extensiones de
archivo especficas
Wireshark examina el contenido de un fichero para determinar su tipo.
Algunos otros analizadores de protocolo slo mirar a las extensiones de
nombre de archivo. Por ejemplo, puede que necesite utilizar la extensin
.cap para abrir un archivo usando Sniffer.
5.4. Combinar archivos de captura
a veces es necesario combinar varios archivos de captura en uno solo. Por
ejemplo, esto puede ser til si has captado simultneamente desde varias
interfaces a la vez (por ejemplo, usando varias instancias de Wireshark).
Hay tres formas de combinar archivos de captura con Wireshark:
Utilice el men Archivo Merge para abrir el cuadro de dilogo
"Combinar". Consulte la seccin 5.4.1, "El "Combinar con el archivo de
captura" cuadro de dilogo". Este elemento de men estar deshabilitado a
menos que se ha cargado un archivo de captura.
Utilice la funcin arrastrar y soltar para colocar varios archivos en
la ventana principal. Wireshark intentar combinar los paquetes en orden
cronolgico, desde los archivos colocados en un archivo temporal recin
creada. Si coloca un nico archivo simplemente sustituir la captura
existente.
Utilice la herramienta mergecap, una herramienta de lnea de comandos
para combinar archivos de captura. Esta herramienta proporciona ms
opciones para combinar archivos de captura. Consulte Seccin D.8,
"mergecap: combinar varios archivos de captura en uno" para obtener ms
detalles.
5.4.1. "Mezclar con el archivo de captura" cuadro de dilogo
Este cuadro de dilogo le permite seleccionar un archivo que se
combinarn en el archivo cargado. Si los datos actuales no se ha
guardado, se le pedir que guarde primero.
La mayora de los controles de este cuadro de dilogo funcionan de la
misma forma como se describe en la seccin "Abrir archivo de captura"
cuadro de dilogo, consulte Seccin 5.2.1, "El "Abrir archivo de captura"
cuadro de dilogo".
Controles especficos de este dilogo fusionar son:
anteponer los paquetes al archivo existente anteponer los paquetes desde
el archivo seleccionado antes los paquetes cargados actualmente.
Paquetes de combinacin cronolgicamente combinar los paquetes desde el
archivo seleccionado y cargado actualmente en orden cronolgico.
Agregar paquetes al archivo existente anexar los paquetes desde el
archivo seleccionado despus los paquetes cargados actualmente.
71
Archivo de entrada, salida y la impresin de la

Figura 5.5. "Combinar" en Microsoft Windows
Este es el dilogo de abrir archivo de Windows comunes con otras
extensiones de Wireshark.
Figura 5.6. "Fusionar" en Linux y UNIX
72
File Input, Output, y la impresin
es el Gimp comn/GNOME de dilogo Abrir archivo con extensiones
adicionales de Wireshark.
5.5. Importar hex dump
Wireshark puede leer en un volcado hexadecimal ASCII y escribir los datos
que se describen en un archivo de captura temporal de libpcap. Puede leer
los vuelcos hexadecimales con mltiples paquetes en ellos, y crear un
archivo de captura de paquetes mltiples. Tambin es capaz de generar
ficticia, IP y Ethernet, TCP, UDP o sctp encabezados, a fin de aprovechar
plenamente el paquete de hexdumps procesables volcados de datos slo en
el nivel de la aplicacin.
Wireshark comprende un hexdump del formulario generado por od -Ax -tx1 -
v. En otras palabras, cada byte se muestran individualmente y rodeado con
un espacio. Cada lnea comienza con un desplazamiento que describen la
posicin en el archivo. El desplazamiento es un nmero hexadecimal
(tambin puede ser octal o decimal), de ms de dos dgitos hexadecimales.
Aqu est un ejemplo que puede importarse de volcado:
000000 00 e0 1e a7 05 6f 00 10 ........
000008 5a a0 b9 12 08 00 46 00 ........
000010 03 68 00 00 00 00 0a 2e ........
000018 ee 33 0f 19 08 7f 0f 19 ........
000020 03 80 94 04 00 00 10 01 ........
000028 16 a2 0a 00 03 50 00 0c ........
000030 01 01 0f 19 03 80 11 01 ........
No hay lmite en el ancho o el nmero de bytes por lnea. Tambin el
volcado de texto al final de la lnea se omite. Byte y nmeros
hexadecimales pueden estar en maysculas o minsculas. Cualquier texto
antes de que el desplazamiento se omite, incluyendo caracteres >
Reenvo de correo electrnico. Las lneas de texto entre las lneas
bytestring son ignoradas. Los desplazamientos se utilizan para rastrear
los desplazamientos de bytes, por lo que debe ser la correcta. Cualquier
lnea que slo tiene bytes sin un lder se omite el desplazamiento. Una
desviacin es reconocido como un nmero hexadecimal ms de dos
caracteres. Cualquier texto despus de los bytes es ignorada (por
ejemplo, el personaje dump). Cualquier nmeros hexadecimales en este
texto tambin se ignoran.
Una compensacin de cero es indicativo de empezar un nuevo paquete, para
un nico archivo de texto con una serie de hexdumps puede ser convertida
en una captura de paquetes con varios paquetes. Los paquetes pueden ser
precedidas por un timestamp.
Estos se interpretan segn el formato especificado. Si no es el primer
paquete se registre la fecha y la hora con la hora actual se realiza la
importacin. Varios paquetes se leen con marcas diferentes por un
microsegundo cada uno. En general, a la altura de estas restricciones,
Wireshark es bastante liberales sobre la lectura en hexdumps y ha sido
probado con una variedad de salidas trastocados (incluyendo ser remitida
por correo electrnico varias veces, con ajuste de lnea limitada etc.)
Hay un par de otras caractersticas especiales para la nota. Cualquier
lnea donde el primer carcter distinto de espacio es # ser ignorado
como un comentario. Cualquier lnea que comience con #text2PCAP es una
directiva y las opciones pueden ser insertados despus de este comando se
procesa por Wireshark. Actualmente, no hay directivas aplicadas.
En el futuro, estos pueden ser usados para ofrecer ms control detallado
sobre el volcado y la manera en que debe ser procesado por ejemplo las
marcas de tiempo, tipo de encapsulamiento etc. Wireshark tambin permite
al usuario leer en volcados de datos a nivel de aplicacin, insertando
dummy L2, L3 y L4 los encabezados antes de cada paquete. El usuario puede
optar por insertar encabezados, Ethernet, IP y Ethernet o Ethernet,
TCP/IP y UDP/SCTP encabezados antes de cada paquete.
Esto permite Wireshark o cualquier otro decodificador de paquetes
completos para manejar estos basureros.
5.5.1. El "Import from Hex dump" cuadro de dilogo
Este cuadro de dilogo le permite seleccionar un archivo de texto que
contenga un volcado hexadecimal de paquetes de datos, para ser importados
y establecer parmetros de importacin.
73

Figura 5.7. El "Import from Hex dump" dilogo
controles especficos de este cuadro de dilogo de importacin estn
divididos en dos secciones:
entrada determinar qu archivo de entrada tiene que ser importado y cmo
debe interpretarse.
Determinar cmo importar los datos deben ser importados.
Los parmetros de entrada son los siguientes:
Nombre del archivo / Buscar Introduzca el nombre del archivo de texto
para importar. Puede utilizar el botn Examinar para buscar el archivo.
Offsets Seleccione la raz de los desplazamientos en el archivo de texto
para importar. Esto suele ser hexadecimal, decimal, octal y tambin estn
soportados.
74
Archivo de entrada, salida e impresin de

fecha/hora Marque esta casilla de verificacin si hay marcas de tiempo
asociados con las tramas en el archivo de texto para importar le gustara
usar. De lo contrario, la hora actual se utiliza para la asignacin de
fecha y hora los fotogramas
por segundos, etc. El sencillo formato HH:MM:SS est cubierto por %T.
Para una definicin completa de la sintaxis buscar strptime(3). S% por
minutos, horas, M%% H Este formato es el especificador de formato que se
utiliza para analizar las marcas de tiempo en el archivo de texto para
importar. Utiliza una sintaxis simple para describir el formato de las
marcas, utilizando
los parmetros de importacin son como sigue:
tipo de encapsulacin Aqu puede seleccionar qu tipo de fotogramas que
se estn importando. Todo esto depende de qu tipo de medio para importar
el vuelco fue tomada. Enumera todos los tipos que Wireshark entiende, as
como para pasar el contenido del archivo de captura a la derecha
disector.
Dummy encabezado Encapsulacin de Ethernet se selecciona cuando usted
tiene la opcin para anteponer dummy encabezados a los marcos para la
importacin. Estos encabezados artificial puede proporcionar Ethernet,
IP, UDP o TCP o sctp encabezados y SCTP fragmentos de datos. Al
seleccionar un tipo de cabecera ficticia las entradas correspondientes
estn activados y otros estn atenuadas y se utilizan los valores
predeterminados.
Mxima longitud de trama no puede estar interesado en los cuadros
completos desde el archivo de texto, slo la primera parte. Aqu puede
definir cunto datos desde el inicio de la trama que desea importar. Si
lo deja abierto el mximo es 65535 bytes.
Una vez que todas las entradas y parmetros de importacin son de
configuracin haga clic en Aceptar para iniciar la importacin. Si los
datos actuales no se ha guardado antes, se le pedir que guarde primero.
Cuando haya terminado, habr una nueva captura archivo cargado con las
tramas importada desde el archivo de texto.
5.6. Conjuntos de archivos
cuando se utiliza la opcin "mltiples archivos" mientras realiza una
captura (ver: Seccin 4.11, "Capturar archivos y modos"), la captura de
datos se divide en varios archivos de captura, llamado un conjunto de
archivos.
Como puede volverse tedioso trabajar con un archivo a mano, Wireshark
proporciona algunas funciones para manejar estos conjuntos de archivos de
una forma cmoda.
Wireshark Cmo detectar los archivos de un archivo?
Un nombre de archivo en un conjunto de archivos utiliza el formato
prefijo_number_DateTimeSuffix que podra parecerse a la
test_00001_20060420183910.pcap. Todos los archivos de un conjunto de
archivos comparten el mismo prefijo (ej. "Test") y el sufijo (por ej.
".Pcap") y variacin en la parte media.
Para encontrar los archivos de un conjunto de archivos, Wireshark explora
el directorio donde reside el archivo cargado actualmente y comprueba los
archivos que coinciden con el patrn de nombre de archivo (el prefijo y
el sufijo del archivo cargado actualmente.
Este simple mecanismo normalmente funciona bien pero tiene sus
inconvenientes. Si varios conjuntos de archivos fueron capturados con el
mismo prefijo y sufijo, Wireshark detectar como un nico conjunto de
archivos. Si los archivos se renombra o repartidas en varios directorios
el mecanismo fallar para buscar todos los archivos de un juego.
75
Archivo de entrada, salida y imprimir

las siguientes caractersticas en el submen Archivo Conjunto de
archivos estn disponibles para trabajar con conjuntos de archivos de una
forma cmoda:
La "Lista de archivos" en el cuadro de dilogo de lista los archivos
Wireshark ha reconocido como parte del actual conjunto de archivos.
Siguiente cierra el archivo actual y abre el archivo siguiente en el
archivo.
Cierra el archivo anterior y actual abre el archivo anterior en el
conjunto de archivos.
5.6.1. La "Lista de archivos" cuadro de dilogo
Figura 5.8. La "Lista de archivos" cuadro de dilogo
Cada lnea contiene informacin acerca de un archivo del conjunto de
archivos:
Filename el nombre del archivo. Si hace clic en el nombre del archivo
(o el botn de opcin situado a la izquierda para ella), el archivo
actual se cerrar y el correspondiente archivo de captura se abrir.
Cre la hora de creacin del archivo ltima modificacin la ltima
vez que el archivo fue modificado tamao el tamao del archivo
76
Archivo de entrada, salida y la impresin de

la ltima lnea contendr informacin sobre el directorio donde
actualmente utilizado todos los archivos del conjunto puede ser
encontrado.
El contenido de este cuadro de dilogo se actualiza cada vez que un
archivo de captura est abierto/cerrado.
El botn Cerrar, bien, cierre el cuadro de dilogo.
5.7. Exportar datos
Wireshark ofrece varias formas y formatos para exportar los datos del
paquete. Esta seccin describe los mtodos generales para exportar los
datos de la principal aplicacin de Wireshark. Existen ms funciones
especializadas para exportar datos concretos que se describen en otros
lugares.
5.7.1. La opcin "Exportar como archivo de texto sin formato" el cuadro
de dilogo
Exportar paquetes de datos en un archivo de texto ASCII, similar al
formato utilizado para imprimir paquetes.
Sugerencia
Si desea ser capaz de importar los paquetes previamente exportado desde
un archivo de texto normal se recomienda que:
Aadir el "absoluto" es una columna de fecha y hora.
Ocultar temporalmente el resto de las columnas.
Desactivar el Editar Preferencias Protocolos de datos "no mostrar
datos sobre nuevos disecados packet bytes" del panel de preferencias. Se
proporcionan ms detalles en la seccin 10.5, "Preferencias"
Incluir el paquete lnea de resumen.
Excluir los encabezados de columna.
Excluir detalles del paquete.
Incluir el packet bytes.
77

Figura 5.9. La opcin "Exportar como archivo de texto sin formato"
El cuadro de dilogo "Exportar a archivo" frame: elige el archivo para
exportar los datos del paquete.
El "rango" de paquetes frame es descrito en la seccin 5.9, "paquetes"
de la gama "frame".
El paquete "Detalles" de la trama se describe en Seccin 5.10, "El
formato de paquetes frame".
78

5.7.2. La opcin "Exportar como archivo PostScript" cuadro de dilogo
Figura 5.10. La opcin "Exportar como archivo PostScript" cuadro de
dilogo
Exportar a archivo: bastidor escoge el archivo para exportar los datos
del paquete.
La gama de paquetes frame es descrito en la seccin 5.9, "paquetes" de
la gama "frame".
El bastidor detalles del paquete se describe en Seccin 5.10, "El
formato de paquetes frame".
5.7.3. La opcin "Exportar como archivo CSV (valores separados por
comas)" el cuadro de dilogo
Exportar a CSV resumen de paquete, que se utilizan, por ejemplo, por
programas de hoja de clculo para im-/exportar datos.
del paquete.
la gama "frame".
5.7.4. La opcin "Exportar como C Arrays (packet bytes)" el cuadro de
dilogo
Exportar archivo packet bytes en matrices C para que pueda importar los
datos de la secuencia en su propio programa en C.
del paquete.
79

el fotograma del rango de paquetes como se describe en la seccin 5.9,
"paquetes" de la gama "frame".
5.7.5. La opcin "Exportar como archivo PSML" el cuadro de dilogo
Exportar paquetes de datos en PSML. Este es un formato basado en XML
incluyendo slo el resumen de paquete. La especificacin de archivo PSML
est disponible en:
http://www.nbee.org/doku.php?id=netpdl:psml_specification.
La figura 5.11. La opcin "Exportar como archivo PSML" cuadro de dilogo
del paquete.
la gama "frame".
No hay tal cosa como un paquete para exportacin PSML bastidor detalles,
como el formato del paquete est definido por la especificacin PSML.
5.7.6. La opcin "Exportar como archivo PDML" el cuadro de dilogo
Exportar paquetes de datos en PDML. Este es un formato basado en XML
incluyendo detalles del paquete. La especificacin de archivo PDML est
disponible en: http://www.nbee.org/doku.php?id=netpdl:pdml_specification.
Nota
La especificacin PDML no es oficialmente lanzado y la aplicacin de
Wireshark todava est en estado beta temprana, as que por favor esperar
cambios en futuras versiones de Wireshark.
80

figura 5.12. La opcin "Exportar como archivo PDML" cuadro de dilogo
del paquete.
la gama "frame".
No hay tal cosa como un paquete para exportacin PDML bastidor detalles,
como el formato del paquete est definido por la especificacin PDML.
5.7.7. Selecciona la opcin "Exportar packet bytes" el cuadro de dilogo
Exportar los bytes seleccionados en el panel "Packet Bytes" en un archivo
binario.
81

figura 5.13. Selecciona la opcin "Exportar packet bytes" cuadro de
dilogo
Nombre: el nombre de archivo para exportar los datos del paquete.
El campo Guardar en la carpeta: permite seleccionar la carpeta para
guardar (de algunas carpetas predefinidas).
Buscar otras carpetas proporciona un mtodo flexible para elegir una
carpeta.
5.7.8. "El cuadro de dilogo Exportar objetos"
Esta funcin explora a travs de transmisiones HTTP en la actualidad
abrir archivo de captura o ejecutando la captura y toma recompone objetos
tales como documentos HTML, archivos de imagen, archivos ejecutables y
cualquier otra cosa que pueda ser transferido a travs de HTTP y permite
guardar en disco. Si usted tiene una captura en marcha, esta lista se
actualiza automticamente cada pocos segundos con cualquier nuevo objeto
visto. Los objetos guardados se pueden abrir con el visor adecuado o
ejecutados en el caso de ejecutables (si es para la misma plataforma que
est ejecutando Wireshark) sin ningn trabajo adicional por su parte.
Esta caracterstica no est disponible cuando se utilizan versiones de
GTK2 por debajo de 2,4.
82

figura 5.14. "El cuadro de dilogo Exportar objetos"
Paquete num: El nmero de paquetes en los que este objeto fue
encontrado. En algunos casos, pueden existir varios objetos en el mismo
paquete.
Host: El nombre del host del servidor que envi el objeto como
respuesta a una peticin HTTP.
Tipo de contenido: el tipo de contenido HTTP de este objeto.
Bytes: El tamao de este objeto en bytes.
Filename: la parte final de la URI (despus de la ltima barra). Esto
normalmente es un nombre de archivo, pero puede ser un largo y complejo
buscando cadena, que normalmente indica que el archivo fue recibido en
respuesta a una peticin HTTP POST.
Ayuda: abre esta seccin de la gua del usuario.
Cerrar: Cierra el cuadro de dilogo.
Guardar como: guarda el objeto seleccionado actualmente como un nombre
de archivo que especifique. El nombre de archivo predeterminado para
guardar como est tomado de la columna de nombre de archivo de la lista
de objetos.
Guardar todo: guarda todos los objetos de la lista con el nombre de la
columna de nombre de archivo. Se le preguntar en qu directorio /
carpeta para guardarlos. Si el nombre del archivo no es vlido para el
sistema operativo / Sistema de archivos que se estn ejecutando en
Wireshark, entonces aparecer un error y ese objeto no se guardarn (pero
todos los dems estarn).
5.8. Paquetes de impresin
para imprimir paquetes, seleccione el Archivo Imprimir... del men.
Cuando hagas esto Wireshark abre el cuadro de dilogo "Imprimir" como se
muestra en la figura 5.15, "El cuadro de dilogo "Imprimir"".
83

5.8.1. El cuadro de dilogo "Imprimir" de la
figura 5.15. El cuadro de dilogo "Imprimir" de
los campos siguientes estn disponibles en el cuadro de dilogo de
impresin de la impresora: Este campo contiene un par de botones de radio
mutuamente excluyentes:
Plain Text especifica que el paquete debe ser de impresin en texto sin
formato.
PostScript especifica que el paquete debe utilizar el proceso de
impresin PostScript para generar una mejor impresin en impresoras
PostScript consciente.
Salida a archivo: especifica que la impresin se realiza a un archivo
utilizando el nombre de archivo introducido en el campo o seleccionado
con el botn Examinar.
En este campo se ingresa el archivo a imprimir a si ha seleccionado
Imprimir a un archivo, o puede hacer clic en el botn para examinar el
sistema de ficheros. Es atenuada si Imprimir a un archivo no est
seleccionado.
Impresin de comando especifica que un comando se utiliza para
imprimir.
Nota!
Estos campos son comandos de impresin no est disponible en plataformas
windows.
Este campo especifica el comando que se va a utilizar para imprimir.
Normalmente es de lpr. Tendra que cambiar para especificar una cola en
particular si necesita imprimir a una cola diferente a la predeterminada.
Un ejemplo podra ser:
$ lpr -Pmypostscript
84
File Input, Output, y la impresin de

este campo est atenuado si la salida a un archivo: est seleccionada
anteriormente.
Seleccin de Paquetes Los paquetes para ser impreso, consulte Seccin
5.9, "el "rango" de paquetes frame"
formato de paquetes, seleccione el formato de salida de los paquetes para
ser impreso. Puede elegir, cmo se imprime cada paquete, vea la figura
5.17, "el "Formato" de paquetes frame"
5.9. El "rango" de paquetes frame
El rango de paquetes frame es parte de diversos cuadros de dilogo
relacionados con salida. Proporciona opciones para seleccionar qu
paquetes deben ser procesados por la funcin de salida.
La figura 5.16. El paquete "rango"
si el botn fotograma capturado se configura (valor predeterminado),
todos los paquetes de la regla seleccionada ser procesada. Si aparece el
botn est configurado, slo los paquetes mostrados actualmente se toman
en cuenta para la regla seleccionada.
Todos los paquetes procesar todos los paquetes.
Paquete seleccionado slo procesar solamente el paquete seleccionado.
Paquetes marcados slo el proceso slo los paquetes marcados.
Desde el primero al ltimo paquete marcado procesar los paquetes desde
la primera hasta la ltima marc uno.
Especificar un rango de paquetes procesar un intervalo especificado por
el usuario de los paquetes, por ejemplo, especificando 5,10-15,20-
procesar el paquete nmero cinco, los paquetes de paquete nmero 10 a 15
(inclusive) y todos los paquetes desde el nmero 20 hasta el final de la
captura.
5.10. El formato del paquete frame
El formato de paquetes frame es parte de diversos cuadros de dilogo
relacionados con salida. Proporciona opciones para seleccionar qu partes
de un paquete debe ser utilizado para la funcin de salida.
85

figura 5.17. "El formato de paquetes" frame
lnea de resumen de paquetes permiten la salida de la lnea de resumen,
justo como en el "panel" de la lista de paquetes.
Detalles de paquetes permiten la salida del rbol detalles del paquete.
Contraer todo el Info en el paquete "Detalles" en el panel "Estado
colapsado".
Como se muestra la informacin de los paquetes "Detalles" en el panel
de estado actual.
Toda la informacin ampliada del paquete "Detalles" en el panel
"ampliado" del estado.
Packet bytes permiten la salida del packet bytes, al igual que en el
panel "Packet Bytes".
Cada paquete en una nueva pgina poner cada paquete en una pgina
independiente (por ejemplo, al guardar/imprimir a un archivo de texto, se
pondr un carcter de salto de pgina entre los paquetes).
86
Captulo 6. Trabajar con paquetes capturados

6.1. Ver paquetes que han capturado
una vez hayas capturado algunos paquetes o abrir un archivo de captura
guardado previamente, puede ver los paquetes que se muestran en el panel
de lista de paquetes simplemente haciendo clic en un paquete en el panel
Lista de paquetes, lo cual abrir el paquete seleccionado en la vista de
rbol y paneles de vista de byte.
A continuacin, puede ampliar cualquier parte del rbol para ver
informacin detallada acerca de cada protocolo en cada paquete.
Al hacer clic en un elemento en el rbol destacar los bytes
correspondientes en el byte. Un ejemplo con un paquete TCP seleccionado
se muestra en la Figura 6.1, "Wireshark con un paquete TCP seleccionado
para ver". Tambin tiene el nmero de acuse de recibo en el encabezado
TCP seleccionado, que se muestra en el byte ver como los bytes
seleccionados.
Figura 6.1. Wireshark con un paquete TCP seleccionado para la
visualizacin
tambin puede seleccionar y ver los paquetes de la misma manera mientras
Wireshark es capturar si selecciona "Actualizar la lista de paquetes en
tiempo real" en la opcin "Capturar" el cuadro de dilogo Preferencias.
Adems puede ver los paquetes individuales en una ventana independiente,
como se muestra en la Figura 6.2, "Visualizacin de un paquete en una
ventana independiente". Usted puede hacer esto haciendo doble clic en un
elemento de la lista de paquetes o seleccionando
el paquete en el que usted est interesado en la lista de paquetes panel
y seleccionando Ver Mostrar Paquete en una nueva ventana. Esto le
permite comparar fcilmente dos o ms paquetes, incluso a travs de
mltiples archivos.
87
Trabajar con paquetes capturados

Figura 6.2. Visualizacin de un paquete en una ventana separada
junto con doble clic en la lista de paquetes y usar el men principal hay
un nmero de otras maneras para abrir una nueva ventana del paquete:
Mantenga pulsada la tecla Mays y haga doble clic en un marco en el
enlace detalles del paquete.
En la Tabla 6.2, "los elementos de men de la "Lista de paquetes" del
men emergente".
En la Tabla 6.3, "los elementos del men de los paquetes "Detalles" del
men emergente".
6.2. Los mens emergentes
puede traer un men emergente a travs de la "Lista de paquetes", su
cabecera de columna, o "paquete" de detalles el panel haciendo clic con
el botn derecho del ratn en el panel correspondiente.
88

6.2.1. Men emergente de la lista de "Paquete" encabezado de columna
figura 6.3. Men emergente de la lista de "Paquete" el encabezado de la
columna en
la tabla siguiente se ofrece una descripcin general de las funciones que
estn disponibles en este encabezado, dnde encontrar la funcin
correspondiente en el men principal, y una breve descripcin de cada
elemento.
Tabla 6.1. Los elementos del men de la lista de "paquete" de encabezado
de columna
del men emergente idntico al principal elemento del men Descripcin:
orden ascendente ordenar la lista en orden ascendente de paquetes basado
en esta columna.
Orden descendente ordenar la lista en orden descendente de paquetes
basado en esta columna.
Sin ordenar retirar orden de clasificacin basado en esta columna.
Establecer la alineacin izquierda Alinear a la izquierda de los valores
de esta columna.
Alinear en el centro a Establecer alineacin al centro de los valores de
esta columna.
Establecer alineacin derecha alinear a la derecha de los valores de esta
columna.
Las preferencias de columna... Abra el cuadro de dilogo Preferencias en
la ficha Columna.
Cambiar el tamao de la columna Cambiar el tamao de la columna se ajuste
a los valores.
Cambiar el nombre de la columna Ttulo le permite cambiar el ttulo del
encabezado de la columna.
89

tema idntico al principal elemento del men Descripcin:
Vista de columna que aparece este elemento de men se despliega con una
lista de todas las columnas configuradas. Estas columnas ahora pueden
mostrarse u ocultarse en la lista de paquetes.
Ocultar columna permite ocultar la columna de la lista de paquetes.
Eliminar Columna Permite eliminar la columna de la lista de paquetes.
6.2.2. Men emergente de la lista de paquetes "panel"
Figura 6.4. Men emergente de la lista de paquetes "panel"
la tabla siguiente ofrece una descripcin general de las funciones que
estn disponibles en este panel, donde se puede encontrar la funcin
elemento.
La tabla 6.2. Los elementos del men de los "paquetes" de la lista
del men emergente idntica a la descripcin del artculo del men
principal:
marque el paquete (alternar) Editar marcar o desmarcar un paquete.
Ignorar el paquete (alternar) Editar ignorar o inspeccionar este paquete
mientras disecando el archivo de captura.
Establezca el tiempo de referencia (alternar) Editar/restablecer una
referencia de tiempo.
90

tema idntico al elemento del men principal:
Resolver manualmente la direccin
aplicar como filtro analice
preparar un filtro analice
Filtro Conversacin
Conversacin Colorear
SCTP
Follow TCP Stream analizar
siga Stream UDP Analizar
siga secuencia SSL Analizar
copia/ Resumen (texto)
Copia/ Resumen (CSV)
Copy/ como filtro
copia/ Bytes (desplazamiento de texto hexadecimal)
Copia/ Bytes (Desplazamiento hex)
Copy/ Bytes (slo texto imprimible)
Copia/ bytes hex (Stream)
Copy/ Bytes (flujo binario)
Decodificar Como... Analizar
Imprimir...
Mostrar archivo en una ventana nueva vista de paquetes
91
Descripcin
le permite introducir un nombre para resolver para la direccin
seleccionada.
Preparar y aplicar un filtro de visualizacin basado en el elemento
seleccionado actualmente.
Preparar un filtro de visualizacin basado en el elemento seleccionado
actualmente.
Este elemento de men se aplica un filtro de presentacin con la
informacin de direcciones del paquete seleccionado.
Por ejemplo, el men de entrada de IP se establece un filtro para mostrar
el trfico entre las dos direcciones IP del paquete actual. XXX - Agregar
una nueva seccin que describe este mejor.
Este elemento de men se utiliza un filtro de presentacin con la
informacin de direcciones del paquete seleccionado para crear una nueva
regla de colorear.
Le permite analizar y preparar un filtro para esta asociacin SCTP.
Le permite ver todos los datos de un flujo TCP entre un par de nodos.
Le permite ver todos los datos en una secuencia de datagramas UDP entre
un par de nodos.
Igual que "Follow TCP Stream" pero para SSL. XXX - Agregar una nueva
seccin que describe este mejor.
Copiar los campos de resumen como se muestra en el Portapapeles como
texto separado por tabulaciones.
Copiar los campos de resumen como se muestra en el Portapapeles como
texto separado por comas.
actualmente y copiar ese filtro en el portapapeles.
Copie el packet bytes al portapapeles en formato hexdump-like.
Copie el packet bytes al portapapeles en formato hexdump-como, pero sin
la parte de texto.
Copie el packet bytes en el Portapapeles como texto ASCII, excluyendo los
caracteres no imprimibles.
Copie el packet bytes en el portapapeles como un unpunctuated lista de
dgitos hexadecimales.
Copie el packet bytes en el portapapeles como binario. Los datos se
almacenan en el portapapeles como tipo MIME "application/octet-stream".
Cambiar o aplicar una nueva relacin entre dos disectores.
Paquetes de impresin.
Mostrar el paquete seleccionado en una nueva ventana.

6.2.3. Men emergente del panel "Packet detalles"
Figura 6.5. Men emergente del panel "Detalles" de paquetes
La siguiente tabla ofrece una descripcin general de las funciones que
estn disponibles en este panel, donde se puede encontrar la funcin
elemento.
Tabla 6.3. Los elementos del men de los paquetes "Detalles"
del men emergente idntico al principal elemento del men Descripcin:
ampliar los subrboles ver expandir el subrbol seleccionado actualmente.
Colapso de los subrboles Ver contraer el subrbol seleccionado
actualmente.
Expandir todo Ver Expandir todos los subrboles en todos los paquetes de
la captura.
Contraer todos ver Wireshark mantiene una lista de todos los subrboles
de protocolo que se expanden, y lo utiliza para asegurar que la correcta
los subrboles son expandidas cuando muestra un paquete. Este elemento de
men se contrae la vista de rbol de todos los paquetes en la lista de
captura.
Aplicar como columna usan el protocolo seleccionado elemento para crear
una nueva columna en la lista de paquetes.
Aplicar como filtro analice preparar y aplicar un filtro de visualizacin
basado en el elemento seleccionado actualmente.
Preparar un filtro analice preparar un filtro de visualizacin basado en
el elemento seleccionado actualmente.
92

tema idntico al elemento del men principal:
Colorear con filtro
Follow TCP Stream analizar
siga Stream UDP Analizar
siga secuencia SSL Analizar
copia/ Descripcin Editar
copia/ Fieldname Editar
copia/ Valor Editar
copia/ Como Filtro Editar
copia/ Bytes (desplazamiento de texto hexadecimal)
Copia/ Bytes (Desplazamiento hex)
Copy/ Bytes (slo texto imprimible)
Copia/ bytes hex (Stream)
Copy/ Bytes (flujo binario)
93
Descripcin
Este elemento de men se utiliza un filtro de presentacin con la
informacin del elemento de protocolo seleccionado para crear una nueva
regla de colorear.
Le permite ver todos los datos de un flujo TCP entre un par de nodos.
Le permite ver todos los datos en una secuencia de datagramas UDP entre
un par de nodos.
Igual que "Follow TCP Stream" pero para SSL. XXX - Agregar una nueva
seccin que describe este mejor.
Copie el texto mostrado para el campo seleccionado en el portapapeles del
sistema.
Copie el nombre del campo seleccionado en el portapapeles del sistema.
Copiar el valor del campo seleccionado en el portapapeles del sistema.
actualmente y copiarlo en el portapapeles.
Copie el packet bytes al portapapeles en formato hexdump-like; similar al
panel Lista de paquetes comando, pero slo copia los bytes
correspondientes a la parte seleccionada del rbol (los bytes
seleccionados en el panel packet bytes).
Copie el packet bytes al portapapeles en formato hexdump-como, pero sin
la parte de texto; similar al panel Lista de paquetes comando, pero slo
copia los bytes correspondientes a la parte seleccionada del rbol (los
bytes seleccionados en el panel packet bytes).
Copie el packet bytes en el Portapapeles como texto ASCII, excluyendo los
caracteres no imprimibles; similar al panel Lista de paquetes comando,
pero slo copia los bytes correspondientes a la parte seleccionada del
rbol (los bytes seleccionados en el panel packet bytes).
Copie el packet bytes en el portapapeles como un unpunctuated lista de
dgitos hexadecimales; similar al panel Lista de paquetes comando, pero
slo copia los bytes correspondientes a la parte seleccionada del rbol
(los bytes seleccionados en el panel packet bytes).
Copie el packet bytes en el portapapeles como binario; similar al panel
Lista de paquetes comando, pero slo copia los bytes correspondientes a
la parte seleccionada del rbol (los bytes seleccionados en el panel
packet bytes). Los datos se almacenan en el portapapeles como tipo MIME
"application/octet-stream".

tema idntico al principal elemento del men Descripcin:
Exportar archivo del paquete seleccionado este elemento de men es el
mismo que el elemento de men Archivo Bytes... del mismo nombre. Le
permite exportar materias packet bytes en un archivo binario.
Protocolo Wiki pgina muestran la pgina wiki correspondiente al
protocolo seleccionado actualmente en el explorador web.
Referencia de campo de filtro mostrar el campo Filtro de referencia
correspondiente a la pgina web de protocolo seleccionado actualmente en
el explorador web.
Preferencias de protocolo... El elemento de men le lleva al cuadro de
dilogo de propiedades y selecciona la pgina correspondiente al
protocolo si hay propiedades asociadas con el campo resaltado. Ms
informacin sobre las preferencias pueden encontrarse en la figura 10.7,
"El cuadro de dilogo Preferencias".
Decodificar Como... Analizar los cambios o aplicar una nueva relacin
entre dos disectores.
Deshabilitar el protocolo le permite desactivar temporalmente un disector
del protocolo, que puede estar bloqueando el disector legtimos.
Resolver el nombre vista provoca un problema de resolucin de nombres que
se va a realizar para el paquete seleccionado, pero no todos los paquetes
en la captura.
Vaya a ir de paquete correspondiente si el campo seleccionado tiene un
paquete correspondiente, ir a l. Los paquetes correspondientes ser
generalmente un par de paquetes de solicitud/respuesta o tal.
6.3. Filtrado de paquetes durante la visualizacin de
Wireshark ha filtrado dos idiomas: uno que se utiliza cuando la captura
de paquetes, y uno que se utiliza para mostrar los paquetes. En esta
seccin exploraremos ese segundo tipo de filtro: filtros de
visualizacin. El primero de ellos ya ha sido abordado en la seccin
4.13, "Filtrado" mientras se est capturando.
Filtros de visualizacin le permiten concentrarse en los paquetes que
estn interesados en la actualidad mientras que ocultar las aburridas. Le
permiten seleccionar los paquetes de
protocolo mediante: La presencia de un campo Los valores de los
campos Una comparacin entre campos ... y mucho ms!
Para seleccionar los paquetes basados en el tipo de protocolo,
simplemente escriba el protocolo en el que usted est interesado en el
campo de filtro: filtro en la barra de herramientas de la ventana de
Wireshark y pulse Intro para iniciar el filtro. Figura 6.6, "Filtrado en
el protocolo TCP" muestra un ejemplo de lo que sucede cuando usted
escriba tcp en el campo de filtro.
94

Nota
Todo el protocolo y los nombres de campo se escriben en minsculas.
Adems, no se olvide de presionar ENTRAR despus de escribir la expresin
de filtro.
Figura 6.6. Filtrado en el protocolo TCP
como usted habr notado, solamente los paquetes del protocolo TCP se
muestran ahora (por ejemplo, paquetes 1-10 estn ocultos). La numeracin
de paquetes permanecern como antes, de modo que el primer paquete
mostrado es ahora paquete nmero 11.
Nota
Cuando se utiliza un filtro de pantalla, todos los paquetes permanecen en
el archivo de captura. El filtro de pantalla slo cambia la visualizacin
del archivo de captura, pero no su contenido!
Puede filtrar en cualquier protocolo que Wireshark se entiende. Tambin
puede filtrar por cualquier campo que un disector se agrega a la vista de
rbol, pero slo si el disector ha aadido una abreviatura para el campo.
Una lista de tales campos est disponible en Wireshark en el cuadro de
dilogo Agregar expresin.... Puede encontrar ms informacin sobre el
cuadro de dilogo Agregar expresin... en la seccin 6.5, "La expresin
"Filtrar" cuadro de dilogo".
Por ejemplo, para restringir el panel de lista de paquetes slo aquellos
paquetes a o desde la direccin IP 192.168.0.1, utilice
ip.addr==192.168.0.1.
Nota
Para quitar el filtro, haga clic en el botn Borrar a la derecha del
campo de filtro.
95

6.4. Construccin de expresiones de filtro de pantalla
Wireshark proporciona un sencillo pero potente lenguaje de filtrado de
visualizacin que permite construir expresiones de filtro bastante
complejo. Puede comparar los valores de los paquetes, as como combinar
expresiones en expresiones ms concretas. Las secciones siguientes
proporcionan ms informacin sobre cmo hacerlo.
Sugerencia
Encontrar un montn de ejemplos de filtro de pantalla en Wireshark Wiki
filtro Mostrar pgina:
https://wiki.wireshark.org/DisplayFilters.
6.4.1. Mostrar campos de filtro
cada campo en el panel de detalles del paquete puede ser utilizado como
una cadena de filtro, esto tendr como resultado que muestra solo los
paquetes que este campo existe. Por ejemplo: la cadena de filtro: tcp
mostrar todos los paquetes con el protocolo TCP.
Hay una lista completa de todos los campos de filtro disponibles a travs
del elemento de men Ayuda Protocolos admitidos en la pgina "Mostrar
campos de filtro" de los "Protocolos admitidos" de dilogo.
6.4.2. La comparacin de los valores
puede crear filtros de visualizacin que comparan valores utilizando un
nmero de diferentes operadores de comparacin. stas se muestran en la
Tabla 6.4, "Mostrar filtro operadores de comparacin".
Sugerencia
Puede utilizar ingls y C-al igual que los trminos de la misma manera,
pueden incluso ser mezclado en una cadena de filtro.
La tabla 6.4. Los operadores de comparacin de filtro de pantalla
English C-como una descripcin y un ejemplo
eq == igual. ip.src==10.0.0.5 ne != no igual. ip.src!=10.0.0.5 gt >
mayor. frame.len > 10 lt < Menor. frame.LEN < 128 ge >= Mayor
o igual que. frame.len ge 0x100 le <= Menor o igual a. frame.len <=
0x20
contiene Protocolo, campo o sector contiene un valor. sip.contiene
"a1762"
coincide ~ Protocolo o campo de texto coinciden con Perl regualar
expresin. http.host coincide con "acme\.(org|com|net)" a
nivel de bit_y y comparar el valor de campo de bits. tcp.banderas &
0x02
Adems, todos los campos tienen un tipo de protocolo. Los tipos de campo
de filtro de pantalla proporciona una lista de los tipos y el ejemplo de
cmo expresarlas.
96

Mostrar campo de filtro tipo
entero sin signo puede ser de 8, 16, 24, 32 o 64 bits. Usted puede
expresar enteros en decimal, octal o hexadecimal. Los siguientes filtros
de visualizacin son equivalentes:
ip.len le 1500 ip.ip.02734 le len len le 0x436
entero firmado puede ser de 8, 16, 24, 32 o 64 bits. Como enteros sin
signo puede utilizar decimal, octal o hexadecimal.
Un campo Boolean Boolean est presente en el protocolo decodificar slo
si su valor es true. Por ejemplo, tcp.flags.syn est presente, y por lo
tanto verdadera, slo si el indicador SYN est presente en un segmento
TCP cabezal.
La expresin de filtro +tcp.flags.syn+ slo seleccionar los paquetes
para el whi aquellos paquetes para los cuales existe este distintivo, es
decir, segmentos TCP donde el segmento encabezado contiene el flag SYN.
Del mismo modo, para encontrar la fuente-enrutan paquetes de token ring,
utilice una expresin de filtro de +tr.sr+.
Direccin Ethernet de 6 bytes separados por un signo de dos puntos (:),
punto (.) o un guin (-), con uno o dos bytes entre separadores:
eth.dst == FF:FF:FF:FF:FF:FF eth.dst == FF-FF-FF-FF-FF-FF eth.dst ==
FFFF.FFFF.FFFF
direccin IPv4.ip addr == 192.168.0.1
Classless InterDomain Routing (CIDR) puede ser utilizado para probar si
una direccin IPv4 est en una subred determinada. Por ejemplo, este
filtro de pantalla encontrar todos los paquetes en la red de Clase B
129.111:
ip.addr == 129.111.0.0/16
direccin IPv6 ipv6.addr == ::1
como con direcciones IPv4, las direcciones IPv6 pueden coincidir con una
subred.
Cadena de texto http.request.uri == "Https://www.wireshark.org/"
udp contiene 81:60:03
El ejemplo anterior coinciden con los paquetes que contiene la secuencia
de 3 byte 0x81, 0x60, 0x03 en cualquier parte del encabezado UDP o
paquete.
sip.contiene "a1762" del
ejemplo anterior donde coincidan los paquetes SIP A-encabezado contiene
la cadena "A1762" en cualquier parte de la cabecera
HTTP.host coincide con "acme\.(org|com|net)"
97
Trabajando con paquetes capturados

el ejemplo anterior coinciden paquetes HTTP donde el encabezado de host
contiene acme.org o acme.com o acme.net. Las comparaciones son case-
insensitive. Nota: Wireshark necesita ser construida con libpcre para
poder utilizar los partidos resp. Operador ~.
tcp.banderas & 0x02
que expresin coincidir con todos los paquetes que contienen un
"tcp.flags" de campo con los 0x02 bit, es decir, el bit SYN, establecido.
6.4.3. La combinacin de expresiones
que se pueden combinar expresiones de filtro en Wireshark usando los
operadores lgicos que se muestran en la Tabla 6.5, "Mostrar filtro
operaciones lgicas"
Cuadro 6.5. Filtro de pantalla de operaciones lgicas
English C-como una descripcin y un ejemplo
y && AND lgico. ip.src==10.0.0.5 y tcp.flags.fin o || o lgico.
ip.scr==10.0.0.5 o ip.src==192.1.1.1 xor XOR lgico ^^. tr.dst[0:3] ==
0.6.29 xor tr.src[0:3] == 0.6.29
no ! No lgico. No llc [...] Ver la subcadena "Operador" a continuacin.
Ver "pertenencia" a continuacin del operador.
6.4.4. Operador de subcadena
Wireshark permite seleccionar subsecuencias de una secuencia de formas
bastante elaborada. Despus de una etiqueta puede colocar un par de
corchetes [] que contiene una lista separada por comas de rango
especificadores.
eth.src[0:3] == 00:00:83
El ejemplo anterior utiliza el formato N:M para especificar un rango. En
este caso, n es el desplazamiento inicial y m es la longitud de la gama
especificada.
eth.src[1-2] == 00:83
El ejemplo anterior utiliza la N-m formato para especificar un rango. En
este caso, n es el desplazamiento inicial y m es el fin compensar.
eth.src[:4] == 00:00:83:00
El ejemplo anterior utiliza el formato :m, que tiene de todo, desde el
principio de una secuencia para compensar m. Esto es equivalente a 0:m
eth.src[4]: == 20:20
El ejemplo anterior utiliza la n: formato, que toma todo desde el
desplazamiento n al final de la secuencia.
eth.src[2] == 83
El ejemplo anterior utiliza la n formato para especificar un rango. En
este caso, el elemento de la secuencia en el desplazamiento n
seleccionada. Esto es equivalente a n:1.
ETH.src[0:3,1-2,:4,4:,2] ==
98
Trabajando con paquetes capturados

00:00:83:00:83:00:00:83:00:20:20:83
Wireshark permite encadenar solo rangos en una lista separada por comas
para formar compuestos como los rangos indicados anteriormente.
6.4.5. Operador de pertenencia.
Wireshark permite probar un campo para la pertenencia a un conjunto de
valores o campos. Despus del nombre del campo, use el operador en
seguida por el conjunto de elementos entre llaves {}.
.El puerto tcp en {80 443 8080},
esto puede ser considerado como un operador de acceso directo, como la
expresin anterior podra haberse expresado como:
tcp.puerto == 80 || ==.El puerto TCP 443 ||.El puerto TCP 8080 ==
6.4.6. Un error comn
usando el operador != en combinar expresiones como eth.addr.ip addr.El
puerto tcp y udp.El puerto en cuestin probablemente no funcionarn como
se espera.
A menudo la gente utilice una cadena de filtro para mostrar algo
parecido.ip addr == 1.2.3.4 que mostrar todos los paquetes que contienen
la direccin IP 1.2.3.4.
Entonces ellos utilizan ip.addr != 1.2.3.4 para ver todos los paquetes
que no contengan la direccin IP 1.2.3.4 en ella.
Lamentablemente, esto no es la esperada.
En su lugar, dicha expresin incluso ser cierto para paquetes donde el
origen o el destino es igual a la direccin IP 1.2.3.4. La razn para
esto es que la expresin.ip addr != 1.2.3.4 debe leerse como "El paquete
contiene un campo llamado ip.addr con un valor distinto de 1.2.3.4". Como
un datagrama IP contiene tanto una fuente y una direccin de destino, la
expresin se evala a verdadero cuando al menos una de las dos
direcciones difiere de 1.2.3.4.
Si desea filtrar todos los paquetes que contengan los datagramas IP o
desde la direccin IP 1.2.3.4, entonces el filtro correcto es !(ip.addr
== 1.2.3.4) como se lee "Mustrame todos los paquetes para los cuales no
es cierto que un campo denominado.ip addr existe con un valor de 1.2.3.4"
o, en otras palabras, "filtrar todos los paquetes para los cuales no hay
apariciones de un campo denominado ip addr.con el valor 1.2.3.4".
6.5. La expresin "Filtrar" cuadro de dilogo
cuando estn acostumbrados al sistema de filtracin de Wireshark y saber
qu etiquetas que desea utilizar en los filtros puede resultar muy rpido
simplemente escribir una cadena de filtro. Sin embargo, si eres nuevo en
Wireshark o estn trabajando con un poco de protocolo desconocido puede
ser muy confuso para intentar averiguar qu tipo. La expresin "Filtrar"
cuadro de dilogo ayuda con esto.
Sugerencia
La expresin "Filtrar" cuadro de dilogo es una excelente manera de
aprender a escribir Wireshark filtro mostrar cadenas.
99

Figura 6.7. La expresin "Filtrar" cuadro de dilogo la
primera vez que se abre el cuadro de dilogo Expresin de filtro se le
muestra un rbol de nombres de campo, organizado por protocolo, y un
cuadro para seleccionar una relacin.
Seleccione un nombre de campo campo de protocolo en el campo Protocolo de
rbol. Cada protocolo con campos filtrable aparece en el nivel superior.
(Puede buscar un determinado protocolo entrada introduciendo las primeras
letras del nombre de protocolo). Ampliando un nombre de protocolo puede
obtener una lista de los nombres de campo disponibles para filtrado de
dicho protocolo.
Relacin Seleccionar una relacin de la lista disponible de relacin. La
presente es una relacin unaria que es true si el campo seleccionado est
presente en un paquete. Todas las dems relaciones son relaciones
binarias que requieren datos adicionales (por ejemplo, un valor de
coincidencia) para completar.
Cuando selecciona un campo desde la lista de nombres y seleccione una
relacin binaria (como la relacin de igualdad ==) se le dar la
oportunidad de introducir un valor, y posiblemente alguna informacin de
rango.
Valor que se puede introducir un valor apropiado en el cuadro de texto
Valor. El valor tambin indicar el tipo de valor para el nombre del
campo que ha seleccionado (como cadena de caracteres).
Valores predefinidos algunos de los campos del protocolo tienen valores
predefinidos disponibles, mucho como enum en C. Si el campo protocolo
seleccionado tiene tales valores definidos, puede elegir uno de ellos
aqu.
Rango a rango de nmeros enteros o de un grupo de rangos, como 1-12 o 39-
42,98-2000.
Aceptar cuando haya construido una expresin satisfactoria haga clic en
OK (Aceptar) y una cadena de filtro ser construido para usted.
100
trabaja con paquetes capturados

Cancelar puede dejar la expresin "Agregar..." cuadro de dilogo sin
ningn efecto haciendo clic en el botn Cancelar.
6.6. Definir y guardar filtros
puede definir filtros con Wireshark y darles etiquetas para su posterior
utilizacin. Esto puede ahorrar tiempo en recordar y volver a escribir
algunos de los filtros ms complejos que utilice.
Para definir un filtro nuevo o modificar uno existente, seleccione
Capturar Filtros de captura... o analizar Mostrar filtros....
Wireshark aparecer el cuadro de dilogo Filtros como se muestra en la
Figura 6.8, "El "Filtros de captura" y "Mostrar cuadros de dilogo de
filtros".
Los mecanismos para definir y guardar filtros de captura y filtros de
visualizacin son casi idnticos. Ambos sern descritos aqu, pero las
diferencias entre estos dos sern marcados como tales.
Advertencia
debe utilizar Save para guardar los filtros de forma permanente. Aceptar
o Aplicar no guardar los filtros y se perdern al cerrar Wireshark.
Figura 6.8. Los "Filtros de captura" y "Mostrar cuadros de dilogo de
filtros de
nuevo este botn agrega un filtro nuevo a la lista de filtros. En la
actualidad, valores introducidos de nombre de filtro y se utilizar la
cadena de filtro. Si alguno de estos campos estn vacos, se ajustar a
lo "nuevo".
101

Eliminar Este botn elimina el filtro seleccionado. Ser atenuada, si no
se ha seleccionado ningn filtro.
El filtro puede seleccionar un filtro de esta lista (que se rellena el
nombre del filtro y la cadena de filtro en los campos en la parte de
abajo del cuadro de dilogo).
Nombre del filtro:
puede cambiar el nombre del filtro seleccionado aqu.
El nombre de filtro slo se utilizar en este cuadro de dilogo para
identificar el filtro para su comodidad, no se utilizan en otros lugares.
Puede agregar mltiples filtros con el mismo nombre, pero esto no es muy
til.
Cadena de filtro:
Puede cambiar la cadena de filtro del filtro seleccionado actualmente
aqu. Filtro mostrar slo: la cadena ser comprobar sintaxis mientras
est escribiendo.
Agregar la expresin... Filtro mostrar slo: Este botn abre el cuadro de
dilogo Agregar expresin que ayuda en la creacin de cadenas de filtro.
Puede encontrar ms informacin sobre el cuadro de dilogo Agregar
expresin en Seccin 6.5, "La expresin "Filtrar" cuadro de dilogo"
OK Filtro Mostrar slo: Este botn aplica el filtro seleccionado para la
pantalla actual y cierra el dilogo.
Aplicar filtro Mostrar slo: Este botn aplica el filtro seleccionado
para la visualizacin actual, y mantiene abierto el dilogo.
Guardar la configuracin actual en este dilogo. La ubicacin del archivo
y el formato se explica en el Apndice B, Archivos y carpetas.
Cerrar Cerrar este dilogo. Esto descartar los ajustes.
6.7. Definir y guardar macros del filtro El
filtro se pueden definir macros con Wireshark y darles etiquetas para su
posterior utilizacin. Esto puede ahorrar tiempo en recordar y volver a
escribir algunos de los filtros ms complejos que utilice.
6.8. Encontrar paquetes
puede encontrar fcilmente los paquetes una vez que se han capturado
algunos paquetes o han ledo en un archivo de captura guardado
previamente. Simplemente seleccione el elemento de men Buscar Paquete...
en el men Editar. Wireshark aparecer el cuadro de dilogo mostrado en
la Figura 6.9, "El paquete de "encontrar" cuadro de dilogo".
102

6.8.1. "El cuadro de dilogo Buscar Paquete"
Figura 6.9. El paquete "Encontrar" cuadro de dilogo
puede seleccionar primero el tipo de cosa que buscar:
filtro Mostrar
simplemente introduzca una cadena de filtro de pantalla en el campo de
filtro, seleccione una direccin y haga clic en Aceptar.
Por ejemplo, para encontrar el apretn de manos de tres vas para una
conexin de host 192.168.0.1, utilice la siguiente cadena de filtro:
ip.src==192.168.0.1 y tcp.flags.syn==1
para obtener ms informacin sobre filtros de visualizacin, consulte la
seccin 6.3, "paquetes de filtrado mientras visualiza"
Valor Hex
buscar una determinada secuencia de bytes en los datos del paquete.
Por ejemplo, utilice "00:00" para encontrar el siguiente paquete
incluyendo dos bytes nulos en los datos del paquete.
Buscar una cadena en cadena los datos del paquete, con diversas opciones.
El valor a ser encontrado ser comprobar sintaxis mientras teclea. Si la
comprobacin de sintaxis de su valor se realiza correctamente, el fondo
del campo de entrada se pondr verde, si fracasa, se pondr roja.
Puede elegir la direccin de bsqueda:
Buscar hacia arriba en la lista de paquetes (disminucin de nmeros de

paquetes).
103

buscar hacia abajo en la lista de paquetes (aumento de nmeros de
paquetes).
6.8.2. El comando "Buscar siguiente"
"Buscar siguiente" seguir buscando con las mismas opciones que se
utilizan en el ltimo paquete de "encontrar".
6.8.3. El comando "Buscar" anterior
"Encontrar" anterior har lo mismo como "Buscar siguiente", pero en
sentido inverso.
6.9. Ir a un paquete especfico
puede pasar fcilmente a paquetes especficos con uno de los elementos de
men en el men Ir.
6.9.1. El comando "Go back"
vuelve en el paquete de la historia, funciona como el historial de
pginas en los navegadores web actuales.
6.9.2. El comando "de avance"
avanzar en el paquete de la historia, funciona como el historial de
pginas en los navegadores web actuales.
6.9.3. El paquete "Ir al cuadro de dilogo de la
figura 6.10. El paquete "Ir a" cuadro de dilogo
Este cuadro de dilogo le permitir introducir un nmero de paquetes.
Cuando pulse OK, Wireshark se desplazar a ese paquete.
6.9.4. "Ir a" del paquete correspondiente comando
si se selecciona un campo de protocolo que apunta a otro paquete en el
archivo de captura, este comando se desplazar a ese paquete.
Como estos campos del protocolo ahora funcionan como enlaces (al igual
que en el explorador Web), es ms fcil, simplemente haga doble clic en
el campo para saltar al campo correspondiente.
6.9.5. "Ir a primer Paquete" comando
Este comando simplemente ir al primer paquete muestra.
104

6.9.6. El ltimo paquete de "Ir a" comando
Este comando simplemente ir al ltimo paquete de muestra.
6.10. Marcado de paquetes
puede marcar paquetes en la lista de paquetes "panel". Un paquete marcado
ser mostrada con fondo negro, independientemente del conjunto de reglas
de colores. Marcado de un paquete puede ser til para encontrar ms tarde
mientras analizando en un gran archivo de captura.
Las marcas de paquetes no se almacenan en el archivo de captura o en
cualquier otro lugar. Todas las marcas de paquetes se perdern al cerrar
el archivo de captura.
Puede utilizar el marcado de paquetes para controlar la salida de
paquetes al guardar, exportar o imprimir. Para hacerlo, una opcin en la
gama de paquetes est disponible, consulte la seccin 5.9, "paquetes" de
la gama "frame".
Existen tres funciones para manipular el estado de marcado de un paquete:
Marcar paquete (alternar) alterna el estado de marcado de un nico
paquete.
Marcar todos los paquetes mostrados establecer la marca el estado de
todos los paquetes mostrados.
Desmarcar todos los paquetes restablecer la marca el estado de todos
los paquetes.
Marca de estas funciones estn disponibles desde el men "Editar" y
"marcar paquete" (alternar) funcin tambin est disponible en el men
emergente del panel "Lista de Paquetes".
6.11. Ignorar paquetes
puede ignorar paquetes en la lista de paquetes "panel". Wireshark
entonces paquetes pretender que esto no existe en el archivo de captura.
Ignora un paquete se muestran con fondo blanco y gris en primer plano,
independientemente de la coloracin conjunto de reglas.
El paquete omite las marcas no son almacenados en el archivo de captura o
en cualquier otro lugar. Todos los paquetes "ignorado" las marcas se
perdern al cerrar el archivo de captura.
Existen tres funciones para manipular el estado ignorado de un paquete:
Ignorar packet (alternar) alterna el estado ignorado de un nico
paquete.
Ignorar todos los paquetes mostrados establecer el estado ignorado de
todos los paquetes mostrados.
Todos los paquetes Un-Ignore restablecer el estado ignorado de todos
los paquetes.
Ignorar estas funciones estn disponibles en el men "Editar", y el
"Ignorar" (alternar) paquete de funcin tambin est disponible en el
men emergente del panel "Lista de Paquetes".
6.12. Formatos de visualizacin de la hora y de las referencias de tiempo
mientras que los paquetes son capturados, cada paquete se registre la
fecha y la hora. Estas marcas se guardar en el archivo de captura, por
lo que estar disponible para su posterior anlisis.
105

una descripcin detallada de las marcas de tiempo, zonas horarias y
similares pueden encontrarse en: seccin 7.6, "sellos de tiempo".
Formato de presentacin de la marca y la precisin en la lista de
paquetes puede ser elegido mediante el men Ver, ver Figura 3.5, "El men
"Ver"".
Los formatos de presentacin disponibles son:
La fecha y la hora del da: 1970-01-01 01:02:03.123456 absoluta la
fecha y la hora del da cuando el paquete fue capturado.
Tiempo de da: 01:02:03.123456 el tiempo absoluto de la jornada cuando
el paquete fue capturado.
Segundos desde el inicio de la captura: 123.123456 el tiempo relativo
al inicio del archivo de captura o el primer "Tiempo referencia" antes de
este paquete (vase la seccin 6.12.1, "Packet vez de referencia").
Segundos desde la anterior de paquetes capturados: 1.123456 la hora con
respecto a la anterior de paquetes capturados.
Segundos desde el ltimo paquete: 1.123456 Visualiza la hora con
respecto a la muestra anterior paquete.
Segundos desde el Epoch (1970-01-01): 1234567890.123456 el tiempo
relativo a la poca (la medianoche UTC del 1 de enero de 1970).
Las precisiones (aka. El nmero de decimales mostrados) son:
La precisin de timestamp automtico del formato de archivo de captura
cargado ser utilizada (el valor predeterminado).
Segundos Deciseconds, Centisegundos, milisegundos, microsegundos o
nanosegundos la precisin de timestamp se vern forzados a la
configuracin determinada. Si la precisin realmente disponible es menor,
los ceros se anexar. Si la precisin es mayor, el resto de decimales se
cortar.
Ejemplo de precisin: Si usted tiene una marca de tiempo y se muestra con
"segundos desde el ltimo paquete", :
el valor podra ser 1.123456. Este se mostrar mediante el ajuste
"automtico" para archivos libpcap (microsegundos). Si utiliza segundos
aparecera simplemente 1 y si utiliza nanosegundos muestra 1.123456000.
6.12.1. Tiempo paquetes referenciar
el usuario puede definir las referencias de tiempo a los paquetes. Una
referencia temporal es el punto de partida de todo paquete posterior los
clculos de tiempo. Ser til, si desea ver los valores de tiempo
relativo a un paquete especial, por ejemplo, el inicio de una nueva
solicitud. Es posible definir varias referencias de tiempo en el archivo
de captura.
Las referencias de tiempo no se guardarn permanentemente y se perdern
al cerrar el archivo de captura.
Vez de referencia slo ser til si el formato de visualizacin de tiempo
est ajustado a "segundos desde el inicio de la captura". Si uno de los
otros formatos de visualizacin de tiempo son utilizados, el tiempo
referenciado no tendr ningn efecto (y no tendr ningn sentido
tampoco).
Para trabajar con las referencias de tiempo, elija uno de los elementos
de referencia de tiempo en el men Edicin o en el men emergente del
panel "Lista de Paquetes". Consulte Seccin 3.6, "El men "Editar"".
Set Time Reference (alternar) alterna el estado de referencia de tiempo
el paquete seleccionado a on u off.
Buscar siguiente buscar la prxima vez referenciado en el paquete
"panel" de la lista de paquetes.
Buscar anterior encontrar el tiempo anterior de paquetes referenciados
en el panel "Lista de Paquetes".
106

Figura 6.11. Wireshark mostrando un tiempo referenciado
un tiempo hace referencia a paquetes paquete ser marcado con la cadena
REF en la columna de tiempo (vase el paquete nmero 10). Los
siguientes paquetes mostrar el tiempo transcurrido desde la ltima vez
que referencia.
107
Captulo 7. Temas avanzados

7.1. Introduccin En
este captulo algunas de las funciones avanzadas de Wireshark.
7.2. Tras flujos TCP
si se trabaja con protocolos basados en TCP puede ser muy til para ver
los datos de un flujo TCP en la manera en que la capa de aplicaci n lo
ve. Quiz est buscando contraseas en una secuencia Telnet o si est
intentando dar sentido a una secuencia de datos. Quizs solo necesita un
filtro de visualizacin para mostrar solo los paquetes de ese flujo TCP.
Si es as, la capacidad de Wireshark para seguir un flujo TCP ser til
para usted.
Simplemente seleccione un paquete TCP en la lista de paquetes del
flujo/conexin que le interesa y, a continuacin, seleccione el elemento
de men "Follow TCP Stream" desde el men Herramientas de Wireshark (o
utilice el men contextual de la lista de paquetes). Wireshark se
establezca un filtro de visualizacin apropiado y aparecer un cuadro de
dilogo con todos los datos del flujo TCP establecidas en orden, tal como
se muestra en la Figura 7.1, "El "Follow TCP Stream" cuadro de dilogo".
Sugerencia
la apertura de "Follow TCP Stream" se aplica un filtro de visualizacin
que selecciona todos los paquetes en el flujo de TCP que haya
seleccionado. Algunas personas abren el "Follow TCP Stream" de dilogo y
cierre inmediatamente como una manera rpida de aislar una determinada
secuencia.
7.2.1. El "Follow TCP Stream" cuadro de dilogo de la
Figura 7.1. El "Follow TCP Stream" cuadro de dilogo
108
Temas avanzados
La secuencia se muestra el contenido en la misma secuencia que apareci
en la red. El trfico desde A a B est marcado en rojo, mientras que el
trfico de B a A, est marcada en azul. Si lo desea, puede cambiar estos
colores en la pgina de "Colores" si el cuadro de dilogo "Preferencias".
Los caracteres no imprimibles sern sustituidas por puntos.
Los flujos de contenido no se actualiza mientras realiza una captura
viva. Para obtener el contenido ms reciente tendr que volver a abrir el
cuadro de dilogo.
Puede elegir entre las siguientes acciones:
1. Guardar como: guarda la secuencia de datos en el formato seleccionado
actualmente.
2. Imprimir: Imprime las secuencias de datos en el formato seleccionado
actualmente.
3. Direccin: Elija el flujo en direccin a mostrarse ("Toda la
conversacin", "Datos de A a B slo" o "datos de B a un slo").
4. Filtrar este flujo: se aplica un filtro de presentacin quitando el
actual flujo de TCP de datos desde la pantalla.
5. Cerrar: Cierra el cuadro de dilogo, dejando el filtro de
visualizacin actual en efecto.
Puede elegir ver los datos en uno de los siguientes formatos:
1. ASCII: En esta vista puede ver los datos de cada direccin en ASCII.
Obviamente mejor para protocolos basados en ASCII, por ejemplo, HTTP.
2. EBCDIC: Para los grandes fanticos de hierro.
3. HEX Dump: Esta opcin le permite ver todos los datos. Esto requerir
una gran cantidad de espacio en la pantalla y se usa mejor con protocolos
binarios.
4. C Matrices: Esto le permite importar los datos de la secuencia en su
propio programa en C.
5. Raw: Esto le permite cargar el mismo flujo de datos en un programa
diferente para su ulterior examen. La pantalla tendr el mismo aspecto
que el valor ASCII, pero "Guardar como" se traducir en un archivo
binario.
7.3. Mostrar packet bytes
si un campo del paquete seleccionado no mostrar todos los bytes (es
decir, que se truncan cuando se muestra) o si se muestran como bytes en
lugar de cadena o si requieren ms formato porque contienen una imagen o
HTML, entonces este dilogo puede ser utilizado.
Este dilogo tambin se puede utilizar para descodificar bytes desde el
campo base64, zlib o comprimido quoted-printable y mostrar los bytes
descodificada como salida configurables. Tambin es posible seleccionar
un subconjunto de bytes ajuste del inicio y final de byte byte.
1. Buscar: Buscar el texto dado. El texto coincidente ser destacado, y
el "Buscar siguiente" buscar ms. En el men de contexto para la
bsqueda de texto se puede configurar para usar una expresin regular
buscar.
2. Imprimir: imprime los bytes en el formato seleccionado actualmente.
3. Copiar: copia los bytes al portapapeles en el formato seleccionado
actualmente.
109
Temas avanzados
4. Guardar como: guarda los bytes en el formato seleccionado actualmente.
5. Cerrar: Cierra el cuadro de dilogo.
7.3.1. Decodificar Como
puede elegir para descodificar los datos de uno de los siguientes
formatos:
1. Ninguno: Este es el valor predeterminado que no descodifica nada.
2. Base64: decode de Base64.
3. Comprimir: Esto va a descomprimir el buffer usando zlib.
4. Entre comillas: decode de una cadena entre comillas.
7.3.2. Mostrar como
puede elegir ver los datos en uno de los siguientes formatos:
ASCII en esta vista puede ver los bytes como ASCII. Todos los caracteres
de control y no bytes ASCII se sustituyen por puntos.
ASCII y en este punto de vista todos los caracteres de control se
muestran utilizando un smbolo UTF-8 y todos los bytes de control no-
ASCII se sustituyen por puntos.
C Esta matriz permite importar los datos de campo en su propio programa
en C.
EBCDIC para los grandes fanticos de hierro.
HEX Dump Esto le permite ver todos los datos. Esto requerir una gran
cantidad de espacio en la pantalla y se usa mejor con protocolos
binarios.
Este HTML le permite ver todos los datos con el formato de un documento
HTML. Admite el HTML es lo que est apoyado por la clase QTextEdit Qt.
Imagen Este intentar convertir los bytes en una imagen. Imgenes
soportados son lo admitido por la clase QImage Qt.
ISO 8859-1 en esta vista puede ver los bytes como ISO 8859-1.
Las materias Esto le permite cargar el mismo flujo de datos en un
programa diferente para su ulterior examen. La pantalla mostrar los
datos hexadecimales, pero "Guardar como" se traducir en un archivo
binario.
UTF8 en esta vista puede ver los bytes como UTF-8.
Esto mostrar el formato YAML bytes como YAML volcado binario.
7.4. Informacin de expertos
El experto infos es una especie de registro de las anomalas encontradas
por Wireshark en un archivo de captura.
La idea general subyacente a la siguiente informacin "Experto" va a
tener una mejor visualizacin de "raro" o simplemente notable el
comportamiento de la red. De esta manera, los usuarios novatos y
expertos, esperemos encontrar posibles problemas de red mucho ms rpido,
en comparacin con el anlisis de la lista de paquetes "manualmente" .
Infos expertos son slo una sugerencia
tome experto infos como sugerencia vale la pena mirar, pero no ms. Por
ejemplo, la ausencia de informaciones de expertos no significa
necesariamente que todo est OK.
110
Temas avanzados
la cantidad de informaciones de expertos en gran medida depende del
protocolo utilizado. Mientras algunos protocolos comunes como TCP/IP se
muestran detalladas informaciones de expertos, la mayora de los dems
protocolos actualmente no se mostrar ningn experto infos en absoluto.
Las siguientes se describen en primer lugar los componentes de un solo
experto info, luego la interfaz de usuario.
7.4.1. Entradas de informacin de expertos
cada experto info contendr las siguientes cosas que sern descritos en
detalle a continuacin.
La tabla 7.1. Algunos ejemplos de
paquetes infos experto grupo de gravedad Resumen del Protocolo #
1 Nota secuencia TCP ACK duplicado (#1)
2 Chat Secuencia de conexin TCP Reset (RST)
8 Nota Secuencia 9 Secuencia TCP Keep-Alive advierten TCP Fast
retransmisin (presuntos)
7.4.1.1. Severidad
cada experto info tiene un determinado nivel de gravedad. Los siguientes
niveles de gravedad son utilizados, en parntesis son los colores en los
que los elementos sern marcados en la GUI:
Chat (gris): informacin sobre el flujo de trabajo habitual, por
ejemplo, un paquete TCP con el flag SYN (cian) Nota: cosas notables,
por ejemplo, una aplicacin "usual" devolvi un cdigo de error HTTP 404
Warn (amarillo): advertencia, por ejemplo, aplicacin devolvi un
cdigo de error "inusuales" como un problema de conexin Error (rojo):
problema grave, por ejemplo, [Paquete incorrecto]
7.4.1.2. Grupo
hay algunos grupos comunes de experto infos. Los siguientes son aplicadas
actualmente:
Checksum: una suma de comprobacin no es vlida Secuencia: secuencia
de protocolo sospechosas, p.ej. Secuencia no era continua o una
retransmisin fue detectado o ...
Cdigo de respuesta: problema con la aplicacin, por ejemplo, cdigo de
respuesta HTTP 404 - No se encontr la pgina Solicitar cdigo: una
solicitud de aplicacin (p. ej. Asa de archivo == x), generalmente a
nivel de Chat Undecoded: el disector de datos incompletos o no pueden
ser decodificados por otras razones Armar: problemas al montar, por
ejemplo, no todos los fragmentos fueron disponible o se ha producido una
excepcin al montar
Protocolo: violacin de especificaciones de protocolo (por ejemplo,
valores de campo no vlido o longitudes ilegal), la diseccin de este
paquete es probablemente sigui
111
Temas avanzados
malformados: paquete malformado disector o tiene un error, la diseccin
de este paquete abortado Depuracin: la depuracin (no debera ocurrir
en versiones)
Es posible que varios grupos se agregarn en el futuro.
7.4.1.3. Protocolo
El Protocolo en el que el experto info fue causado.
7.4.1.4. Resumen de
informacin de cada experto tendr tambin un breve texto adicional con
un poco ms de explicacin.
7.4.2. Info "experto" de dilogo
puede abrir el cuadro de dilogo Informacin de expertos seleccionando
Analizar Informacin de expertos.
Figura 7.2. El "experto" cuadro de dilogo Info
7.4.2.1. Errores / Avisos / Notas / fichas Chats de
manera fcil y rpida de encontrar la informacin ms interesante (en
lugar de utilizar la ficha Detalles), es echar un vistazo a las fichas
separadas para cada nivel de gravedad. Como la etiqueta de la pestaa
tambin contiene el nmero de entradas existentes, es fcil encontrar la
ficha con los registros ms importantes.
Normalmente hay un montn de expertos idnticos infos slo difieren en el
nmero de paquetes. Estas informaciones idnticas se combinarn en una
sola lnea, con un recuento columna mostrando la frecuencia con que
aparecen en el archivo de captura. Haga clic en el signo ms (+) muestra
el nmero de paquetes individuales en una vista de rbol.
7.4.2.2. Ficha Detalles
la ficha Detalles proporciona el experto infos en un "registro" como
vista, cada entrada en su propia lnea (como la lista de paquetes). Como
la cantidad de informacin experta para un archivo de captura fcilmente
puede ser muy grande, obteniendo una idea de los interesantes infos con
esta vista puede llevar bastante tiempo. La ventaja de esta pestaa es
que todas las entradas en la secuencia en la que apareci, esto es a
veces una ayuda para identificar problemas.
112
Temas avanzados
7.4.3. "Colorea" Detalles de protocolo rbol
Figura 7.3. "Colorea" Detalles de protocolo
el campo Protocolo de rbol causando un experto info est coloreado, por
ejemplo, utiliza un fondo cian para una nota de gravedad. Este color se
propagan al protocolo prinicpal elemento en el rbol, de modo que es
fcil encontrar el campo que caus el experto info.
Captura de pantalla del ejemplo anterior, el IP "tiempo para vivir" el
valor es muy bajo (slo 1), por lo que el campo de protocolo
correspondiente est marcado con un fondo de color cian. Para ms fcil
encontrar ese elemento en el rbol de paquetes, el protocolo IP tema
prinicpal est marcado cian como bien.
7.4.4. "Experto" de columna de la lista de paquetes (opcional)
Figura 7.4. El "experto" de columna de la lista de paquetes
opcionales de un "experto" de gravedad Info de columna de la lista de
paquetes est disponible que muestra la gravedad ms significativo de un
paquete o permanece vaco si todo parece OK. Esta columna no aparece de
forma predeterminada, pero se pueden agregar fcilmente mediante las
preferencias pgina columnas descritas en Seccin 10.5, "Preferencias".
7.5.
De forma predeterminada, el anlisis TCP TCP del disector de Wireshark
realiza un seguimiento del estado de cada sesin TCP y proporciona
informacin adicional cuando los problemas o posibles problemas
detectados. El anlisis se realiza una sola vez para cada paquete TCP
113
Temas avanzados
cuando un archivo de captura se abre por primera vez. Los paquetes son
procesados en el orden en que aparecen en la lista de paquetes.
Puede activar o desactivar esta funcin a travs de "Analizar" los
nmeros de secuencia TCP TCP disectores de preferencia.
Figura 7.5. "Anlisis de paquetes TCP" elementos detallados
anlisis TCP flags se agregan al rbol bajo el protocolo TCP "SEQ/ACK
anlisis". Cada indicador se describen a continuacin. Trminos tales
como "prximo nmero de secuencia esperado" y "prxima espera Nmero de
acuse de recibo" se refieren a los siguientes'': el
siguiente nmero de secuencia esperado el ltimo visto el nmero de
secuencia ms longitud del segmento. Cuando no hay ningn conjunto de
banderas y anlisis para sondas de ventana cero. Esta es inicialmente
cero y se calcula sobre la base de los anteriores paquetes en el mismo
flujo TCP. Tenga en cuenta que este puede no ser el mismo que el
tcp.nxtseq campo protocolo.
Prximo nmero de reconocimiento esperado visto el ltimo nmero de
secuencia de segmentos. Cuando no hay ningn conjunto de indicadores y
anlisis de ventana cero sondas.
Visto el ltimo nmero de acuse de recibo siempre. Tenga en cuenta que
este no es el mismo como el prximo espera Nmero de acuse de recibo.
Visto el ltimo nmero de acuse de recibo siempre actualizado para cada
paquete. Tenga en cuenta que este no es el mismo como el prximo espera
Nmero de acuse de recibo.
Conjunto de segmento TCP ACKed invisibles cuando la espera para el

prximo nmero de acuse de recibo se establece para la marcha atrs y es
menos que el actual nmero de acuse de recibo.
Dup TCP ACK <frame># <acknowledgement number>
Establecer cuando se cumplen todas las condiciones siguientes:
El tamao de segmento es cero.
El tamao de la ventana no es cero y no ha cambiado.
El siguiente nmero de secuencia esperado y ltimo visto nmero de
acuse de recibo no son cero (es decir, se ha establecido la conexin).
SYN, FIN Y RST no estn establecidas.
114
Temas avanzados
TCP
Set de retransmisin rpida cuando se cumplen todas las condiciones
siguientes:
No se trata de un paquete de keepalive.
En la direccin de avance, el tamao de segmento es mayor que cero o el
SYN o FIN.
El siguiente nmero de secuencia esperado es mayor que el nmero de
secuencia actual.
Tenemos ms de dos ACKs duplicados en el sentido inverso.
El nmero de secuencia actual equivale a la prxima espera Nmero de
acuse de recibo.
Vimos la ltima confirmacin hace menos de 20ms.
Sustituye "fuera de orden", "espurio" y "retransmisin retransmisin".
TCP
establece Keep-Alive cuando el tamao de segmento es cero o uno, el
nmero de secuencia actual es un byte menos que el siguiente nmero de
secuencia esperado y cualquiera de SYN, FIN o RST.
Sustituye "Fast retransmisin", "fuera de orden", "espurio" y
"retransmisin retransmisin".
TCP ACK Keep-Alive
Establecer cuando se cumplen todas las condiciones siguientes:
El tamao de la ventana no es cero y no ha cambiado.
El nmero de secuencia actual es el mismo que el siguiente nmero de
secuencia esperado.
El actual nmero de acuse de recibo es la misma que la del ltimo visto
nmero de acuse de recibo.
El paquete ms recientemente visto en sentido inverso fue un keepalive.
El paquete no es un SYN, FIN o RST.
Sustituye "Dup" y "ZeroWindowProbeAck ACK".
TCP fuera del orden
establecido cuando se cumplen todas las condiciones siguientes:
En la direccin de avance, la longitud del segmento es mayor que cero o
el SYN o FIN.
secuencia actual.
El siguiente nmero de secuencia esperado y el siguiente nmero de
secuencia diferente.
115
Temas avanzados
El ltimo segmento que lleg dentro de la RTT calculados (3ms por
defecto).
Sustituye a los "falsos" y "retransmisin retransmisin".
Los nmeros de puerto TCP reutilizados
establecido cuando el indicador SYN est fijado (no SYN+ACK), tenemos una
conversacin existente utilizando las mismas direcciones y puertos, y el
nmero sequencue es diferente del actual nmero de secuencia inicial de
conversacin.
TCP segmento anterior no capturada
establecido cuando el nmero de secuencia actual es mayor que el
siguiente nmero de secuencia esperado.
Retransmisin TCP falsos
cheques para una retransmisin basada en el anlisis de datos en la
direccin inversa. Establecer cuando se cumplen todas las condiciones
siguientes:
El indicador FIN O SYN est fijado.
Este no es un paquete de keepalive.
La longitud del segmento es mayor que cero.
Datos de este flujo ha sido reconocido. Es decir, visto el ltimo
nmero de acuse de recibo ha sido establecida.
El siguiente nmero de la secuencia es menor o igual que el ltimo
visto nmero de acuse de recibo.
Sustituye "retransmisin".
Retransmisin TCP
establecida cuando se cumplen todas las condiciones siguientes:
En la direccin de avance, la longitud del segmento es mayor que cero o
la bandera SYN o FIN.
secuencia actual.
Conjunto completo de ventana TCP cuando el tamao del segmento no es

cero, sabemos que el tamao de la ventana en la direccin inversa, y
nuestro segmento tamao excede el tamao de la ventana en el sentido
inverso.
Un conjunto de actualizacin de ventana TCP cuando se cumplen todas las

condiciones siguientes:
El tamao de la ventana no es cero y no es igual a la ltima visto el
tamao de la ventana.
116
Temas avanzados
El nmero de secuencia es igual para el siguiente nmero de secuencia
esperado.
El nmero de acuse de recibo es igual al ltimo visto nmero de acuse
de recibo.
Ninguno de SYN, FIN o RST.
TCP ZeroWindow
establecida cuando el tamao de la ventana es cero y no de SYN, FIN o
RST.
TCP ZeroWindowProbe
establecido cuando el nmero de secuencia es igual para el siguiente
nmero de secuencia esperado, el tamao de segmento es uno, y por ltimo,
visto el tamao de la ventana en la direccin inversa era cero.
Conjunto ZeroWindowProbeAck TCP cuando se cumplen todas las condiciones

siguientes:
El tamao de la ventana es cero.
El nmero de secuencia es igual para el siguiente nmero de secuencia
esperado.
El nmero de acuse de recibo es igual al ltimo visto nmero de acuse
de recibo.
El ltimo paquete visto en sentido inverso es un sondeo de ventana
cero.
Sustituye "TCP ACK Dup".
7.6. Hora Sellos
Sellos de tiempo, sus precisiones y todo lo que puede ser bastante
confusa. Esta seccin le proporcionar informacin acerca de lo que est
sucediendo mientras Wireshark procesa las marcas de tiempo.
Mientras que los paquetes son capturados, cada paquete es hora cuando
entra. Estos sellos de tiempo se guardar en el archivo de captura, por
lo que tambin estar disponible para el anlisis (ms adelante).
As que de dnde provienen estos sellos de tiempo? Durante la captura,
Wireshark obtiene la hora desde la biblioteca libpcap (WinPcap), que a su
vez obtiene desde el ncleo del sistema operativo. Si la captura se
cargan los datos desde un archivo de captura, Wireshark obviamente
obtiene los datos de ese archivo.
7.6.1. Wireshark internals
el formato interno que utiliza Wireshark para mantener un paquete se
compone de la marca de tiempo en das desde la fecha (1.1.1970) y la hora
del da (en nanosegundos desde la medianoche). Puede ajustar el modo en
Wireshark se muestra la marca de tiempo en la lista de paquetes de datos,
consulte la seccin "Formato de visualizacin de tiempo" en la seccin
3.7, "El men "Ver"" para obtener ms detalles.
Al leer o escribir archivos de captura, Wireshark convierte la hora de
datos entre el formato del archivo de captura y el formato interno segn
sea necesario.
117
Temas avanzados
durante la captura, Wireshark utiliza la libpcap (WinPcap capture
library) que apoya la resolucin de microsegundos. A menos que est
trabajando con la captura de hardware especializado, esta resolucin
debera ser suficiente.
7.6.2. Formatos de archivo de captura de
cada formato de archivo de captura que Wireshark sabe admite marcas de
tiempo. La marca de tiempo precision apoyado por un determinado formato
de archivo de captura difiere ampliamente y vara de un segundo "0" a "un
nanosegundo 0.123456789". La mayora de los formatos de archivo guardar
los sellos de tiempo con una precisin fija (por ejemplo microsegundos),
mientras que algunos formatos de archivo son an capaces de almacenar la
misma precisin de marca de tiempo (sea cual sea el beneficio puede ser).
La poltica libpcap, formato de archivo de captura que utiliza Wireshark
(y muchas otras herramientas) admite una resolucin de microsegundo fijo
"0.123456" solamente.
Escribir datos en un formato de archivo de captura que no proporcionan la
capacidad de almacenar la precisin real llevar a la prdida de
informacin. Por ejemplo, si carga un archivo de captura con resolucin
de nanosegundos y almacenar los datos capturados en un archivo libpcap
(con resolucin de microsegundos) Wireshark obviamente debe reducir la
precisin del nanosegundo de microsegundo.
7.6.3. Exactitud La
gente suele preguntar "que hora de precisin es proporcionado por
Wireshark?". Adems, Wireshark no crea ninguna hora en s, sino
simplemente obtiene desde "otro lugar" y los muestra. As exactitud
depender del sistema operativo (sistema de captura, rendimiento, etc)
que se puede utilizar. A causa de esto, la pregunta es difcil de
responder en forma general.
Nota
adaptadores de red USB conectados a menudo proporcionan un sello de
tiempo muy mala precisin. Los paquetes entrantes han de tener "un largo
y sinuoso camino" para viajar a travs del cable USB hasta que se llegue
al kernel. Como los paquetes entrantes son el sello de hora cuando son
procesadas por el kernel, este mecanismo de sellado de tiempo se vuelve
muy impreciso.
No utilice NIC conectada por USB cuando necesite hora exacta precisin.
7.7. Zonas horarias
si viaja por todo el planeta, la zona horaria puede ser confuso. Si
recibe un archivo de captura desde alrededor del mundo zonas horarias
pueden ser incluso mucho ms confuso ;-)
Primero de todo, hay dos razones por las que puede que no sea necesario
pensar en todas las zonas horarias:
Usted slo estn interesados en las diferencias de tiempo entre la hora
de paquetes y no necesita saber la fecha y la hora exactas de los
paquetes capturados (que suele ser el caso).
Usted no consigue capturar archivos de zonas horarias diferentes a la
propia, as que sencillamente no hay problemas con las franjas horarias.
Por ejemplo, todos los miembros de su equipo se encuentra trabajando en
la misma zona horaria que usted.
118
Temas avanzados
Qu son las zonas horarias?
La gente espera que el tiempo refleja el atardecer. Alba debe estar en la
maana tal vez alrededor de las 06:00 y el atardecer en la noche, tal vez
a las 20:00. Obviamente estos tiempos pueden variar dependiendo de la
temporada.
Sera muy confuso si todos los habitantes de la tierra sera utilizar el
mismo tiempo global ya que esto correspondera a la puesta de sol slo en
una pequea parte del mundo.
Por esa razn, la tierra est dividida en varias zonas horarias
diferentes, cada zona con una hora local que corresponde a la extincin
local.
La base de tiempos de la zona horaria es UTC (Tiempo Universal
Coordinado) u hora Zulu (militar y aviacin). El trmino antiguo GMT
(Greenwich Mean Time) no debera utilizarse como es ligeramente
incorrecta (hasta 0,9 segundos de diferencia con la hora UTC). La UTC
tiempo base igual a 0 (con sede en Greenwich, Inglaterra) y todas las
zonas horarias tienen un desplazamiento a UTC entre -12 y +14 horas!
Por ejemplo: Si usted vive en Berln se encuentra en una zona horaria de
una hora antes de la hora UTC, as que usted est en la zona horaria "+1"
(diferencia de tiempo en horas respecto a la hora UTC). Si es 3 o'clock
en Berln es 2 o'clock en UTC "en el mismo momento".
Ser consciente de que en algunos lugares de la tierra no usar zonas
horarias con incluso hora offsets (p. ej. Nueva Delhi utiliza UTC+05:30)!
Se puede encontrar ms informacin en:
https://en.wikipedia.org/wiki/Time_zone y https://
en.wikipedia.org/wiki/Coordinated_Universal_Time.
Cul es el horario de verano (DST)?
El horario de verano (DST), tambin conocido como hora de verano se
destina para "salvar" a la luz del da durante los meses de verano. Para
ello, una gran cantidad de pases (pero no todos!) agregar una hora DST a
las ya existentes de desplazamiento UTC. As que usted puede necesitar
tomar otra hora (o en casos muy raros, incluso dos horas!) La diferencia
en sus clculos de "zona horaria".
Lamentablemente, la fecha en que surta efecto la DST es diferente en todo
el mundo. Puede que tambin tenga en cuenta que los hemisferios norte y
sur han opuesto del DST (p. ej., cuando es verano en Europa es invierno
en Australia).
Tenga en cuenta: UTC permanece igual durante todo el ao,
independientemente del horario de verano!
Se puede encontrar ms informacin en
https://en.wikipedia.org/wiki/Daylight_saving.
Ms informacin de zona horaria y horario de verano se puede encontrar en
Http://wwp.greenwichmeantime.com/ y http://
www.timeanddate.com/worldclock/.
7.7.1. Establezca la hora del equipo correctamente!
Si trabaja con personas de todo el mundo es muy til para ajustar la hora
y la zona horaria del equipo.
Debe configurar los ordenadores la hora y la zona horaria en la secuencia
correcta:
1. Defina su zona horaria para su ubicacin actual 2. Configurar el reloj
de su equipo a la hora local
119
temas avanzados de
esta manera usted dir a su equipo tanto la hora local y la desviacin de
la hora UTC. Muchas organizaciones simplemente establece la zona horaria
en sus servidores y equipos de redes a la hora UTC, a fin de lograr una
coordinacin y solucionar ms fcilmente.
Sugerencia
Si usted viaja alrededor del mundo, es a menudo un error para ajustar la
hora del reloj del equipo a la hora local. No ajustar las horas, pero la
configuracin de la zona horaria en lugar! Para su equipo, el tiempo es
esencialmente el mismo que antes, simplemente est en una zona horaria
diferente con una hora local diferente.
Puede utilizar el protocolo de tiempo de red (NTP) para ajustar
automticamente el ordenador a la hora correcta, mediante la
sincronizacin de reloj NTP servidores de Internet. Clientes NTP estn
disponibles para todos los sistemas operativos que admite Wireshark (y
mucho ms), para ejemplos ver http://www.ntp.org/.
7.7.2. Wireshark y zonas horarias
Cul es la relacin entre el Wireshark y zonas horarias?
Nativo de Wireshark capture file format (formato libpcap), y algunos
otros formatos de archivo de captura, como Windows Sniffer, EtherPeek,
AiroPeek y Sun snoop formatos, guardar el tiempo de llegada de los
paquetes como valores UTC. OnuX systems, y "Windows NT" sistemas
representan internamente como hora UTC. Cuando Wireshark es capturar, no
es necesario realizar una conversin. Sin embargo, si la zona horaria del
sistema no est ajustado correctamente, el sistema de hora UTC podra no
estar configurado correctamente incluso si el reloj del sistema aparece
para mostrar la hora local correcta. Al capturar, WinPcap tiene que
convertir la hora UTC antes de suministrarlo a Wireshark. Si la zona
horaria del sistema no est configurado correctamente, que la conversin
no se realizar correctamente.
Captura de otros formatos de archivo, tales como el Monitor de red de
Microsoft, basados en DOS, y Sniffer Network Instruments Observer
formatos, guardar el tiempo de llegada de los paquetes a la hora local de
valores.
Internamente a Wireshark, sellos de tiempo son representadas en UTC. Esto
significa que al leer archivos de captura que guarde la hora de llegada
de los paquetes como valores de hora local, Wireshark debe convertir los
valores de hora local a UTC o valores.
Wireshark, a su vez, mostrar la hora siempre en hora local. La
presentacin equipo convertirlos de UTC a la hora local y muestra este
tiempo (local). Para guardar los archivos de captura de la hora de
llegada de los paquetes como valores UTC, esto significa que la hora de
llegada se mostrar como la hora local de su zona horaria, que podra no
ser la misma que la hora de llegada a la zona horaria en la que el
paquete fue capturado.
Para guardar los archivos de captura de la hora de llegada de los
paquetes a la hora local de valores, la conversin a UTC se realizar
utilizando su zona horaria con respecto a la hora UTC y normas del
horario de verano, lo que significa que la conversin no se realiza
correctamente; la conversin de la hora local para mostrar podra
deshacer este correctamente, en cuyo caso la hora de llegada se mostrar
como la hora de llegada en la que el paquete fue capturado.
La tabla 7.2. Ejemplos de zona horaria UTC tiempos de llegada (sin DST),
Los ngeles, Nueva York, Madrid, Londres, Berln, Tokio el

archivo de captura de 10:00 a 10:00 y 10:00 a 10:00 y 10:00 a 10:00 (UTC)
Desplazamiento Local -8 -5 -1 0 +1 +9 a UTC muestra 02:00 05:00 09:00 -
10:00 11:00 a 19:00 (hora local)
120
Temas avanzados
por ejemplo supongamos que alguien en Los Angeles capturado un paquete
con Wireshark exactamente a las 2 de la maana hora local y le enva este
archivo de captura. La marca de tiempo del archivo de captura estar
representada en UTC como el 10 o'clock. Usted se encuentra en Berln y
ver 11 o'clock en su pantalla de Wireshark.
Ahora usted tiene una llamada telefnica, video conferencia o reunin con
Internet que uno hable acerca de ese archivo de captura. Como ustedes
estn mirando al tiempo que aparece en los equipos locales, uno en Los
Angeles an ve 2 o'clock pero usted ver en Berln 11 o'clock. El tiempo
muestra son diferentes tanto como Wireshark muestra mostrar las horas
locales (diferente) en el mismo punto en el tiempo.
Conclusin: Usted no puede preocuparse por la fecha/hora de la hora que
actualmente mira a menos que usted debe asegurarse de que la fecha/hora
como se esperaba. Por lo tanto, si usted recibe un archivo de captura
desde una zona horaria diferente y/ o la DST, tendrs que averiguar la
zona horaria/DST diferencia entre los dos tiempos locales y "ajustar"
mentalmente la hora correspondiente. En cualquier caso, asegrese de que
cada equipo en cuestin tiene la hora correcta y la configuracin de la
zona horaria.
7.8. Reensamblaje de paquetes
7.8.1. Qu es?
Protocolos de red a menudo necesita transportar grandes porciones de
datos que son completos en s mismos, por ejemplo,
en la transferencia de un archivo. El protocolo subyacente podra no ser
capaz de manejar que el tamao del fragmento (por ejemplo, limitacin del
tamao de paquete de red), o est basado en secuencia como TCP, que no
conoce los fragmentos de datos en absoluto.
En ese caso, el protocolo de red tiene que manejar el fragmento lmites y
(si es necesario) repartir los datos en varios paquetes. Obviamente,
tambin necesita un mecanismo para determinar los lmites del fragmento
en el lado receptor.
Llamadas de Wireshark este mecanismo el montaje, aunque una
especificacin de protocolo especfico puede utilizar un trmino distinto
para este (p. ej., la desfragmentacin desegmentation, etc).
7.8.2. Cmo Wireshark gestiona
por algunos de los protocolos de red Wireshark sabe, un mecanismo
implementado para encontrar, descodificar y mostrar estos bloques de
datos. Wireshark intentar encontrar los correspondientes paquetes de
este fragmento, y mostrar los datos combinados como pginas adicionales
en el panel "Packet Bytes" (para obtener ms informacin acerca de este
panel.
Consulte Seccin 3.20, "El panel "Packet Bytes"").
Figura 7.6. El "Packet Bytes" panel con una ficha rearm el
montaje podra tener lugar en varias capas del protocolo, por lo que es
posible que varias fichas en el panel "Packet Bytes" aparecen.
Nota
Encontrar los datos reensamblados en el ltimo paquete del fragmento.
121
temas avanzados,
por ejemplo, en una respuesta HTTP GET, los datos solicitados (por
ejemplo una pgina HTML) se retorna. Wireshark mostrar el volcado
hexadecimal de los datos en una nueva pestaa "entidad sin comprimir el
cuerpo" en el panel "Packet Bytes".
El montaje est activada en las preferencias por defecto, pero puede
desactivarse en preferencias para el protocolo en cuestin. Habilitar o
deshabilitar el rearmado ajustes para un protocolo normalmente requiere
dos cosas:
1. El protocolo de nivel inferior (por ejemplo, TCP) deben apoyar el
montaje. A menudo este montaje puede activarse o desactivarse mediante el
protocolo preferencias.
2. El protocolo de nivel superior (por ejemplo, HTTP) deben utilizar el
mecanismo de montaje para montar datos del protocolo fragmentados. Esto
tambin puede ser activado o desactivado mediante el protocolo
preferencias.
La descripcin de la configuracin de los protocolos de nivel superior le
notificar si y qu configuracin de protocolo de nivel inferior tambin
tiene que ser considerado.
7.9.
Resolucin de nombres la resolucin de nombres intenta convertir algunos
de los valores de la direccin numrica en un formato legible. Hay dos
maneras posibles de hacer estas conversiones, dependiendo de la
resolucin de hacerse: sistema de llamadas/ servicios de red (como la
gethostname()) y/o resolver desde los archivos de configuracin
especficos de Wireshark. Para obtener ms informacin acerca de los
archivos de configuracin de Wireshark se utiliza para la resolucin de
nombres y similares, consulte Apndice B, Archivos y carpetas.
La funcin de resolucin de nombres se pueden activar de forma individual
para las capas de protocolos enumerados en las secciones siguientes.
7.9.1. Inconvenientes de resolucin de nombres la
resolucin de nombres puede ser inestimable al trabajar con Wireshark e
incluso pueden ahorrarle horas de trabajo.
Lamentablemente, tambin tiene sus inconvenientes.
La resolucin de nombres a menudo fracasan. El nombre a resolverse
podra simplemente ser desconocidos por los servidores de nombre pedido o
de los servidores no estn disponibles y no el nombre tambin se
encuentra en los archivos de configuracin de Wireshark.
Los nombres resueltos no se almacenan en el archivo de captura o en
algn otro lugar. As los nombres resueltos podra no estar disponible si
abre el archivo de captura posterior o en una mquina diferente. Cada vez
que abra un archivo de captura puede parecer "ligeramente diferentes"
simplemente porque no se puede conectar con el servidor de nombres (que
se podran conectar a antes).
DNS puede agregar paquetes adicionales para su archivo de captura.
Usted puede ver los paquetes a/desde su mquina en su archivo de captura,
los cuales son provocados por la resolucin de nombres de servicios de
red de la mquina capta de Wireshark.
Se resuelven los nombres DNS se almacenan en cach por Wireshark. Esto
es necesario para conseguir un rendimiento aceptable. Sin embargo, si la
informacin de resolucin de nombres debe cambiar mientras se est
ejecutando, de Wireshark Wireshark no notar un cambio en la resolucin
de nombres una vez que reciba la informacin almacenada en cach. Si esta
informacin cambia mientras est ejecutando Wireshark, p.ej. una nueva
concesin DHCP surte efecto, Wireshark no notarlo.
Resolucin de nombres en la lista de paquetes se realiza mientras la
lista est llena. Si un nombre puede ser resuelto una vez que un paquete
se agrega a la lista, su antigua entrada no ser cambiado. Como la
resolucin de nombres se almacenan en la memoria cach de resultados,
puede utilizar la
vista Reload para reconstruir la lista de paquetes con los nombres
resueltos correctamente. Sin embargo, esto no es posible mientras est en
curso una captura.
122
Temas avanzados
7.9.2. Resolucin de nombre Ethernet (Capa MAC)
intenta resolver una direccin MAC de Ethernet (por ej.
00:09:5b:01:02:03) a algo ms "legible".
Sistema de resolucin de nombres (ARP) servicio: Wireshark pedir al
sistema operativo para convertir una direccin Ethernet a la direccin IP
correspondiente (p. ej. 00:09:5b:01:02:03 192.168.0.1).
Cdigos de Ethernet (ethers): Si el error de resolucin de nombres de
ARP, Wireshark intenta convertir la direccin Ethernet a un dispositivo
conocido nombre, que ha sido asignado por el usuario mediante una ethers
(p. ej.
00:09:5b:01:02:03 homerouter).
Cdigos de fabricante Ethernet Fabric (archivo): Si ni ARP o teres
devuelve un resultado, Wireshark intenta convertir los 3 primeros bytes
de una direccin Ethernet a un abreviado el nombre del fabricante, que ha
sido asignado por el IEEE (p. ej. 00:09:5b:01:02:03 Netgear_01:02:03).
7.9.3. Resolucin de nombre IP (capa de red)
intenta resolver una direccin IP (ej. 216.239.37.99) para algo ms
"legible".
La resolucin de nombres DNS (System/Library Service): Wireshark
utilizar una resolucin de nombre para convertir una direccin IP para
el nombre de host asociado con ella (p. ej. Www.1.google.com).
216.239.37.99
La resolucin de nombres DNS se puede realizar de forma sincrnica o
asincrnica. Ambos mecanismos pueden utilizarse para convertir una
direccin IP para algunos derechos legible (nombre de dominio). Una
llamada de sistema como gethostname() intentar convertir la direccin a
un nombre. Para ello, preguntar en primer lugar el archivo hosts de los
sistemas (p. ej. /Etc/Hosts) si encuentra una entrada coincidente. Si eso
falla, se solicitar al servidor DNS configurado(s) sobre el nombre.
As pues, la autntica diferencia entre sncrono y asncrono DNS DNS
viene cuando el sistema tiene que esperar a que el servidor DNS acerca de
un problema de resolucin de nombres. El sistema llamada gethostname()
esperar hasta que un nombre se resuelve o se produce un error. Si el
servidor DNS no est disponible, esto podra tardar bastante tiempo
(varios segundos).
Advertencia
para proporcionar un rendimiento aceptable Wireshark depende de una
biblioteca asncrona de DNS para realizar la resolucin de nombres. Si
uno no est disponible durante la compilacin, la caracterstica no
estar disponible.
El servicio DNS asncrona trabaja un poco diferente. Se le pedir tambin
el servidor DNS, pero no esperar la respuesta. Se acaba de regresar a
Wireshark en una cantidad de tiempo muy corta. El real (y los siguientes)
campos de direccin no mostrar el nombre resuelto hasta que el servidor
DNS devuelve una respuesta. Como se mencion anteriormente,
los valores se almacenan en cach, de modo que puede utilizar Ver
Reload para "Actualizar" en estos campos para mostrar los valores
resueltos. La
resolucin de nombres de hosts (hosts file): Si la resolucin de nombres
DNS ha fallado, Wireshark intentar convertir una direccin IP para el
nombre de host asociado con ella, utilizando un archivo de host
proporcionado por el usuario (ej. 216.239.37.99 www.google.com).
7.9.4. Puerto TCP/UDP de resolucin de nombres (capa de transporte)
para tratar de resolver un puerto TCP/UDP (por ej. 80) a algo ms
"legible".
Conversin de puerto TCP/UDP (System Service): Wireshark pedir al
sistema operativo para convertir un puerto TCP o UDP a su bien conocido
nombre (p.ej. 80 http).
7.9.5. VLAN ID de resolucin
para obtener un nombre descriptivo para una etiqueta VLAN ID VLAN de un
archivo puede ser utilizado.
123
Temas avanzados
7.10. Los checksums de
varios protocolos de red utilizan las sumas de comprobacin para
garantizar la integridad de los datos. Aplicar los checksums como
descrito aqu es tambin conocido como comprobacin de redundancia.
Cules son los checksums de?
Los checksums se utiliza para garantizar la integridad de las porciones
de datos para la transmisin de datos o almacenamiento. Un checksum
calculado es bsicamente un resumen de esa porcin de datos.
Las transmisiones de datos de red suelen producir errores como, por
ejemplo, alternar, desaparecidos o duplicar bits. Como resultado, los
datos recibidos pueden no ser idnticos a los datos transmitidos, que
obviamente es una mala cosa.
Debido a estos errores de transmisin, protocolos de red muy a menudo
utilizan las sumas de comprobacin para detectar estos errores. El
transmisor va a calcular una suma de comprobacin de los datos y
transmite los datos, junto con la suma de comprobacin. El receptor
calcular la suma de comprobacin de los datos recibidos con el mismo
algoritmo que el transmisor. Si la recibe y calcula las sumas de
comprobacin no coinciden se ha producido un error de transmisin.
Algunos algoritmos de suma de comprobacin son capaces de recuperar
(simple) errores calculando donde el error previsto debe ser y repararlo.
Si hay errores que no pueden ser recuperados, el lado receptor tira el
paquete. Dependiendo del protocolo de red, esta prdida de datos es
simplemente ignorado o el envo debe detectar esta prdida de alguna
manera y retransmite el paquete(s).
Usando un checksum reduce drsticamente el nmero de errores de
transmisin no detectados. Sin embargo, los algoritmos de suma de
comprobacin habitual no puede garantizar un 100% de deteccin de
errores, de manera que un nmero muy pequeo de errores de transmisin
pasen inadvertidos.
Hay varios tipos diferentes de algoritmos de suma de comprobacin; un
ejemplo de un algoritmo de suma de comprobacin utilizados a menudo es
CRC32. El algoritmo de checksum realmente escogidos para un protocolo de
red especfico depender de la tasa de error esperado de los medios de
red, la importancia de la deteccin de errores, la carga del procesador
para realizar el clculo, el rendimiento necesario y muchas otras cosas.
Ms informacin sobre las sumas de comprobacin se puede encontrar en:
https://en.wikipedia.org/wiki/Checksum.
7.10.1. Validacin de la suma de comprobacin de Wireshark
Wireshark validar los checksums de muchos protocolos, por ejemplo, IP,
TCP, UDP, etc.
lo har el mismo clculo como un "receptor" normal hara, y muestra los
campos checksum en el paquete detalles con un comentario, por ejemplo,
[corregir] o [No vlido, debe ser 0x12345678].
Validacin de la suma de comprobacin puede desactivarse para varios
protocolos en Wireshark preferencias de protocolo, por ejemplo
(muy ligeramente) para aumentar el rendimiento.
Si la suma de comprobacin de validacin es activado y detectado un
checksum invlido, caractersticas como el reensamblaje de paquetes no
sern procesados. Esto se evita como una conexin incorrecta de datos
podra "confundir" la base de datos interna.
7.10.2. Descarga de Checksum
El checksum clculo podra hacerse mediante el controlador de red,
controlador de protocolo, o incluso en el hardware.
124
temas avanzados
como por ejemplo: el hardware de transmisin Ethernet Ethernet calcula la
suma de comprobacin CRC32 y el hardware de recepcin valida esta suma de
comprobacin. Si el checksum recibido es incorrecto Wireshark ni siquiera
alcanza a ver el paquete, como el hardware Ethernet interno tira el
paquete.
Las sumas de comprobacin de nivel superior son "tradicionalmente"
calculada por la implementacin del protocolo y completado el paquete es
entregado entonces al hardware.
Hardware de red recientes pueden realizar funciones avanzadas como el
clculo de la suma de comprobacin IP, tambin conocido como descarga de
checksum. El controlador de red no calcular el checksum en s, sino
simplemente entregar un cero (vaco o lleno de basura) campo de suma de
comprobacin del hardware.
Nota
descarga de checksum a menudo causa confusin como los paquetes de red
para ser transmitidos son entregados a Wireshark antes los checksums son
calculado realmente. Wireshark obtiene estos checksums "vacos" y las
muestra como no vlido, aunque los paquetes contienen sumas de
comprobacin vlida cuando dejan el hardware de red ms adelante.
Descarga de suma de comprobacin puede ser confuso y tener un montn de
[vlido] los mensajes en la pantalla puede ser bastante molesto. Como se
mencion anteriormente, las sumas no vlido puede provocar unreassembled
paquetes, haciendo el anlisis de los paquetes de datos mucho ms
difcil.
Puede hacer dos cosas para evitar este problema de descarga de suma de
comprobacin:
Apague la descarga de checksum en el controlador de la red, si esta
opcin est disponible.
Desactivar la validacin de la suma de comprobacin del protocolo
especfico en las preferencias de Wireshark. Versiones recientes de
Wireshark deshabilitar la validacin de la suma de comprobacin de forma
predeterminada debido a la prevalencia de la descarga en hardware y
sistemas operativos modernos.
125
Captulo 8. Estadsticas
8.1. Introduccin
Wireshark ofrece una amplia gama de estadsticas de la red a la que se
puede acceder mediante el men de estadsticas.
Estas estadsticas van desde la informacin general sobre la carga el
archivo de captura (como el nmero de paquetes capturados), las
estadsticas acerca de los protocolos concretos (por ejemplo,
estadsticas sobre el nmero de solicitudes y respuestas HTTP
capturados).
Estadsticas generales:
Resumen acerca del archivo de captura.
Protocolo Jerarqua de los paquetes capturados.
Las conversaciones por ejemplo el trfico entre las direcciones IP
especficas.
Extremos por ejemplo el trfico hacia y desde las direcciones IP.
Grficos IO visualizar el nmero de paquetes (o similar) en el tiempo.
Protocolo de estadsticas especficas:
Servicio de tiempo de respuesta entre la solicitud y la respuesta de
algunos protocolos.
Otras diversas estadsticas especficas del protocolo.
Nota
El protocolo estadsticas especficas requieren un conocimiento detallado
sobre el protocolo especfico. Si usted no est familiarizado con ese
protocolo, estadsticas acerca de ella ser bastante difcil de entender.
8.2. La ventana "Resumen"
las estadsticas generales sobre el archivo de captura actual.
Estadsticas 126
Figura 8.1. La ventana "Resumen"
Archivo: informacin general sobre el archivo de captura.
Tiempo: las marcas de tiempo cuando el primer y el ltimo paquete
fueron capturados (y el tiempo entre ellos).
Capturar: informacin desde el momento en que la captura fue realizada
(disponible slo si el paquete de datos fue capturada en la red y no
cargado desde un archivo).
Pantalla: algunos mostrar informacin relacionada.
Trfico: algunas estadsticas del trfico de la red con el visto. Si se
establece un filtro de pantalla, ver los valores en la columna
capturados, y si los paquetes estn marcados, ver los valores en la
columna marcada. Los valores
127
Estadsticas
en la columna capturado seguir siendo el mismo que antes, mientras que
los valores de la columna mostrada reflejar los valores correspondientes
a los paquetes mostrados en la pantalla. Los valores en la columna
marcada reflejar los valores correspondientes a los paquetes marcados.
8.3. La "ventana" de jerarqua de protocolo
El protocolo jerarqua de los paquetes capturados.
Figura 8.2. El Protocolo "jerarqua" ventana
Este es un rbol de todos los protocolos en la captura. Cada fila
contiene los valores estadsticos de un protocolo.
Dos de las columnas (por ciento por ciento de Paquetes y Bytes) la doble
funcin de servir como grficos de barras. Si un filtro de visualizacin
se establece que ser mostrado en la parte inferior.
El botn Copy te permitir copiar el contenido de la ventana como CSV o
YAML.
Columnas de jerarqua de protocolo
Protocolo El presente Protocolo nombre del
por ciento de paquetes El porcentaje de paquetes de protocolo relativo a
todos los paquetes de captura de
paquetes El nmero total de paquetes de este protocolo
por ciento el porcentaje de bytes bytes del protocolo en relacin con el
nmero total de bytes en la captura de
Bytes el nmero total de bytes de este protocolo
Bits/s el ancho de banda de este protocolo relativo a la hora de captura
de
paquetes finales en trminos absolutos el nmero de paquetes de este
protocolo donde era el ms alto de la pila de protocolo (ltima
disecados)
128
Bytes Finales Estadsticas en trminos absolutos el nmero de bytes del
presente Protocolo, cuando era el ms alto de la pila de protocolo
(ltima disecados)
Fin de Bits/s el ancho de banda del presente Protocolo relativas a la
captura Tiempo donde fue el ms alto en la pila de protocolo (ltima
disecados)
paquetes suelen contener varios protocolos. Como resultado, ms de uno de
los protocolos sern contados para cada paquete. Ejemplo: En la captura
de pantalla IP tiene un 99,9% y un 98,5% de TCP (que es as mucho ms del
100%).
Capas del protocolo puede consistir en paquetes que no contengan ningn
protocolo de la capa superior, de modo que la suma de todos los paquetes
de capa superior no podr sumar a los protocolos el recuento de paquetes.
Ejemplo: En la captura de pantalla TCP tiene un 98,5%, pero la suma de
los subprotocols (SSL, HTTP, etc.) es mucho menor. Esto puede ser causado
por la continuacin marcos, sobrecarga del protocolo TCP, y otros datos
undissected.
Un paquete puede contener el mismo protocolo ms de una vez. En este
caso, el protocolo se cuenta ms de una vez. Por ejemplo respuestas ICMP
y muchos protocolos de tnel que llevar ms de una cabecera IP.
8.4.
Una red de conversaciones conversacin es el trfico entre dos extremos
especficos. Por ejemplo, una conversacin es IP todo el trfico entre
dos direcciones IP. La descripcin de los tipos de punto final conocida
puede encontrarse en Seccin 8.5, "extremos".
8.4.1. La ventana de "conversaciones" de
la ventana de conversaciones es similar a la ventana del punto final.
Consulte la seccin 8.5.1, "La ventana" "extremos" para una descripcin
de sus caractersticas comunes. Junto con direcciones, contadores de
paquetes y bytes, la ventana de conversacin contadores agrega cuatro
columnas: la hora de inicio de la conversacin ("Rel Start") o ("ABS") de
inicio, la duracin de la conversacin en segundos, y el promedio de bits
(no bytes) por segundo en cada direccin. Una lnea de tiempo grfica
tambin se dibujar en el "REL" Inicio / Abs "Start" y "Duracin"
columnas.
Figura 8.3. La ventana de "conversaciones" de
cada fila de la lista muestra los valores estadsticos de exactamente una
conversacin.
129
Nombre de Estadsticas de resolucin se har si se selecciona en la

ventana y si est activo para el protocolo especfico layer (capa MAC
Ethernet seleccionado de la pgina extremos). Lmite para filtro de
pantalla slo mostrar las conversaciones que coincida con el filtro de
visualizacin actual. Tiempo de inicio absoluto cambia la columna Hora de
inicio entre relativo ("Start") Rel y absoluta ("ABS") Start times.
Inicio relativa veces coinciden con los "segundos desde el inicio de la
captura" formato de visualizacin de tiempo en la lista de paquetes y
tiempos de inicio absoluto coincide con la "hora del da" formato de
visualizacin.
El botn Copiar copia los valores de la lista al portapapeles en formato
CSV (valores separados por comas) o formato YAML. Siga la secuencia...
botn mostrar el contenido de Stream como se describe en la Figura 7.1,
"El "Follow TCP Stream" cuadro de dilogo" el dilogo. El grfico...
botn mostrar un grfico como se describe en Seccin 8.6, "La ventana de
grficos" "IO".
Tipos de conversacin le permite elegir qu tipo de trfico se muestran
fichas. Consulte Seccin 8.5, "extremos" para obtener una lista de los
tipos de punto final. Los tipos habilitada se guardan en la configuracin
de su perfil.
Sugerencia
Esta ventana se actualizar con frecuencia, por lo que ser til incluso
si abrirlo antes (o tiempo) que est haciendo una captura viva.
8.5. Extremos
un extremo de la red es la lgica final de separar el trfico de
protocolo de capa de un protocolo especfico. El endpoint estadsticas de
Wireshark tendr en cuenta los siguientes extremos:
Sugerencia
Si usted est buscando una caracterstica otras herramientas de red
llamada un listahost, aqu es el lugar adecuado para mirar. La lista de
terminales IP o Ethernet generalmente es lo que usted est buscando.
Endpoint y tipos de Conversacin
Bluetooth A MAC-48 direccin similar a Ethernet.
Ethernet idnticas a las del dispositivo Ethernet MAC-48 identificador.
Canal de fibra un MAC-48 direccin similar a Ethernet.
IEEE 802.11 A MAC-48 direccin similar a Ethernet.
FDDI FDDI idntica a la direccin MAC-48.
IPv4 idntica a la direccin IPv4 de 32 bits.
IPv6 idntica a la direccin IPv6 de 128 bits.
IPX una concatenacin de un nmero de red de 32 bits y 48 bits de la
direccin del nodo, por defecto la interfaz Ethernet MAC-48 direccin.
130
estadsticas de
JXTA SHA-1 de 160 bits URN.
Similar al NCP IPX.
RSVP RSVP una combinacin de varios atributos de sesin y las direcciones
IPv4.
El SCTP una combinacin de las direcciones IP de host (plural) y el
puerto utilizado SCTP. SCTP tan diferentes puertos en la misma direccin
IP son diferentes extremos SCTP, pero el mismo puerto SCTP en diferentes
direcciones IP del mismo host estn todava en el mismo extremo.
TCP una combinacin de la direccin IP y el puerto TCP utilizado. Puertos
TCP diferentes en la misma direccin IP son diferentes endpoints TCP.
Token Ring Token Ring idntica a la direccin MAC-48.
UDP una combinacin de la direccin IP y el puerto UDP utiliza puertos
UDP, tan diferentes en la misma direccin IP son diferentes UDP
endpoints.
USB idntica a la direccin de USB de 7 bits.
Extremos de broadcast y multicast
el trfico de difusin y multidifusin se mostrarn por separado como los
extremos adicionales. Por supuesto, estos no son los extremos fsicos
reales de trfico ser recibida por todos o algunos de los listados de
extremos de unidifusin.
8.5.1. Los "extremos"
Esta ventana muestra estadsticas acerca de los extremos capturados.
Figura 8.4. La ventana "extremos"
para cada protocolo soportado, una ficha se muestra en esta ventana. Cada
ficha etiqueta muestra el nmero de extremos capturados (por ejemplo, la
etiqueta de la pestaa "Ethernet 4" te dice que cuatro terminales
Ethernet han sido capturados). Si
no Estadsticas 131 extremos de un protocolo especfico fueron

capturados, la etiqueta de la pestaa estar atenuada (aunque la pgina
relacionada todava puede ser seleccionado).
Cada fila de la lista muestra los valores estadsticos exactamente por un
extremo.
La resolucin de nombres se har si se selecciona en la ventana y si est
activo para el protocolo especfico layer (capa MAC Ethernet seleccionado
de la pgina extremos). Lmite para filtro de pantalla slo mostrar las
conversaciones que coincida con el filtro de visualizacin actual.
Observe que en este ejemplo, hemos configurado GeoIP que nos da extra
columnas geogrfica. Consulte Seccin 10.9, "Las Rutas de la base de
datos GeoIP" para obtener ms informacin.
CSV (valores separados por comas) o formato YAML. El botn mapa mostrar
los extremos correlacionados en su navegador web.
Tipos de punto final le permite elegir qu tipo de trfico se muestran
fichas. Consulte Seccin 8.5, "extremos" para obtener una lista de tipos
de extremos. Los tipos habilitada se guardan en la configuracin de su
perfil.
Sugerencia
Esta ventana se actualiza con frecuencia, por lo que ser til incluso si
abrirlo antes (o tiempo) que est haciendo una captura viva.
8.6. Los grficos de "IO" de la ventana
grfica configurable por el usuario de los paquetes de red capturados.
Puede definir hasta cinco grficos de diferente color.
Figura 8.5. Los grficos de la ventana "IO"
El usuario puede configurar las siguientes cosas:
Grficos Grfico 1-5: Habilitar el grfico especfico 1-5 (slo
grfico 1 est habilitado de forma predeterminada)
132
Estadsticas
Color: el color del grfico (no puede ser cambiado) Filtro: un filtro
de visualizacin para este grfico (solo los paquetes que pasan por este
filtro ser tomado en cuenta para este grfico)
Estilo: el estilo del grfico (Lnea/Impulso/FBar/punto) Intervalo
de graduacin del eje X: un intervalo en direccin x dura (1/10 minutos o
10/1/0,1/0.01/0.001 segundos) Pxeles por garrapata: utilice 10/5/2/1
Pxeles por intervalo de graduacin ver como la hora del da: la opcin
para ver la direccin x etiquetas como la hora del da en lugar de
segundos o minutos desde A partir de la captura
Eje La unidad: la unidad de la direccin y (Paquetes/Tick, Tick,
bits/bytes/Tick, Avanzado...) [XXX - describir la caracterstica
avanzada.]
Escala: la escala para la unidad y
(logartmico,auto,10,20,50,100,200,500,...)
El botn Guardar se guarde la porcin mostrada actualmente del grfico
como uno de los diversos formatos de archivo.
El botn Copiar copiar los valores de grficos seleccionados al
portapapeles en formato CSV (valores separados por comas).
Sugerencia
Haga clic en el grfico para seleccionar el primer paquete en el
intervalo seleccionado.
8.7. Tiempo de respuesta de servicio
El servicio el tiempo de respuesta es el tiempo que transcurre entre la
solicitud y la respuesta correspondiente. Esta informacin est
disponible para muchos protocolos.
Las estadsticas de tiempo de respuesta del servicio estn disponibles
actualmente para los protocolos siguientes:
La fibra DCE-RPC Canal H.225 RAS LDAP MGCP MAC LTE ONC RPC-
SMB
Como un ejemplo, el DCE-RPC. Tiempo de respuesta de servicio se describe
en ms detalle.
133
Tenga en cuenta
las otras estadsticas de tiempo de respuesta del servicio de Windows
funcionarn de la misma forma (o slo ligeramente diferentes) en
comparacin con la siguiente descripcin.
8.7.1. "El tiempo de respuesta de servicio DCE-RPC" de la ventana
de tiempo de respuesta del servicio DCE-RPC es el tiempo que transcurre
entre la solicitud y la respuesta correspondiente.
Primero de todo, tendrs que seleccionar la interfaz DCE-RPC:
Figura 8.6. La "computacin estadstica DCE-RPC" ventana
opcionalmente puede establecer un filtro de pantalla, para reducir la
cantidad de paquetes.
Figura 8.7. La "Estadstica DCE-RPC para ..." la ventana
Estadsticas 134
cada fila corresponde a un mtodo de la interfaz seleccionada (de modo
que la interfaz de EPM en la versin 3 tiene 7 mtodos). Para cada
mtodo, el nmero de llamadas y las estadsticas de la SRT es el tiempo
calculado.
8.8. Comparar dos archivos de captura
comparar dos archivos de captura.
Esta caracterstica funciona mejor cuando se han fusionado dos archivos
de captura cronolgicamente, uno de cada lado de una conexin
cliente/servidor.
La combinacin de la captura de datos est activada para los paquetes que
faltan. Si se encuentra una conexin que coincida se comprueba:
checksums encabezado IP retraso excesivo (definida por el "tiempo" de
varianza) Ajuste del orden de paquetes
Figura 8.8. La ventana de "Comparar"
135
Estadsticas
Puede configurar las siguientes opciones:
Comience a comparar: iniciar la comparacin cuando este muchos
identificadores IP coinciden. Un valor de cero empieza comparando
inmediatamente.
Dejar de comparar: Dejar de comparar cuando ya no podemos coincidir con
esta muchos identificadores IP. Compara siempre cero.
Endpoint distincin: Utilice las direcciones MAC o IP de tiempo de vida
para determinar los valores extremos de conexin.
Comprobar el orden: Verificar la misma IP ID en el paquete anterior en
cada extremo.
Tiempo varianza: desencadenar un error si el paquete llega este nmero
de milisegundos tras el promedio de retraso.
Filtrar: limitar la comparacin a los paquetes que coincidan con este
filtro de visualizacin.
La columna Info contiene nueva numeracin para los mismos paquetes son
paralelas.
El color filtering diferenciar los dos archivos uno del otro. Un efecto
"Zebra" es crear si se ordena la columna Info.
Sugerencia
Si hace clic en un elemento en la lista de errores en su correspondiente
paquete ser seleccionado en la ventana principal.
8.9. Estadsticas de Trfico de WLAN
estadsticas del trfico WLAN capturados. Esta ventana se resumir el
trfico de red inalmbrica encontrada en la captura. Solicitudes de
sondeo se combinarn en una red existente, si el SSID coincide.
Figura 8.9. La "ventana" de las estadsticas de trfico de WLAN
cada fila de la lista muestra los valores estadsticos exactamente por
una red inalmbrica.
La resolucin de nombres se har si se selecciona en la ventana y si est
activo para la capa MAC.
Mostrar slo las redes existentes excluirn solicitudes de sondeo con un
SSID no coincide con ninguna red de la lista.
CSV (valores separados por comas).
136
Punta Estadsticas
Esta ventana se actualiza con frecuencia, por lo que ser til, incluso
si abrirlo antes (o tiempo) que est haciendo una captura viva.
8.10. Las estadsticas especficas del protocolo
El protocolo windows windows estadsticas especficas mostrar informacin
detallada de protocolos especficos y podra describirse en una versin
posterior de este documento.
Algunas de estas estadsticas se describen en
https://wiki.wireshark.org/Statistics.
137
Captulo 9. La telefona
9.1. Introduccin
Wireshark ofrece una amplia gama de estadsticas de red relacionados con
telefona, al cual se puede acceder a travs del men de telefona.
Estas estadsticas van desde determinados protocolos de sealizacin,
anlisis de flujos de medios y de sealizacin. Si est codificado en una
codificacin compatible con el flujo de medios puede incluso ser jugado.
9.2. Anlisis
El anlisis de RTP RTP RTP seleccionado funcin toma el stream stream (y
a la inversa, si es posible) y genera una lista de estadsticas.
Figura 9.1. La "ventana" de anlisis de secuencia RTP
comenzando con datos bsicos como el nmero de paquetes y el nmero de
secuencia, ms estadsticas se crean segn la hora de llegada, retardo,
jitter, tamao del paquete, etc.
Adems de las estadsticas por paquete, el panel inferior muestra las
estadsticas globales, con mnimos y mximos para Delta, la fluctuacin y
el sesgo del reloj. Tambin una indicacin de prdida de paquetes est
incluido.
La ventana Anlisis de secuencia RTP ofrece adems la opcin de guardar
la carga til de RTP (como datos sin procesar o, si en una codificacin
PCM, en un archivo de audio). Otras opciones para exportar y trazar
varias estadsticas sobre los flujos RTP.
9.3. Anlisis IAX2
El "Anlisis de IAX2" de dilogo muestra las estadsticas de los flujos
de avance y retroceso de un seleccionado llamada IAX2 junto con un
grfico.
Telefona 138
9.4. Las llamadas de VoIP
las llamadas VoIP ventana muestra una lista de todas las llamadas de VoIP
detectados en el trfico capturado. Encuentra llamadas por su
sealizacin.
Se pueden encontrar ms detalles en la pgina
https://wiki.wireshark.org/VoIP_calls.
El RTP la ventana del reproductor permite reproducir datos de audio RTP.
Para poder utilizar esta funcin, su versin de Wireshark deben apoyar y
los cdecs de audio utilizado por cada secuencia RTP.
Se pueden encontrar ms detalles en la pgina
https://wiki.wireshark.org/VoIP_calls.
9.5. Estadsticas de Trfico MAC LTE
estadsticas del trfico capturado LTE MAC. Esta ventana mostrar un
resumen de la LTE MAC TRAFFIC encontr en la captura.
Figura 9.2. Las estadsticas de trfico de Mac "LTE"
del panel superior de la ventana muestra las estadsticas de canales
habituales. Cada fila en el panel central muestra los datos estadsticos
ms destacados para exactamente una UE/C-RNTI. En el panel inferior,
puede ver las de la UE actualmente seleccionado/ C-RNTI el trfico
desglosadas por canal individual.
9.6. Estadsticas de Trfico RLC LTE
estadsticas del trfico capturado LTE RLC. Esta ventana mostrar un
resumen de la LTE RLC TRAFFIC encontr en la captura.
Telefona 139
Figura 9.3. El "LTE RLC Estadsticas de trfico"
en la parte superior de la ventana, la casilla de verificacin que
permite esta ventana para incluir RLC encontrado dentro de las PDU PDU
MAC o no. Esto afectar tanto a las PDU contados as como los filtros de
visualizacin generados (vase infra).
La lista superior muestra resmenes de cada activo de la UE. Cada fila de
la lista inferior muestra los datos estadsticos ms destacados para cada
uno de los canales seleccionados dentro de la UE.
La parte inferior de las ventanas permite visualizar los filtros se
genera y se establece para el canal seleccionado. Tenga en cuenta que en
el caso de canales en modo reconocido, si se elige una sola direccin, el
filtro generado mostrar los datos en esa direccin y control de PDU en
la direccin opuesta.
9.7. Las estadsticas especficas del protocolo
El protocolo windows windows estadsticas especficas mostrar informacin
detallada de protocolos especficos y podra describirse en una versin
posterior de este documento.
Algunas de estas estadsticas estn descritos en las pginas
https://wiki.wireshark.org/Statistics.
140
Captulo 10. Personalizacin de Wireshark

10.1. Introduccin
El comportamiento predeterminado de Wireshark suelen satisfacer sus
necesidades bastante bien. Sin embargo, a medida que se familiarice ms
con Wireshark, puede ser personalizado de diversas formas para satisfacer
sus necesidades incluso mejor. En este captulo veremos:
Cmo iniciar Wireshark con parmetros de lnea de comandos Cmo
colorear la lista de paquetes del protocolo de control Cmo la
diseccin Cmo utilizar las diversas preferencias
10.2. Iniciar desde la lnea de comandos de Wireshark
puede iniciar Wireshark desde la lnea de comandos, pero tambin puede
ser iniciado desde la mayora de los gestores de ventanas. En esta
seccin examinaremos comenzando desde la lnea de comandos.
Wireshark es compatible con un gran nmero de parmetros de lnea de
comandos. Para ver cules son, simplemente introduzca el comando
wireshark -h y la informacin de ayuda se muestra en el ejemplo 10.1,
"Informacin de ayuda disponible de Wireshark" (o algo similar) debe
imprimirse.
Ejemplo 10.1. Informacin de ayuda disponible de Wireshark
Wireshark 2.1.0 (v2.1.0rc0-502-G328FBC0 del master) volcado de manera
interactiva y analizar el trfico de la red.
Ver https://www.wireshark.org para ms informacin.
Uso: Wireshark [opciones] ... [ <infile>]
Interfaz de captura:
-i <interface>Nombre o idx de interfaz (def: primera sin bucle) -f
<capfilter|predef:>Filtro de paquetes en libpcap o sintaxis de
filtro:predef filtername - filtername predefinidos de GUI -s
<snaplen>Paquete de longitud instantnea (def: 262144) -p no capturan en
modo promiscuo -k start captura inmediatamente (DEF: No hacer nada) -s
muestra de paquetes de actualizacin cuando se capturan paquetes nuevos -
l para activar el desplazamiento automtico mientras est en uso -S -
puedo capturar en modo monitor, si est disponible -B <buffer size>Tamao
del buffer del kernel (def: 2MB) -y <link type>El tipo de capa de enlace
(DEF: En primer lugar apropiado) --time-stamp-tipo <type>Mtodo timestamp
para interfaz de impresin -D Lista de interfaces y salir -l imprimir
lista de tipos de capa de enlace de iface y salida --list-time-stamp-
tipos Imprimir lista de tipos timestamp para iface y salir
capturar condiciones de parada:
-c <packet count>Parada despus de n paquetes (def: infinito) -un
<autostop cond.>... Duracin:NUM - parada despus NUM segundos
filesize:NUM - detener este archivo despus de NUM KB archivos:NUM -
parada despus de la salida de Captura de archivos NUM:
-b <ringbuffer opt.>... Duracin:NUM - cambiar al siguiente archivo
despus NUM seg filesize:NUM - cambiar al siguiente archivo despus NUM
141 KB
Personalizacin de Wireshark,
archivos:NUM - ringbuffer: sustituir despus NUM archivos RPCAP Opciones:
-Un <user>: <password>Utilice la autenticacin de contrasea RPCAP
archivo de entrada:
-r <infile>Defina el nombre del archivo desde el que se leer (sin tubos
o stdin!)
Procesamiento:
-R <read filter>Filtro de paquetes en Wireshark filtro Mostrar sintaxis -
n nombre de deshabilitar todas las resoluciones (def: todos activado) -N
<name resolve flags>Habilitar la resolucin de nombres especfico(s):
"mnNtCd" -d <layer_type>== <selector>, <decode_as_protocol>...
"Decode", consulte la pgina man para ms informacin Ejemplo:
tcp.port==8888,http --disable-protocolo <proto_name>Deshabilitar la
diseccin de Proto_name --enable-heuristic <short_name>Habilitar la
diseccin del protocolo heurstica --disable-heuristic
<short_name>Deshabilitar la diseccin de heurstica de la
interfaz de usuario de protocolo:
-C <config profile>Inicio Perfil de configuracin especificado con -s
<display filter>Comience con el filtro de pantalla -g <packet number>Ir a
Paquete Nmero especificado despus de "-r" -J <jump filter>Saltar al
primer paquete que coincida con el filtro (pantalla) -j bsqueda hacia
atrs para un paquete que coincida despus de "-J" -m<font> define el
nombre de la fuente utilizada para la mayora de los textos -t
un|ad|d|dd|e|r|u|ud el formato de salida de las marcas de tiempo (def: r:
rel. a primera) -u s|hms formato de salida de segundos (def: s: segundos)
-X <key>: <value>Opciones de ampliacin, consulte la pgina man de
detalles -z <statistics>Mostrar diversas estadsticas, consulte la pgina
man para ms informacin
:
-w de salida <outfile|->Establezca el nombre del archivo de salida (o '-'
para stdout)
Varios:
-h Muestra esta ayuda y salir -v muestra informacin de la versin y
salir -P <key>: <path>Persconf:ruta - archivos de configuracin
personales persdata:ruta - archivos de datos personales -o <name>:
<value>... Invalidar la preferencia o la reciente establecimiento -K
<keytab>Archivo keytab para utilizar Kerberos para descifrado
examinaremos cada una de las opciones de lnea de comandos a la vez.
Lo primero que llama la atencin es que el comando wireshark por s
traer Wireshark.
Sin embargo, usted puede incluir muchos de los parmetros de lnea de
comando como desee. Sus significados son los siguientes (en orden
alfabtico):
-a <capture autostop condition>Especificar un criterio que especifica
cuando Wireshark es dejar de escribir en un archivo de captura. El
criterio es del tipo test:valor, donde la prueba es uno de los
siguientes:
duracin:valor parar de escribir en un archivo de captura despus de que
el valor de segundos que han transcurrido.
filesize:valor parar de escribir en un archivo de captura despus de que
alcanza un tamao de valor kilobytes (donde un kilobyte es 1000 bytes, no
de 1024 bytes). Si se utiliza esta opcin junto con la opcin -b,
Wireshark dejar de escribir en el archivo de captura actual y pasar a la
siguiente si se alcanza un tamao de archivo.
Los archivos:valor detener la escritura a archivos de captura despus de
que el valor Nmero de archivos fueron escritos.
142
Personalizacin de Wireshark
-b <capture ring buffer option>Si el tamao del archivo de captura mxima
especificada, esta opcin hace que Wireshark para ejecutarse en modo
"bfer", con el nmero especificado de archivos. En el "anillo", un modo
de bfer Wireshark escribir a varios archivos de captura. Su nombre se
basa en el nmero de archivo y la fecha y hora de creacin.
Cuando el primer archivo de captura llena de Wireshark cambiar al
escribir en el archivo siguiente, y as sucesivamente. Con el
<command>Archivos </command>Opcin tambin es posible formar un "anillo".
Esto permitir llenar los nuevos archivos hasta que el nmero de archivos
especificados, punto en el cual los datos del primer archivo se
descartarn as un nuevo archivo puede ser escrito.
Si el facultativo <command>Duracin </command>Es especificado, Wireshark
tambin cambiar al siguiente archivo cuando el nmero especificado de
segundos incluso si el archivo actual no est completamente llena de
duracin. </command>:Valor cambie al siguiente archivo despus de que el
valor segundos han transcurrido, incluso si el archivo actual no est
completamente lleno.
filesize </command>:Valor cambiar al siguiente archivo despus de que
alcanza un tamao de valor kilobytes (donde un kilobyte es 1000 bytes, no
archivos de 1024 bytes). </command>:Valor empezar de nuevo con el primer
archivo despus de que el valor Nmero de archivos fueron escritos (forma
un anillo).
-B <capture buffer size>Establecer el tamao del bfer de captura (en MB,
que por defecto es 1MB). Este es utilizado por el controlador de captura
para capturar paquetes de datos hasta que los datos se escriben en el
disco. Si se producen cadas de paquetes durante la captura, intente
aumentar este tamao. No se admite en algunas plataformas.
-C <capture packet count>Esta opcin especifica el nmero mximo de
paquetes para capturar al capturar datos en directo. Sera utilizado en
conjuncin con la opcin -k.
-D Imprimir una lista de las interfaces en las que Wireshark puede
capturar y, a continuacin, salir. Para cada interfaz de red, un nmero y
un nombre de interfaz, posiblemente seguida de una descripcin de texto
de la interfaz, se imprime. El nombre de la interfaz o el nmero puede
ser suministrado al distintivo -i para especificar una interfaz en la
cual se captura.
Esto puede ser til en sistemas que no tienen un comando a la lista (por
ejemplo, los sistemas Windows o UNIX carente de ifconfig -a). El nmero
puede ser especialmente til en Windows, donde el nombre de interfaz es
un GUID.
Tenga en cuenta que puede "capturar" significa que Wireshark fue capaz de
abrir el dispositivo para realizar una captura en vivo. Si, en el
sistema, un programa haciendo una captura de red se debe ejecutar desde
una cuenta con privilegios especiales (por ejemplo, el root), entonces,
si Wireshark es ejecutar con el distintivo -d y no se ejecuta desde una
cuenta de este tipo, que no contiene ninguna lista de interfaces.
-F <capture filter>Esta opcin establece la captura inicial expresin de
filtro que se usa cuando la captura de paquetes.
-G <packet number>Despus de la lectura de un archivo de captura
utilizando el distintivo -r, vaya al nmero de paquetes.
-H: La opcin -h peticiones Wireshark para imprimir su versin y las
instrucciones de uso (como se muestra arriba) y salir.
143
-i <capture interface>Establezca el nombre de la interfaz de red o el
tubo a utilizar para vivir la captura de paquetes.
Nombres de interfaz de red debe coincidir con uno de los nombres que
figuran en Wireshark -D (descrito anteriormente).
Un nmero, segn lo informado por wireshark -D, tambin puede ser
utilizado. Si usas Unix, netstat -i o ifconfig -a puede tambin trabajar
para una lista de los nombres de interfaz, aunque no todas las versiones
de UNIX admiten el indicador -a de ifconfig.
Si no se especifica ninguna interfaz, Wireshark busca en la lista de
interfaces, eligiendo el primer no-interfaz de loopback si hay cualquier
no-interfaces de loopback, y eligiendo la primera interfaz de loopback si
no hay interfaces de loopback; si no hay interfaces, Wireshark informa de
un error y no se inicia la captura.
Los nombres del tubo debe ser el nombre de un FIFO (tubera con nombre) o
"-" para leer los datos desde la entrada estndar. Los datos ledos de
los tubos debe ser estndar en formato libpcap.
-J <jump filter>Despus de la lectura de un archivo de captura utilizando
el distintivo -r, saltar al primer paquete que coincida con la expresin
de filtro. La expresin de filtro en filtro Mostrar formato. Si no
encuentra una coincidencia exacta del primer paquete despus es
seleccionado.
-Puedo capturar paquetes inalmbricos en modo monitor si est disponible.
-J Utilice esta opcin despus de la opcin -j para buscar hacia atrs
para un primer paquete para ir a.
-K La opcin -k especifica que Wireshark debera empezar a capturar
paquetes inmediatamente. Esta opcin requiere el uso del parmetro -i
para especificar la interfaz que se producir a partir de la captura de
paquetes.
-K <keytab file>Utilice el archivo especificado para el descifrado de
Kerberos.
-L Esta opcin activa el desplazamiento automtico si el panel Lista de
paquetes se actualizan automticamente a medida que los paquetes lleguen
durante una captura ( segn lo especificado por el distintivo -S).
-L Lista los tipos de enlace de datos admitidos por la interfaz y salir.
--List-time-stamp-Lista de tipos tipos timestamp configurable para el
iface y salir
-m<font> Esta opcin establece el nombre de la fuente utilizada para el
texto mostrado por la mayora de Wireshark.
-N objeto de red desactivar la resolucin de nombres (como nombre de
host, los nombres de los puertos TCP y UDP).
-N <name resolving flags>Enciende resolver nombres para determinados
tipos de direcciones y nmeros de puerto. El argumento es una cadena que
puede contener las letras m para activar la resolucin de direcciones
MAC, n para activar la resolucin de direcciones de red, y t para activar
la capa de transporte resolucin nmero de puerto. Esto anula -n si ambos
-N y -n estn presentes. La letra d permite la resolucin de capturados
paquetes DNS.
144
-O. <preference or recent settings>Establece una preferencia o valor
reciente, anulando el valor predeterminado y cualquier valor ledo desde
un archivo reciente o preferencia. El argumento de la bandera es una
cadena de forma prefname:valor, donde prefname es el nombre de la
preferencia (que es el mismo nombre que aparece en el archivo de
preferencias o reciente), y el valor es el valor que debe establecerse.
Varias instancias de '-o <preference settings>' Puede ser dado en una
sola lnea de comandos.
Un ejemplo de configuracin de una sola preferencia sera:
Wireshark -o.display_mgcp diseccionar_tree:TRUE
Un ejemplo de configuracin de las preferencias seran mltiples:
Wireshark -o.display_mgcp diseccionar_tree:TRUE -o
mgcp.UDP.callagent_port:2627
puede obtener una lista de todas las preferencias disponibles cadenas
desde el archivo de preferencias. Consulte el Apndice B, Archivos y
carpetas para obtener ms informacin.
Tablas de acceso Usuario puede anularse mediante "uat", seguido por el
nombre de archivo y la UAT un registro vlido para el archivo:
Wireshark -o "uat:user_DLT:\"Usuario 0 (DLT=147)\", \"http\", \"0\"\"\",
\"0\"\"\""
El ejemplo anterior disecaran paquetes con un tipo de enlace de datos
libpcap 147 como HTTP, como si se hubiera configurado en las preferencias
del protocolo DLT_USER.
-P No poner la interfaz en modo promiscuo. Tenga en cuenta que la
interfaz podra ser en modo promiscuo por alguna otra razn. Por lo
tanto, -p no puede ser utilizada para asegurar que el nico trfico que
se capta es el trfico enviado a o desde la mquina en la que se est
ejecutando Wireshark, el trfico de difusin y multidifusin a
direcciones de trfico recibido por esa mquina.
-P <path setting>Configuracin de rutas especiales por lo general se
detecta automticamente. Esto se utiliza para casos especiales, por
ejemplo, iniciar Wireshark desde una ubicacin conocida en una memoria
USB.
El criterio es la forma clave:ruta, donde la clave es uno de los
siguientes:
persconf:ruta de archivos de configuracin personales, como los archivos
de preferencias.
persdata:ruta de ficheros de datos personales, es la carpeta abierto
inicialmente. Despus de la inicializacin, el archivo reciente mantendr
la carpeta utilizada por ltima vez.
-Q Esta opcin fuerza Wireshark para salir cuando la captura es completa.
Puede utilizarse con la opcin -c .
Debe usarse junto con la opcin -i y -w opciones.
-R <infile>Esta opcin proporciona el nombre de un archivo de captura de
Wireshark para leer y mostrar. Este archivo de captura puede estar en uno
de los formatos que entiende de Wireshark.
-R <read (display) filter>Esta opcin especifica un filtro de
presentacin que se aplican cuando los paquetes de lectura de un archivo
de captura. La sintaxis de este filtro es la de los filtros de
visualizacin se discute en la seccin 6.3, "paquetes de filtrado
mientras ve".
Los paquetes que no coincidan con el filtro se descartan.
145
-s <capture snapshot length>Esta opcin especifica la longitud
instantnea para utilizar cuando la captura de paquetes. Wireshark slo
capturar snaplen bytes de datos para cada paquete.
Esta opcin -s especifica que Wireshark mostrar los paquetes a la
captura. Esto se realiza mediante la captura en un proceso y mostrarlos
en un proceso separado. Este es el mismo como "Actualizar la lista de
paquetes en tiempo real" en la opcin "Capturar" el cuadro de dilogo
Opciones.
-T <time stamp format>Esta opcin establece el formato de paquetes de
marcas que se muestran en la ventana de la lista de paquetes. El formato
puede ser uno de los siguientes:
r relativa, que especifica las marcas de tiempo se muestran con respecto
al primer paquete han capturado
un absoluto, que especifica que los tiempos actuales se muestran para
todos los paquetes.
ad absoluta con fecha, que especifica que las fechas reales y a veces se
muestran para todos los paquetes.
d Delta, que especifica que las marcas de tiempo son relativos al paquete
anterior.
e Epoch, que especifica que las marcas de tiempo son segundos desde el
epoch (Jan 1, 1970 00:00:00)
-u<s | hms> Muestra timesamps como segundos (s, el predeterminado) o en
horas, minutos y seconts (HMS)
-v la opcin -v peticiones Wireshark para imprimir su informacin de
versin y sale.
-W <savefile>Esta opcin establece el nombre del archivo que se va a
utilizar para guardar los paquetes capturados.
-Y. <capture link type>Si una captura se inicia desde la lnea de
comandos con la opcin -k, establezca el tipo de enlace de datos para
usar mientras la captura de paquetes. Los valores reportados por -L son
los valores que se pueden utilizar.
--El tipo de timbre de hora <type>Si una captura se inicia desde la lnea
de comandos con la opcin -k, establezca el tipo de enlace de datos para
usar mientras la captura de paquetes. Los valores reportados por --list-
time-stamp-tipos son los valores que se pueden utilizar.
-X <eXtension option>Especifique una opcin para pasarse a un mdulo de
TShark. La opcin de extensin es la forma en la extension_clave:valor,
donde extension_clave puede ser:
lua_script:lua_SCRIPT_FILENAME Indica Wireshark para cargar el script
adems de los scripts Lua predeterminado.
lua_script[num]:argumento narra Wireshark para pasar el argumento dado al
script lua identificadas por num, que es el nmero de la orden indizado
lua_comando script. Por ejemplo, si slo hay un guin fue cargado con -
x_lua:mi script.lua, lua_script -X1:foo pasar la cadena foo
146
a mi script.lua. Si se cargaron dos secuencias de comandos, tales como -
X_lua:mi script.lua y -x lua_script.lua:otros en ese orden, un script
lua_-X2:bar pasara la cadena a la segunda barra de script lua, a saber
otras.lua.
-Z <statistics-string>Obtenga Wireshark para recoger diversos tipos de
estadsticas y mostrar el resultado en una ventana que actualiza en semi-
tiempo real.
10.3. Colorizacin de paquetes
un mecanismo muy til disponible en Wireshark es packet coloreado. Puede
configurar Wireshark para que colorear paquetes segn un filtro de
visualizacin. Esto le permite destacar los paquetes que pueda ser de su
inters.
Usted puede encontrar un montn de ejemplos de reglas de colorantes en
Wireshark Wiki Reglas de colores en la pgina https://
wiki.wireshark.org/ColoringRules.
Hay dos tipos de reglas de colores en Wireshark: normas temporales que
slo estn en vigor hasta que salga del programa y las normas permanentes
que se guardan en un archivo de preferencias para que estn disponibles
la prxima vez que ejecute Wireshark.
Se pueden agregar reglas temporales seleccionando un paquete y pulsando
la tecla Ctrl junto con una de las teclas numricas. Esto crear un
colorante regla basada en la conversacin seleccionada actualmente. Se
intenta crear una conversacin filtro basado en TCP en primer lugar y, a
continuacin, UDP, IP y Ethernet en el pasado. Filtros temporales
pueden tambin crearse seleccionando el colorear con filtro Color x
elementos de men al hacer clic con el botn secundario en el panel de
detalles del paquete.
Permanentemente para colorear de paquetes, seleccione Ver Reglas de
colores.... Wireshark mostrar las "Reglas de Colores" cuadro de dilogo
como se muestra en Figura 10.1, "la coloracin "Reglas" cuadro de
dilogo".
Figura 10.1. Las "reglas" para colorear el cuadro de dilogo
Personalizacin 147 Wireshark

si esta es la primera vez que utilice el cuadro de dilogo Reglas para
colorear y ests utilizando la configuracin por defecto debera ver
perfil las reglas predeterminadas, mostrada anteriormente.
El primer partido gana
ms normas especficas deben generalmente ser enumerados antes de reglas
ms generales. Por ejemplo, si tiene una regla para colorear para UDP
antes del uno de DNS, la regla para DNS no pueden ser aplicados (DNS
suele ser prorrogados UDP UDP y la regla coincidir en primer lugar).
Puede crear una regla nueva haciendo clic en el botn +. Puede eliminar
una o ms reglas haciendo clic en el botn -. El botn "Copiar" va a
duplicar una regla.
Puede editar una regla haciendo doble clic en su nombre o en el filtro.
En la figura 10.1, "la coloracin "Reglas" cuadro de dilogo" el nombre
de la regla de "errores de checksum" est siendo editado. Haciendo clic
en los botones de primer plano y de fondo se abre un selector de color
(Figura 10.2, "un selector de colores") para el primer plano (texto) y
colores de fondo, respectivamente.
Figura 10.2. Un selector de color
del Selector de color apariencia depende de su sistema operativo. El
selector de color de MacOS es mostrado. Seleccione el color que desee
para los paquetes seleccionados y haga clic en Aceptar.
Figura 10.3, "Usando filtros de color con Wireshark" muestra un ejemplo
de varios filtros de color utilizado en Wireshark. Tenga en cuenta que la
trama detalle demuestra que el "malo" de TCP REGLA regla fue aplicado,
junto con el filtro coincidente.
148
Figura 10.3. Utilizar filtros de color con Wireshark
10.4. Protocolo de control de la diseccin,
el usuario puede controlar cmo se disecan los protocolos.
Cada protocolo tiene su propio disector, disecando un paquete completo
suele implicar a varios disectores. Como Wireshark intenta encontrar el
disector de derecho para cada paquete (usando "rutas" esttico y
heurstica "adivinar"), puede elegir el disector equivocado en su caso
especfico. Por ejemplo, Wireshark no sabr si utiliza un protocolo comn
sobre un puerto TCP infrecuente, por ejemplo mediante HTTP en el puerto
TCP 800 en lugar del puerto 80 estndar.
Hay dos formas de controlar las relaciones entre disectores de protocolo:
deshabilitar completamente el disector un protocolo o desviar
temporalmente el camino llama a los disectores Wireshark.
10.4.1. Los "Protocolos habilitados" cuadro de dilogo
El cuadro de dilogo Protocolos habilitados permite habilitar o
deshabilitar protocolos especficos. Todos los protocolos estn
habilitados de forma predeterminada. Cuando se desactiva un protocolo,
Wireshark deja de procesar un paquete cada vez que el protocolo se
encuentre.
Nota:
desactivar un protocolo impedir la informacin acerca de los protocolos
de capa superior de mostrarse. Por ejemplo, suponga que ha desactivado el
protocolo IP y seleccionado un paquete con Ethernet, IP, TCP, HTTP y la
informacin. La informacin de Ethernet se mostrara, pero la IP, TCP y
HTTP: desactivacin de la informacin no evitara que IP y otros
protocolos de mostrarse.
Para habilitar o inhabilitar los protocolos seleccione Analizar
Protocolos habilitados.... Wireshark aparecer la "Protocolos
habilitados" cuadro de dilogo como se muestra en Figura 10.4, "La
"Protocolos habilitados" cuadro de dilogo".
149
Figura 10.4. Los "Protocolos habilitados" cuadro de dilogo
para habilitar o deshabilitar un protocolo, simplemente haga clic sobre
l con el ratn o presionar la BARRA ESPACIADORA cuando el protocolo est
resaltada. Tenga en cuenta que escribir las primeras letras del nombre
del protocolo Protocolos habilitados cuando el cuadro de dilogo se
abrir temporalmente activa un cuadro de texto de bsqueda y selecciona
automticamente el primer protocolo coincidente el nombre (si existe).
Debe utilizar el botn Guardar para guardar la configuracin. Los botones
Aceptar o Aplicar no guardar los cambios permanentemente y se perdern
cuando Wireshark es cerrado.
1. Habilitar todas: Habilitar todos los protocolos de la lista.
2. Deshabilitar todas: desactivar todos los protocolos de la lista.
3. Invertir: alternar el estado de todos los protocolos de la lista.
4. OK: Aplicar los cambios y cerrar el cuadro de dilogo.
5. Aplicar: Aplica los cambios y mantener el cuadro de dilogo Abrir.
150
6. Guardar: Guarda la configuracin para los discapacitados_protos, vase
el apndice B, Archivos y carpetas para obtener ms informacin.
7. Cancelar: cancela los cambios y cerrar el cuadro de dilogo.
10.4.2. Decodifica
el usuario especificado como "Decode" funcionalidad le permite desviar
temporalmente disecciones de protocolo especfico. Esto puede ser til
por ejemplo, si hacer algunos experimentos poco comn en la red.
Decodificar Como se accede seleccionando el analizar Decodificar
Como.... Wireshark aparecer la "Decode" como cuadro de dilogo como el
que se muestra en Figura 10.5, "descodificar" como cuadro de dilogo".
Figura 10.5. "Descodificar" el cuadro de dilogo como
el contenido de este cuadro de dilogo depende del paquete seleccionado
cuando se abri.
Estos ajustes se perdern si sale de Wireshark o cambiar el perfil, a
menos que guarde las entradas en el Show Usuario especificado
decodifica... windows (Seccin 10.4.3, "Mostrar") descodifica
especificados por el usuario.
1. Decodificacin: Decodificar paquetes de la forma seleccionada.
2. No descodificar: No decodifique paquetes la forma seleccionada.
3. Link/red/transporte: Especifica la capa de red en la que como "Decode"
debera tener lugar. Cul de estas pginas estn disponibles depende del
contenido del paquete seleccionado cuando se abre este cuadro de dilogo.
4. Mostrar actual: abre un cuadro de dilogo que muestra la lista actual
de usuario especificado decodificaciones.
5. OK: Aplicar la decodificacin actualmente seleccionada y cerrar el
cuadro de dilogo.
6. Aplicar: Aplica la decodificacin actualmente seleccionado y mantener
el cuadro de dilogo Abrir.
151
7. Cancelar: cancela los cambios y cerrar el cuadro de dilogo.
10.4.3. Mostrar usuario especificado decodifica
este cuadro de dilogo muestra los activos actualmente descodifica
especificados por el usuario. Estas entradas pueden ser guardadas en el
perfil actual para una sesin posterior.
Figura 10.6. "Decodificar Como: mostrar el cuadro de dilogo"
1. OK: Cierra el cuadro de dilogo.
2. Guardar: guarda las entradas de la tabla en el perfil actual.
3. Borrar: elimina todos los usuario especificado decodifica sin
actualizar el perfil.
10.5. Preferencias,
hay una serie de opciones que puede establecer. Simplemente seleccione
Editar Preferencias... (Wireshark Preferencias... en MacOS) y
Wireshark aparecer el cuadro de dilogo Preferencias tal como se muestra
en Figura 10.7, "El cuadro de dilogo Preferencias", con la "interfaz de
usuario" de la pgina por defecto. En el lado izquierdo hay un rbol
donde puede seleccionar la pgina que se mostrar.
El botn Aceptar se aplicarn las preferencias configuracin y cerrar
el cuadro de dilogo.
El botn Aplicar aplicar la configuracin de preferencias y mantener
abierto el dilogo.
El botn Cancelar restablecer todos los ajustes de preferencias al
ltimo estado guardado.
152
Figura 10.7. El cuadro de dilogo Preferencias
10.5.1. Opciones de interfaz
en la "captura" Preferencias es posible configurar varias opciones para
las interfaces disponibles en el equipo. Seleccione el panel de "captura"
y pulse el botn Editar. En esta ventana es posible cambiar el encabezado
de capa de enlace predeterminado para el tipo de interfaz, agregue un
comentario o elegir ocultar una interfaz desde otras partes del programa.
Figura 10.8. El cuadro de dilogo Opciones de la interfaz de
cada fila contiene opciones para cada interfaz disponible en su
ordenador.
El dispositivo: el nombre de dispositivo proporcionado por el sistema
operativo.
Descripcin: proporcionado por el sistema operativo.
153
Capa de enlace predeterminado: cada interfaz puede proporcionar varios
tipos de cabezal de capa de enlace. La capa de enlace predeterminado
elegido aqu es el que se utiliza cuando se arranca por primera vez
Wireshark. Tambin es posible cambiar este valor en la seccin 4.5,
"Opciones" la opcin "Capturar" el cuadro de dilogo al iniciar una
captura. Para una descripcin detallada, consulte Seccin 4.12, "La capa
de enlace de tipo cabezal".
Comentario: Un usuario siempre que la descripcin de la interfaz. Este
comentario ser usado como una descripcin en lugar de la descripcin del
sistema operativo.
Ocultar?: active esta opcin para ocultar la interfaz desde otras
partes del programa.
10.6. Los perfiles de configuracin
de perfiles de configuracin se puede utilizar para configurar y utilizar
ms de un conjunto de preferencias y configuraciones. Seleccione los
perfiles de configuracin... del men en el men Editar, o simplemente
presione Mays, Ctrl-A; y Wireshark aparecer el cuadro de dilogo
Perfiles de configuracin como se muestra en Figura 10.9, "El cuadro de
dilogo Perfiles de configuracin". Tambin es posible hacer clic en el
"Perfil" de la barra de estado para que aparezca un men emergente con
los perfiles de configuracin disponibles (Figura 3.22, "La barra de
estado con un perfil de configuracin menu").
Archivos de configuracin almacenados en los perfiles:
preferencias (preferences) (seccin 10.5, "Preferencias") Filtros de
captura (cfilters) (Seccin 6.6, "Definicin y guardar filtros")
Filtros de visualizacin (dfilters) (Seccin 6.6, "Definicin y guardar
filtros") Reglas de colores (colorfilters) (seccin 10.3, "paquetes" de
colorizacin) Protocolos Desactivado (Disabled_protos) (Seccin 10.4.1,
"El "Protocolos habilitados" cuadro de dilogo") tablas accesibles por
el usuario:
Los encabezados HTTP personalizados (custom_http_header_fields) El
FMI encabezados personalizados (FMI_header_fields) tipos AttributeValue
LDAP personalizado (custom_ldap_attribute_types) Filtro Mostrar Macros
(Macros)_dfilter (Seccin 10.8, "Mostrar filtro Macros") Los atributos
de la categora de ESS (ESS_category_attributes) (seccin 10.9, "ESS")
los atributos de la categora GeoIP Database caminos (geoip_db_paths)
(Seccin 10.10, "Las Rutas de la base de datos GeoIP") Protocolos (K12
K12_protos) (Seccin 10.19, "Tektronix K12xx/15 RF5 Tabla de protocolos")
Identificador de objeto nombres y sintaxis asociada (Seccin 10.12,
"Identificadores de Objeto") PRES Usuarios Lista contexto
(pres_context_list) (Seccin 10.13, "PRES Usuarios Lista Contexto")
SCCP tabla Users (Usuarios_SCCP) (Seccin 10.14, "SCCP Tabla users")
Enterprise SNMP Trap especfica tipos especficos (snmp traps) (Seccin
10.17, "Enterprise SNMP Trap especfica tipos")
Los usuarios de SNMP (snmp_users) (Seccin 10.18, "SNMP Tabla users")
154
Tabla DLT de usuario (user_DLT) (Seccin 10.20, "Usuario dlt tabla")
protocolo IKEv2 Tabla de descifrado (ikev2_tabla_descifrado) (Seccin
10.11, "IKEv2 Tabla de descifrado") Cambiar las asignaciones (disector
decode_como_entradas), que se puede establecer en el cuadro de dilogo
Decodificar Como... (Seccin 10.4.2, "Usuario especificado descodifica")
y, adems, guarda en el usuario especificado decodifica... Ventana
(Seccin 10.4.3, "Mostrar") descodifica especificados por el usuario.
Algunos ajustes recientes (recientes), tales como el tamao del panel
de la ventana principal (Seccin 3.3, "La ventana principal"), los anchos
de columna en la lista de paquetes (Seccin 3.18, "La lista de paquetes
"panel""), todas las selecciones en el men "Ver" (Seccin 3.7, "El men
"Ver"") y el ltimo directorio desplazado en el dilogo de Abrir archivo.
Todas las dems configuraciones se almacenan en la carpeta de
configuracin personal, y son comunes a todos los perfiles.
Figura 10.9. El cuadro de dilogo Perfiles de configuracin
Nuevo Este botn agrega un nuevo perfil a la lista de perfiles. El nombre
del perfil creado es "nuevo perfil" y puede ser cambiado en el campo de
propiedades.
Copiar Este botn agrega un nuevo perfil a la lista de perfiles, copiar
toda la configuracin del perfil seleccionado actualmente en la lista. El
nombre del perfil creado es el mismo que el perfil copiado, con el texto
"(copia)" aplicado. Se puede cambiar el nombre en el campo de
propiedades.
Eliminar Este botn elimina el perfil seleccionado, incluyendo todos los
archivos de configuracin usados en este perfil. No es posible eliminar
el perfil "Default".
155
perfiles de configuracin puede seleccionar un perfil de configuracin de
esta lista (que se rellene el nombre del perfil en los campos en la parte
de abajo del cuadro de dilogo).
El nombre de perfil se puede cambiar el nombre del perfil seleccionado
aqu.
El nombre de perfil se utilizar como el nombre de una carpeta en el
configurado "configuraciones personales" carpeta. Si la adicin de varios
perfiles con el mismo nombre, slo un perfil ser creado.
En Windows, el nombre de perfil no puede empezar ni terminar con un punto
(.) y no puede contener ninguno de los siguientes caracteres: '\', '/',
':', '*', '?', '', '<' y '>', '|', o '+'. En Unix el nombre del
perfil no puede contener el carcter '/'.
Aceptar Este botn guarda todos los cambios, se aplica el perfil
seleccionado y se cierra el cuadro de dilogo.
Aplicar este botn guarda todos los cambios, se aplica el perfil
seleccionado y mantiene abierto el dilogo.
Cancelar Cerrar este dilogo. Esto descartar los ajustes, nuevos perfiles
no se agregan y eliminan los perfiles no se elimina.
Ayuda Mostrar esta pgina de ayuda.
10.7.
La tabla user de la tabla user editor se utiliza para gestionar varias
tablas en Wireshark. Su cuadro de dilogo principal funciona de forma muy
similar al de la seccin 10.3, "paquetes" de coloracin.
10.8. Filtro de pantalla de
filtro de pantalla de Macros Las macros son un mecanismo para crear
accesos directos para filtros complejos. Por ejemplo, la definicin de un
filtro de presentacin macro denominada tcp_conv cuyo texto es ( (ip.src
== $1 e ip.dst == $2 y tcp.srcport == $3 y tcp.dstport == $4) o (ip.src
== $2 e ip.dst == $1 y tcp.srcport == $4 y tcp.dstport == $3) )
permitira utilizar un filtro de presentacin como
${tcp_conv:10.1.1.2;10.1.1.3;1200;1400} en lugar de escribir todo el
filtro.
Filtro de pantalla, las macros pueden ser administrados con una seccin
10.7, "La tabla User" seleccionando Analizar Filtro mostrar macros
desde el men. El usuario dispone de los siguientes campos de tabla
el nombre de la macro.
Texto el texto de reemplazo para la macro utiliza $1, $2, $3, ... como
los argumentos de entrada.
10.9. Los atributos de la categora de ESS
Wireshark utiliza esta tabla para asignar los atributos de la categora
Seguridad ESS para representaciones textuales. Los valores para poner en
esta tabla se encuentran generalmente en un XML SPIF, que se utiliza para
definir las etiquetas de seguridad.
156
Esta tabla est manejado por una seccin 10.7, "la tabla user" con los
siguientes campos.
Conjunto de etiquetas de un identificador de objeto que representa la
categora Conjunto de etiquetas.
Valor El valor certificado (etiqueta y valor) que representa la
categora.
Nombre la representacin textual del valor.
10.10. Las rutas de la base de datos GeoIP
si su copia de Wireshark admite MaxMind GeoIP de biblioteca, puede
utilizar sus bases de datos para que coincida con las direcciones IP a
los pases, CITES, nmeros de sistemas autnomos, ISP y otros bits de
informacin. Algunas bases de datos estn disponibles sin costo alguno,
mientras que otros requieren una cuota de licencia. Consulte el sitio web
de MaxMind para ms informacin.
siguientes campos.
Ruta de la base de datos especifica un directorio que contiene archivos
de datos GeoIP. Todos los archivos que comienzan con el GEO y termina con
.dat se cargar automticamente. Un total de 8 archivos pueden ser
cargados.
Las ubicaciones de los archivos de datos estn arriba, pero
/usr/share/GeoIP (Linux), C:\GeoIP (Windows), C:\Archivos de
programa\Wireshark\GeoIP (Windows) podran ser buenas opciones.
10.11. IKEv2 tabla descifrado
Wireshark puede descifrar los payloads de IKEv2 (Intercambio de claves de
Internet versin 2) paquetes si es necesario se proporciona informacin.
Tenga en cuenta que slo puede descifrar los paquetes IKEv2 con esta
caracterstica. Si desea descifrar paquetes IKEv1 o paquetes ESP, utilice
el nombre de archivo del registro de ajuste bajo protocolo ISAKMP
preferencia o configuracin bajo el protocolo ESP preferencia,
respectivamente.
siguientes campos.
Del iniciador del iniciador de SPI SPI del IKE_SA. Este campo toma la
cadena hexadecimal sin el prefijo "0x" y la longitud debe ser de 16
caracteres hexadecimales (representa 8 octetos).
Del respondedor SPI SPI del respondedor del IKE_SA. Este campo toma la
cadena hexadecimal sin el prefijo "0x" y la longitud debe ser de 16
caracteres hexadecimales (representa 8 octetos).
SK_ei clave utilizada para cifrar/descifrar los paquetes IKEv2 del
iniciador al respondedor. Este campo toma la cadena hexadecimal sin el
prefijo "0x" y su longitud deber cumplir el requisito del algoritmo de
cifrado seleccionado.
SK_er clave utilizada para cifrar/descifrar los paquetes IKEv2 desde el
contestador de iniciador. Este campo toma la cadena hexadecimal sin el
prefijo "0x" y su longitud deber cumplir el requisito del algoritmo de
cifrado seleccionado.
157
Algoritmo de cifrado del algoritmo de cifrado IKE_SA.
SK_ai clave utilizada para calcular los datos de suma de comprobacin de
integridad de los paquetes IKEv2 desde el contestador de iniciador. Este
campo toma la cadena hexadecimal sin el prefijo "0x" y su longitud deber
cumplir el requisito de la integridad algoritmo seleccionado.
SK_ar clave utilizada para calcular los datos de suma de comprobacin de
integridad de los paquetes IKEv2 del iniciador al respondedor. Este campo
toma la cadena hexadecimal sin el prefijo "0x" y su longitud deber
cumplir el requisito de la integridad algoritmo seleccionado.
Algoritmo de integridad Algoritmo de integridad del IKE_SA.
10.12. Los identificadores de objeto
muchos protocolos que utilizan ASN.1 Utilice los identificadores de
objeto (OID) para identificar ciertos tipos de informacin. En muchos
casos, son utilizadas en un mecanismo de extensin de manera que los
nuevos identificadores de objetos (y los valores asociados) puede
definirse sin necesidad de cambiar la base estndar.
Aunque Wireshark tiene conocimiento acerca de muchos de los OID y la
sintaxis de sus valores asociados, la extensibilidad significa que otros
valores pueden ser encontradas.
Wireshark utiliza esta tabla para permitir al usuario definir el nombre y
la sintaxis de identificadores de objeto que Wireshark no conozca (por
ejemplo, una empresa privada X.400 define la extensin). Tambin permite
al usuario cambiar el nombre y la sintaxis de los identificadores de
objeto que s sabe acerca de Wireshark (por ejemplo, cambiando el nombre
de "Id-al-countryName" a "c").
siguientes campos.
OID la representacin de cadena del identificador de objeto, por ejemplo
"2.5.4.6".
El nombre que debe aparecer por Wireshark cuando el identificador de
objeto est diseccionado por ejemplo (c);
sintaxis La sintaxis del valor asociado con el identificador de objeto.
Esta debe ser una de las sintaxis que Wireshark ya conoce (por ej.
"PrintableString").
10.13. PRES Usuarios Lista Contexto
Wireshark utiliza esta tabla para asignar un identificador de contexto de
presentacin para un determinado identificador de objeto cuando la
captura no contienen una pres paquete con una presentacin de la lista de
definicin de contexto para la conversacin.
siguientes campos.
Id. de contexto un entero que representa el contexto de presentacin
identificador para que esta asociacin es vlida.
Sintaxis Nombre OID el identificador de objeto que representa el nombre
de sintaxis abstracta, que define el protocolo que se lleva a cabo esta
asociacin.
158
10.14. Tabla de usuarios SCCP
Wireshark utiliza esta tabla para asignar protocolos especficos para una
determinada combinacin de DPC/SSN para SCCP.
siguientes campos.
Indicador de red un nmero entero que representa el indicador de la red
para que esta asociacin es vlida.
Dpc llamado un rango de nmeros enteros que representan el dpcs para que
esta asociacin es vlida.
Llama ssn un rango de nmeros enteros que representan la SSN para que
esta asociacin es vlida.
El protocolo protocolo de usuario que se lleva a cabo esta asociacin
10.15. SMI (MIB y PIB) Mdulos
si su copia de Wireshark admite libSMI, puede especificar una lista de
mdulos MIB y PIB aqu. Los policas y disectores SNMP pueden utilizarlos
para resolver OID.
Nombre del mdulo el nombre del mdulo, por ejemplo IF-MIB.
10.16. SMI (MIB y PIB) Caminos
si su copia de Wireshark admite libSMI, puede especificar uno o ms
trazados a MIB y mdulos de PIB aqu.
Nombre de directorio de un mdulo, por ejemplo, el directorio
/usr/local/snmp/mibs. Wireshark utilizar automticamente la ruta SMI
estndar para su sistema, por lo que normalmente no es preciso aadir
nada aqu.
10.17. Enterprise SNMP Trap especfica tipos
Wireshark utiliza esta tabla para asignar valores de captura especficos
a las descripciones definidas por el usuario en una trampa de la PDU. La
descripcin se muestra en el paquete detalles especficos de trampa de
elemento.
siguientes campos.
Empresa OID el identificador de objeto que representa el objeto genera la
trampa.
Identificacin de captura un nmero entero que representa el cdigo de
captura especfico.
Descripcin La descripcin para mostrar detalles en el paquete.
10.18. Tabla de usuarios SNMP
Wireshark utiliza esta tabla para comprobar la autenticacin y para
descifrar los paquetes de SNMPv3.
159
siguientes campos.
ID del motor si se da esta entrada se utilizar slo para paquetes cuyo
motor id est presente. Este campo toma una cadena hexadecimal en forma
0102030405.
Este nombre de usuario es el nombre de usuario. Cuando un usuario tiene
ms de una contrasea para diferentes motores de SNMP para que coincida
con la primera entrada es tomado, tanto si necesita un motor catch all-id
(vaco) que la entrada debera ser la ltima.
Modelo de autenticacin que auth modelo a utilizar (o "MD5" o "SHA1").
Contrasea La contrasea de autenticacin. Usar \xDD para caracteres no
imprimibles. Una contrasea hexadecimal debe introducirse como una
secuencia de caracteres \xDD. Por ejemplo, el hexadecimal 010203040506
contrasea debe escribirse como \x01\x02\x03\x04\x05\x06. El carcter \
debe tratarse como un carcter no imprimible, es decir,
ste debe ser introducido como \x5C o \x5c.
Protocolo de privacidad Qu algoritmo de cifrado a utilizar (ya sea "Des"
o ''AES").
Contrasea de privacidad La contrasea de privacidad. Usar \xDD para
caracteres no imprimibles. Una contrasea hexadecimal debe introducirse
como una secuencia de caracteres \xDD. Por ejemplo, el hexadecimal
010203040506 contrasea debe escribirse como \x01\x02\x03\x04\x05\x06. El
carcter \ debe tratarse como un carcter no imprimible, es decir,
ste debe ser introducido como \x5C o \x5c.
10.19. Tektronix K12xx/15 RF5 Tabla de protocolos
El Tektronix K12xx/15 rf5 utiliza el formato de archivo de archivos
auxiliares (.STK) para identificar los diversos protocolos que son
utilizados por una determinada interfaz. Wireshark no lee estos stk
archivos, utiliza una tabla que le ayuda a identificar qu protocolo de
capa inferior para utilizar.
Stk archivo coincidente de protocolo est manejado por una seccin 10.7,
"la tabla user" con los siguientes campos.
Cadena de coincidencia una coincidencia parcial para un stk filename, el
primer partido gana, por lo tanto, si usted tiene un caso especfico y
una general el especfico debe aparecer primero en la lista.
Este protocolo es el nombre del protocolo de encapsulacin (la capa ms
baja en los paquetes de datos) puede ser simplemente el nombre del
protocolo (por ejemplo, eth2 MTP_witoutfcs, sscf-nni ) o el nombre del
protocolo de encapsulamiento y el protocolo a travs de "aplicacin",
separados por una coma (ej:sscf sscop-nni, sscop:alcap, sscop:nbap, ...)
10.20. Protocolo dlt usuario tabla
cuando un archivo pcap utiliza uno de los usuarios DLT (147 a 162)
wireshark utiliza esta tabla para saber qu protocolo(s) que se va a
utilizar para cada usuario DLT.
siguientes campos.
160
DLT DLT uno de los usuarios.
Protocolo de carga este es el nombre de la carga de protocolo (la capa
ms baja en los paquetes de datos). (P. ej. "Eth" para ethernet, "ip"
para
el tamao del encabezado de IPv4) Si hay un encabezado de protocolo
(antes de que el protocolo de payload) esto indica que el tamao del
cabezal. Un valor de 0 desactiva el encabezado de protocolo.
Protocolo encabezado Nombre del encabezado de protocolo para ser
utilizado (utiliza "datos" como valor predeterminado).
Tamao del remolque si hay un remolque protocol (despus de la carga til
protocolo) esto indica que el tamao de este trailer. Un valor de 0
desactiva el protocolo de remolque.
Protocolo de remolque remolque el nombre del protocolo que se va a
utilizar (utiliza "datos" como valor predeterminado).
161
Apndice A. Mensajes de Wireshark

Wireshark le proporciona informacin adicional generado a partir de los
datos de paquete normal o puede ser que necesite para indicar problemas
de diseccin. Los mensajes generados por Wireshark se suelen colocar
entre corchetes ("[]").
A.1. Los mensajes de la lista de paquetes
estos mensajes pueden aparecer en la lista de paquetes.
A.1.1. [Mal] Paquetes
Paquete incorrecto significa que el disector del protocolo no puede
disecar el contenido del paquete.
Puede haber varios motivos:
El disector equivocado: Wireshark errneamente ha elegido el disector
del protocolo incorrecto para este paquete. Esto ocurrir, por ejemplo,
si est utilizando un protocolo no en su conocido puerto TCP o UDP. Usted
puede intentar analizar|Decodificar Como para eludir este problema.
Paquete no reensamblan: El paquete es ms que un solo marco y no se
rearm, consulte Seccin 7.8, "Montaje de Paquetes" para ms detalles.
Paquete es incorrecto: El paquete es realmente malo (mal), lo que
significa que una parte del paquete no es tan esperado (no siguiendo las
especificaciones del protocolo).
Disector es buggy: el disector del protocolo correspondiente es
simplemente buggy o an incompleta.
Ninguna de las opciones anteriores es posible. Usted tendr que examinar
la situacin especfica para determinar la razn. Se puede desactivar el
disector deshabilitando el protocolo en el men Analizar y comprobar cmo
Wireshark muestra el paquete. Usted podra (si es TCP) permiten el
montaje para TCP y el disector especfico (si es posible) en el men
Edit|Preferencias. Puede comprobar el contenido del paquete usted mismo
leyendo el packet bytes y comparndola con la especificacin del
protocolo. Esto podra revelar un disector bug. O usted podra descubrir
que el paquete es realmente malo.
A.1.2. [Tamao de paquete limitado durante la captura]
El tamao del paquete fue limitado durante la captura, vase "Limitar
cada paquete a n bytes" en la seccin 4.5, "El "capturar" el cuadro de
dilogo de opciones". Durante la diseccin, el disector del protocolo
actual era simplemente salir corriendo de packet bytes y tuvo que
renunciar. No hay nada que puedas hacer ahora, excepto para repetir todo
el proceso de captura de nuevo con un mayor (o no) la limitacin de
tamao de paquetes.
A.2. Detalles de paquetes de mensajes
Estos mensajes pueden aparecer en los detalles del paquete.
A.2.1. [Respuesta en bastidor: 123]
El paquete actual es la peticin de que se ha detectado un par de
solicitud/respuesta. Puede saltar directamente a la respuesta
correspondiente paquete simplemente haciendo doble clic en este mensaje.
162
mensajes de Wireshark
A.2.2. [Peticin de fotograma: 123]
mismo como "Respuesta en el bastidor: 123" anterior, pero al revs.
A.2.3. [Tiempo de peticin: 0.123 Segundos]
El tiempo entre la solicitud y la respuesta de paquetes.
A.2.4. [Stream setup por protocolo (cuadro 123)]
el control de sesin de protocolo (SDP, H225, etc) mensaje que marc la
creacin de este perodo de sesiones. Puede saltar directamente a la
correspondiente paquete simplemente haciendo doble clic en este mensaje.
163
Apndice B. Archivos y carpetas

B.1. Los archivos de captura
para entender qu informacin estar disponible despus de los paquetes
capturados se guardan en un archivo de captura, es til saber un poco
acerca de los contenidos del archivo de captura.
Wireshark pcapng utiliza el formato de archivo como el formato
predeterminado para guardar los paquetes capturados. Es muy flexible,
pero otras herramientas puede que no la soporte.
Wireshark tambin admite el formato de archivo libpcap. Este es un
formato mucho ms simple y est bien establecido.
Sin embargo, tiene algunos inconvenientes: no es extensible y carece de
cierta informacin que sera realmente til (por ejemplo, ser capaz de
agregar un comentario a un paquete como "los problemas comienzan aqu"
sera realmente bueno).
Adems del formato libpcap, Wireshark es compatible con varios formatos
de archivo de captura. Sin embargo, los problemas descritos anteriormente
se aplica tambin para estos formatos.
B.1.1. Libpcap, el contenido del archivo
al inicio de cada archivo de captura libpcap cierta informacin bsica se
almacena como un nmero mgico para identificar el formato de archivo
libpcap. La informacin ms interesante de este archivo de inicio es el
tipo de capa de enlace (Ethernet, 802.11, MPLS, etc).
Los siguientes datos se guardan para cada paquete:
La fecha y la hora con una resolucin de milisegundos La longitud del
paquete como lo fue en el "cable" La longitud del paquete como se
guarda en el archivo Los bytes sin formato de paquete,
una descripcin detallada de la libpcap, formato de archivo puede
encontrarse en: https://wiki.wireshark.org/Development/ LibpcapFileFormat
B.1.2. No se guardan en el archivo de captura
tambin deben saber que las cosas que no se guardan en archivos de
captura:
Las selecciones actuales (paquete seleccionado, ...) Informacin para
la resolucin de nombres. Consulte Seccin 7.9, "Resolucin de nombres"
para detalles
archivos Pcapng opcionalmente puede guardar informacin de resolucin de
nombres. Libpcap archivos no se. Otros formatos de archivo tienen
distintos niveles de apoyo.
El nmero de paquetes descartados mientras captura Marcas de paquetes
con "editar/marcar paquete" referencias de tiempo configurado con
"Editar/referencia de tiempo" El filtro de visualizacin actual
164
archivos y carpetas
B.2. Archivo de configuracin de carpetas y plugin
para coincidir con las diferentes polticas para sistemas Unix y Windows,
y las diferentes polticas que se utilizan en diferentes sistemas tipo
Unix, las carpetas que contienen los archivos de configuracin y plugins
son diferentes en diferentes plataformas. Nos indican la ubicacin de las
carpetas de nivel superior en virtud de la cual los archivos de
configuracin y plugins son almacenados aqu, dndoles nombres de
marcadores de posicin independiente de su ubicacin real, y utilizar
esos nombres ms tarde al dar la ubicacin de las carpetas para los
archivos de configuracin y plugins.
Sugerencia
Una lista de las carpetas Wireshark utiliza realmente pueden encontrarse
bajo la pestaa Carpetas en el cuadro de dilogo que aparece cuando se
selecciona Acerca de Wireshark desde el men Ayuda.
B.2.1. Carpetas en Windows
APPDATA es la carpeta de datos de aplicaciones personales, por ejemplo:
C:\Users\nombre de usuario\AppData\Roaming\Wireshark (los detalles se
pueden encontrar en: Seccin B.5.1, "perfiles de Windows").
Wireshark Wireshark es la carpeta del programa, por ejemplo: C:\Archivos
de programa\Wireshark.
B.2.2. Carpetas en sistemas Unix
XDG_CONFIG_HOME es la carpeta para los archivos de configuracin
especficos del usuario. Es generalmente $HOME/.config, donde $HOME es la
carpeta de inicio del usuario, que es generalmente algo como
/home/username, o / Users/USERNAME en MacOS.
Si est utilizando MacOS y se est ejecutando una copia de Wireshark
instalada como un paquete de aplicaciones, APPDIR es el directorio de
nivel superior del paquete de aplicaciones de Wireshark, que normalmente
ser / Aplicaciones/Wireshark.app. De lo contrario, INSTALLDIR es el de
nivel superior del directorio en el que residen los subdirectorios en los
que estn instalados los componentes de Wireshark. Esto normalmente ser
/usr si Wireshark es suministrado con el sistema (por ejemplo, siempre
como un paquete con una distribucin de Linux) y /usr/local si, por
ejemplo, has construir Wireshark desde el origen y lo instal.
B.3. Los archivos de configuracin de
Wireshark utiliza una serie de archivos de configuracin mientras se est
ejecutando. Algunos de stos se encuentran en la carpeta de configuracin
personal y se usan para mantener informacin entre ejecuciones de
Wireshark, aunque algunos de ellos se mantienen en las reas del sistema.
El formato del contenido de los archivos de configuracin es la misma en
todas las plataformas.
En Windows:
La carpeta de configuracin personal de Wireshark Wireshark es la sub-
carpeta de la carpeta, es decir,
APPDATA\Wireshark.
La carpeta Configuracin global de Wireshark Wireshark es la carpeta
del programa y tambin se utiliza como la carpeta de configuracin del
sistema.
En sistemas tipo Unix:
La configuracin personal folder es XDG_CONFIG_HOME/Wireshark. Por
razones de compatibilidad con Wireshark antes del 2.2, si
XDG_CONFIG_HOME/wireshark no existe y $HOME/.wireshark est presente,
entonces ste ser usado.
165
archivos y carpetas
Si est utilizando MacOS y se est ejecutando una copia de Wireshark
instalada como un paquete de aplicaciones, la configuracin global
carpeta es APPDIR/Contents/Resources/share/Wireshark. De lo contrario, la
configuracin global carpeta es INSTALLDIR/share/Wireshark.
El archivo /etc carpeta es la carpeta de configuracin del sistema. La
carpeta realmente utilizados en el sistema pueden variar, tal vez algo
como: /usr/local/etc.
Cuadro B.1. Archivos de configuracin descripcin
Descripcin Archivo/Carpeta Preferencias Configuracin del cuadro de
dilogo Preferencias de
configuracin GUI recientes (por ejemplo, listas de archivos recientes).
cfilters captura filtros.
filtros de visualizacin.
colorfilters dfilters reglas de colores.
disabled_protos protocolos deshabilitados.
teres Ethernet. Resolucin de nombres la
resolucin de nombres Ethernet manuf.
hosts IPv4 e IPv6.
Los servicios de resolucin de nombres de servicios de red.
subredes subred IPv4. Resolucin de nombres la
resolucin de nombres. IPX ipxnets
VLAN ID de VLAN, resolucin de nombres.
Archivo de
preferencias de contenido Este archivo contiene sus preferencias de
Wireshark, incluidos los predeterminados para capturar y visualizar los
paquetes.
Es un simple archivo de texto que contiene declaraciones de la forma:
variable: valor
al inicio del programa, si hay un archivo de preferencias en la carpeta
de configuracin global, es leer primero. Entonces, si hay un archivo de
preferencias en la carpeta de configuracin personal, que es de lectura;
si hay una preferencia definida en ambos archivos, la configuracin en el
archivo de preferencias personales anula la configuracin en el archivo
de preferencias globales.
Si pulsa el botn Guardar en el cuadro de dilogo "Preferencias", todos
los ajustes actuales se escriben en el archivo de preferencias
personales.
Recientes Este fichero contiene varios ajustes relacionados con la GUI
como el tamao y la posicin de la ventana principal, la lista de
archivos recientes y tal. Es un simple archivo de texto que contiene
declaraciones de la forma:
variable: el valor
se lee al inicio del programa y escrito a la salida del programa.
cfilters Este archivo contiene todos los filtros de captura que se han
definido y guardado. Se compone de una o ms lneas, donde cada lnea
tiene el siguiente formato:
" <filter name>" <filter string>
166
archivos y carpetas
al iniciar el programa, si existe un archivo cfilters en la carpeta de
configuracin personal, es leer. Si no existe un archivo cfilters en la
carpeta de configuracin personal, entonces, si hay un archivo cfilters
en la carpeta de configuracin global, es de lectura.
Cuando pulse el botn Guardar en el cuadro de dilogo Filtros de
captura", todos los filtros de captura actual se escriben en el archivo
de captura filtros personales.
dfilters Este archivo contiene todos los filtros de visualizacin que ha
definido y ha guardado. Se compone de una o ms lneas, donde cada lnea
" <filter name>" <filter string>
Al iniciar el programa, si existe un archivo dfilters en la carpeta de
configuracin personal, es leer. Si no existe un archivo dfilters en la
carpeta de configuracin personal, entonces, si hay un archivo dfilters
en la carpeta de configuracin global, es de lectura.
Cuando pulse el botn Guardar en el cuadro de dilogo Filtros de
visualizacin", todos los filtros de captura actual se escriben en el
archivo de filtros de pantalla personales.
colorfilters Este archivo contiene todos los filtros de color que se han
definido y guardado. Se compone de una o ms lneas, donde cada lnea
@ <filter name>@ <filter string>@[ <bg RGB(16-bit)>][ <fg RGB(16-bit)>]
Al inicio del programa, si existe un archivo colorfilters en la carpeta
de configuracin personal, es leer. Si no existe un archivo colorfilters
en la carpeta de configuracin personal, entonces, si hay un archivo
colorfilters en la carpeta de configuracin global, es de lectura.
Wwhen pulsar el botn Guardar en el cuadro de dilogo Reglas de colores",
todos los filtros de color son escritos en el archivo de filtros de color
personal.
disabled_protos cada lnea de este archivo se especifica un nombre de
protocolo deshabilitados. Los siguientes son algunos ejemplos:
tcp y udp
al inicio del programa, si hay un disabled_protos archivo en la carpeta
de configuracin global, es leer primero.
Entonces, si hay una disabled_protos archivo en la carpeta de
configuracin personal, que es de lectura; si hay una entrada para un
protocolo establecido en ambos archivos, la configuracin del archivo de
protocolos deshabilitados personal anula la configuracin en el archivo
de protocolos de global de personas con discapacidad.
Cuando pulse el botn Guardar en el cuadro de dilogo Protocolos
habilitados", el conjunto actual de los protocolos deshabilitados se
escribe en el archivo de protocolos deshabilitados personales.
teres cuando Wireshark es intentar traducir una direccin MAC de
hardware a un nombre, consulta los teres archivo en la carpeta de
configuracin personal primero. Si la direccin no se encuentra en ese
archivo, Wireshark consultan a los teres archivo en la carpeta de
configuracin del sistema.
Cada lnea de estos archivos se compone de un nombre y direccin de
hardware separados por espacios en blanco. Los dgitos de las direcciones
de hardware estn separados por dos puntos (:), guiones (-) o puntos (.).
Los siguientes son algunos ejemplos:
FF-FF-FF-FF-FF-FF emiten c0-00-FF-FF-FF-FF TR_broadcast 00.2b.08.93.4b.a1
Freds_machine
167
archivos y carpetas,
la configuracin de este archivo son ledas en cuando una direccin MAC
es para ser traducido a un nombre, y nunca escrito por Wireshark.
manuf al inicio del programa, si hay un archivo de fabricacin en la
carpeta de configuracin global, es de lectura.
Las entradas en este archivo se usa para traducir los tres primeros bytes
de una direccin Ethernet en un nombre de fabricantes. Este archivo tiene
el mismo formato que el archivo ethers, excepto las direcciones son tres
bytes de largo.
Un ejemplo es:
00:00:01 Xerox XEROX # CORPORATI
La configuracin de este archivo se leen en el inicio del programa y
nunca escrito por Wireshark.
hosts Wireshark utiliza las entradas de los archivos hosts para traducir
las direcciones IPv4 e IPv6 en los nombres.
Al iniciar el programa, si existe un archivo hosts en la carpeta de
configuracin global, es leer primero. Entonces, si hay un archivo hosts
en la carpeta de configuracin personal, que es de lectura; si hay una
entrada para una direccin IP determinada en ambos archivos, la
configuracin del archivo hosts personal anula la entrada en el archivo
hosts global.
Este archivo tiene el mismo formato que el habitual archivo /etc/hosts en
sistemas Unix.
Un ejemplo es:
# Los comentarios deben estar precedidos por el signo #!
192.168.0.1 homeserver
la configuracin de este archivo se leen en el inicio del programa y
nunca escrito por
servicios de Wireshark Wireshark utiliza los servicios de archivos a
traducir los nmeros de puerto en los nombres.
Al iniciar el programa, si hay un archivo de servicios en la carpeta de
configuracin global, es leer primero. Entonces, si hay un archivo de
servicios en la carpeta de configuracin personal, que es de lectura; si
hay una entrada para un determinado nmero de puerto en ambos archivos,
la configuracin en el archivo hosts personal anula la entrada en el
archivo hosts global.
Un ejemplo es:
mydns 5045/udp # Mi ow # Mi propio nombre de dominio mydns 5045/tcp # Mi
ow # Mi propio nombre de dominio
la configuracin de estos archivos se leen en el inicio del programa y
subredes Wireshark utiliza las subredes archivos para traducir una
direccin IPv4 en una subred nombre. Si no hay ninguna coincidencia
exacta de un archivo hosts o de DNS es encontrado, Wireshark intentar
una coincidencia parcial para la subred de la direccin.
Al iniciar el programa, si hay un archivo de subredes en la carpeta de
configuracin personal, es leer primero. Entonces, si hay un archivo de
subredes en la carpeta de configuracin global, que es de lectura; si hay
una preferencia definida en ambos archivos, la configuracin en el
archivo de preferencias globales anula la configuracin en el archivo de
preferencias personales.
Cada lnea en uno de estos archivos se compone de una direccin IPv4, una
longitud de la mscara de subred separada slo por un / y un nombre
separados por espacios en blanco. Mientras que la direccin debe ser una
direccin IPv4, los valores ms all de la longitud de la mscara son
posteriormente ignorado.
168
archivos y carpetas,
un ejemplo es:
# Los comentarios deben estar precedidos por el signo #!
192.168.0.0/24 ws_test_red
parcialmente un nombre coincidente se imprimir como "subnet-
name.restante-direccin". Por ejemplo, "192.168.0.1" en la subred
anterior sera impresa como "ws_test_red.1"; si la longitud de la mscara
anterior haba sido de 16 en lugar de 24, la direccin impresa sera
''ws_test_red.0.1".
La configuracin de estos archivos se leen en el inicio del programa y
ipxnets cuando Wireshark es intentar traducir un nmero de red IPX para
un nombre, consulta el archivo ipxnets en la carpeta de configuracin
personal primero. Si la direccin no se encuentra en ese archivo,
Wireshark ipxnets consulta el archivo en la carpeta de configuracin del
sistema.
Un ejemplo es:
C0.A8.2C.00 HR C0-A8-1c-00 CEO 00:00:Ser:EF IT_Server1 110f FileServer3,
la configuracin de este archivo son ledas en cuando un nmero de red
IPX se traduce a un nombre, y nunca escrito por Wireshark.
VLAN vlan Wireshark utiliza el archivo para traducir la etiqueta VLAN IDs
en nombres.
Al iniciar el programa, si hay un archivo de VLAN en la carpeta de
configuracin personal, es leer.
Cada lnea de este archivo consta de una etiqueta VLAN ID y un nombre
descriptivo, separadas por un espacio en blanco o un tabulador.
Un ejemplo es:
123 Server-LAN 2049 HR-Client-LAN
La configuracin de este archivo se leen en el inicio del programa y
B.4.
Wireshark admite plugins plugin carpetas para diversos fines. Los Plugins
pueden ser scripts escritos en Lua o cdigo escrito en C o C++ y
compilado a cdigo mquina.
Wireshark busca plugins en una carpeta plugin personal y global de la
carpeta plugin. Plugins Lua se almacenan en carpetas; el plugin plugins
compilados se almacenan en subcarpetas de la carpeta plugins, con el
nombre de la subcarpeta es el nmero de versin de Wireshark.
En Windows:
El personal carpeta plugin es\appdata\plugins de Wireshark.
La carpeta plugin global sea Wireshark\plugins.
En sistemas tipo Unix:
169
archivos y carpetas
personales La carpeta plugin es XDG_CONFIG_HOME/wireshark/plugins o, si
XDG_CONFIG_HOME/wireshark no existe y $HOME/.wireshark es presente,
$HOME/.wireshark/plugins.
Si se ejecuta en MacOS y Wireshark se instala como un paquete de
aplicaciones, la carpeta plugin global es
APPDIR/Contents/plugins/wireshark, de lo contrario la
INSTALLDIR/lib/wireshark/ plugins.
B.5. Las carpetas de Windows
Aqu encontrar algunos detalles acerca de las carpetas utilizadas en
Wireshark en diferentes versiones de Windows.
Como ya se mencion, se pueden encontrar las carpetas utilizadas
actualmente en el cuadro de dilogo Acerca de Wireshark.
B.5.1. Perfiles de Windows
Windows utiliza algunos directorios especiales para almacenar los
archivos de configuracin de usuario que definir el "perfil de usuario".
Esto puede ser confuso, ya que la ubicacin del directorio predeterminado
ha cambiado desde la versin de Windows a la versin y tambin puede ser
diferente para el ingls y las versiones internacionalizadas de Windows.
Nota
Si ha actualizado a una nueva versin de Windows, su perfil podra
mantenerse en la antigua ubicacin. Los valores predeterminados aqu
mencionadas pueden no aplicar.
Las siguientes guas usted al lugar adecuado donde buscar los datos del
perfil de Wireshark.
Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, y las
ediciones de servidor asociado C:\Users\nombre de
usuario\AppData\Roaming\Wireshark.
1 Windows XP, Windows Server 2003 y Windows 2000: C:\Documents and
Settings\nombre de usuario\Application Data. "Documents and Settings" y
"Application Data" podra ser internacionalizadas.
1 Windows NT 4 C:\Winnt\Profiles\nombre de usuario\Application
Data\Wireshark
1 Windows ME, Windows 98 con perfiles de usuario en Windows ME y 98
podra habilitar perfiles de usuario independientes. En ese caso, algo
as como C:
\Windows\Profiles\nombredeusuario\Application Data\Wireshark es
utilizado.
1 Windows ME, Windows 98 sin perfiles de usuario perfiles de usuario
activada sin la ubicacin predeterminada para todos los usuarios es
C:\Windows\Application Data\Wireshark.
B.5.2. Perfiles mviles de Windows
algunas grandes entornos Windows utilizar perfiles mviles. Si este es el
caso de las configuraciones de todos los programas que uso no se guardan
en el disco duro local. Se almacenarn en el servidor de dominio en su
lugar.
Su configuracin viajar con usted desde un ordenador a otro con una
excepcin. La "Configuracin Local" en su carpeta de datos de perfil
(normalmente algo como: C:\Documents and Settings
1ya no apoyado por Wireshark. Slo de referencia histrica.
170
archivos y carpetas
\Nombre de usuario\Configuracin local) no se transferir al servidor de
dominio. Este es el valor predeterminado para los archivos de captura
temporal.
B.5.3. La carpeta temporal de Windows
Wireshark utiliza la carpeta que est definido por la variable de entorno
TMPDIR o TEMP. Esta variable ser fijado por el instalador de Windows.
Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista, y las
ediciones de servidor asociado C:\Users\nombre de
usuario\AppData\Local\Temp
1 Windows Server 2003, Windows XP, Windows 2000, C:\Documents and
Settings\nombre de usuario\Configuracin local\Temp
1 Windows NT C:\TEMP
171
Apndice C. protocolos y campos del Protocolo

Wireshark distingue entre protocolos (por ejemplo, tcp) y el protocolo
(por ejemplo, campos.El puerto tcp).
Una lista exhaustiva de todos los protocolos y los campos de protocolo
pueden encontrarse en el "Filtro de pantalla" en referencia
Https://www.wireshark.org/docs/dfref/
172
Apndice D. herramientas de lnea de comandos relacionados

D.1. Introduccin
junto con la aplicacin principal, Wireshark viene con un conjunto de
herramientas de lnea de comandos que puede ser til para tareas
especializadas. Estas herramientas sern descritos en este captulo.
Puede encontrar ms informacin acerca de cada comando en las pginas de
manual.
D.2. tshark: Terminal-based Wireshark
TShark es un terminal orientado versin de Wireshark diseado para
capturar y visualizar los paquetes en una interfaz de usuario interactiva
no es necesario o disponible. Admite las mismas opciones como Wireshark.
Para obtener ms informacin sobre tshark vea las pginas de manual (man
tshark).
Informacin de ayuda disponible de tshark.
TShark (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 del master) volcado y
analizar el trfico de la red.
Uso: tshark [opciones] ...
-i <interface>Nombre o idx de interfaz (def: primera sin bucle) -f
<capture filter>Filtro de paquetes en libpcap, sintaxis de filtro -s
<snaplen>Paquete de longitud instantnea (def: 262144) -p no capturan en
modo promiscuo -puedo capturar en modo monitor, si est disponible -B
<buffer size>Tamao del buffer del kernel (def: 2MB) -y <link type>El
tipo de capa de enlace (DEF: En primer lugar apropiado) --time-stamp-tipo
<type>Mtodo timestamp para interfaz de impresin -D Lista de interfaces
y salir -l imprimir lista de tipos de capa de enlace de iface y salida --
list-time-stamp-tipos Imprimir lista de tipos timestamp para iface y
salir
capturar condiciones de parada:
parada despus de la salida de Captura de archivos NUM:
-b <ringbuffer opt.>... Duracin:NUM - cambiar al siguiente archivo
despus NUM seg filesize:NUM - cambiar al siguiente archivo despus NUM
KB archivos:NUM - ringbuffer: sustituir despus NUM archivos RPCAP
Opciones:
-Un <user>: <password>Utilice la autenticacin de contrasea RPCAP
archivo de entrada:
-r <infile>Defina el nombre del archivo desde el que se leer (- leer
desde stdin)
Procesamiento:
-2 realice un anlisis de dos pasadas -R <read filter>Leer paquetes de
filtro en filtro de pantalla de Wireshark -y sintaxis <display
filter>Mostrar filtro de paquetes en Wireshark filtro Mostrar sintaxis -n
nombre de deshabilitar todas las resoluciones (def: todos activado) -N
"mnNtCd" -d <layer_type>== <selector>, <decode_as_protocol>...
"Decode", consulte la pgina man para ms detalles de
173
herramientas de lnea de comandos relacionados

Ejemplo: tcp.port==8888,http -H <hosts file>Leer una lista de entradas de
un archivo Hosts, que luego se escriben en un archivo de captura.
(Implica -W n) --disable-protocolo <proto_name>Deshabilitar la diseccin
de Proto_name --enable-heuristic <short_name>Habilitar la diseccin del
protocolo heurstica --disable-heuristic <short_name>Deshabilitar la
diseccin del protocolo de salida heurstica:
-w <outfile|->Paquetes de escritura a un archivo de formato pcap
denominada "outfile" (o a la salida estndar de "-") -C <config
profile>Inicio Perfil de configuracin especificado con -F <output file
type>Establezca el tipo de archivo de salida predeterminado es pcapng
vaca la opcin "-f", aparecer una lista con los tipos de archivo de
salida -V agregar rbol de paquetes (packet detalles) -O
<protocols>Mostrar slo los detalles del paquete de estos protocolos,
separado por comas -P Resumen de paquetes de impresin incluso cuando se
escribe en un archivo -S <separator>Separador de lnea para imprimir
entre los paquetes -x aadir salida de volcado hexadecimal y ASCII
(packet bytes) -T|ps|psml pdml||campos de texto formato de texto: texto
de salida (DEF) -e <field>Campo para imprimir si -Tfields seleccionado
(por ejemplo, tcp.port, _ws.col.Info) Esta opcin se puede repetir para
imprimir varios campos -E <fieldsoption>= <value>Establecer las opciones
de salida cuando -Tfields seleccionado:
header=s|n encabezados de interruptor de encendido y apagado el
separador=/s/t|| <char>Seleccione la ficha, de espacio, de carcter
imprimible como separador ocurrencia=f|l|una primera impresin, ltimo o
todas las apariciones de cada campo agregador=|/s| <char>Seleccione coma,
espacio, carcter imprimible como agregador quote=d|S|n seleccione doble,
individual, sin comillas para los valores -t un|ad|d|dd|e|r|u|ud el
formato de salida de las marcas de tiempo (def: r: rel. a primera) -u
s|hms formato de salida de segundos (def: s: segundos) -l Enjuagar la
salida estndar despus de cada paquete -q es ms tranquila en stdout
(por ejemplo, cuando se utilizan las estadsticas) -q solo verdadero
registro de errores a stderr (ms silencioso que -q) -g grupo Habilitar
el acceso de lectura en el archivo de salida(s) -W n guardar informacin
adicional en el archivo, si es compatible.
n = escribir informacin de resolucin de direcciones de red -X <key>:
<value>Opciones de ampliacin, consulte la pgina man de detalles -z
<statistics>Diversas estadsticas, consulte la pgina man para ms
detalles --capturar-comentario <comment>Aadir un comentario de captura
al recin creado archivo de salida (slo para pcapng)
Varios:
-h Muestra esta ayuda y salir -v muestra informacin de la versin y
salir -o <name>: <value>... Anular configuracin de preferencia -K
<keytab>Archivo keytab para utilizar Kerberos para descifrado -G
[Informe] volcar uno de varios informes disponibles y salir informe por
defecto="Campos" usar "-G ?" para obtener ms ayuda
ADVERTENCIA: dumpcap permitir kernel BPF compilador JIT si est
disponible.
Es posible que desee restablecer haciendo "echo 0 >
/proc/sys/net/core/bpf_jit_enable" de
174

D.3. tcpdump: Capturando con tcpdump para ver con Wireshark
es a menudo ms til para capturar paquetes usando tcpdump en lugar de
Wireshark. Por ejemplo, puede que desee realizar una captura remota y no
tienen acceso a interfaz grfica de usuario o no disponen de Wireshark
instalada en la mquina remota.
Las versiones antiguas de tcpdump truncar los paquetes de 68 o 96 bytes.
Si este es el caso, utilice la opcin -s para capturar paquetes de tamao
completo:
$ tcpdump -i <interface>-S 65535 -w <some-file>
Usted tendr que especificar la interfaz correcta y el nombre de un
archivo para guardar en. Adems, usted tendr que terminar la captura con
^C cuando usted cree haber capturado suficientes paquetes.
tcpdump no es parte de la distribucin de Wireshark. Puede obtenerlo en
Http://www.tcpdump.org/ o como un paquete estndar en la mayora de
distribuciones de Linux.
D.4. dumpcap: Capturando con dumpcap
Dumpcap para ver con Wireshark es una herramienta de descarga de trfico
de red. Captura de paquetes de datos de una red en directo y escribe los
paquetes a un archivo. Dumpcap nativo de formato de archivo de captura es
pcapng, que tambin es el formato utilizado por Wireshark.
Sin opciones set usar la librera pcap para capturar el trfico desde la
primera interfaz disponible en la red y escribir la recibieron paquetes
de datos raw, junto con las marcas de tiempo de los paquetes en un
archivo pcapng.
La sintaxis del filtro de captura sigue las reglas de la librera pcap.
Informacin de ayuda disponible desde dumpcap.
Dumpcap (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 del master) Capturar
paquetes de red y descargarlos en un archivo pcap o pcapng.
Uso: dumpcap [opciones] ...
-i <interface>Nombre o idx de interfaz (def: primera sin bucle), o para
la captura remota, utilice uno de los siguientes formatos:
rpcap:// <host>/ <interface>TCP@ <host>: <port>-F <capture filter>Filtro
de paquetes en libpcap, sintaxis de filtro -s <snaplen>Paquete de
longitud instantnea (def: 262144) -p no capturan en modo promiscuo -
puedo capturar en modo monitor, si est disponible -B <buffer size>Tamao
del buffer en el kernel: 2def MiB (MiB) -y <link type>El tipo de capa de
enlace (DEF: En primer lugar apropiado) --time-stamp-tipo <type>Mtodo
timestamp para interfaz de impresin -D Lista de interfaces y salir -l
imprimir lista de tipos de capa de enlace de iface y salida --list-time-
stamp-tipos Imprimir lista de tipos timestamp para iface y salir -d
impresin genera cdigo BPF para filtro de captura -k canal configurado
en la interfaz wifi <freq>,[ <type>] -S imprimir estadsticas para cada
interfaz una vez por segundo -M, -L -d y -S, producir salida legible por
mquina
RPCAP Opciones:
-r no ignorar el propio trfico RPCAP en capturar -u RPCAP utilizan UDP
para la transferencia de datos de
175

-A <user>: <password>Utilice la autenticacin de contrasea RPCAP -m
<sampling type>Utilizar paquetes de recuento de muestreo:NUM - captura un
paquete de cada temporizador NUM:NUM - captura de no ms de 1 paquetes en
NUM ms condiciones de parada:
parada despus NUM archivos (archivos de salida):
-w <filename>El nombre del archivo a guardar (def: tempfile) -g grupo
Habilitar el acceso de lectura en el archivo de salida(s) -b <ringbuffer
opt.>... Duracin:NUM - cambiar al siguiente archivo despus NUM seg
filesize:NUM - cambiar al siguiente archivo despus NUM KB archivos:NUM -
ringbuffer: sustituir despus NUM archivos utilice pcapng -n en lugar de
formato PCAP (por defecto) -P usar libpcap, en lugar de formato pcapng --
capturar-comentario <comment>Agregar un comentario a capturar el archivo
de salida (slo para pcapng) Varios:
-N <packet_limit>Nmero mximo de paquetes dentro de bfer dumpcap -C
<byte_limit>Nmero mximo de bytes utilizados para almacenar los paquetes
en dumpcap -t utiliza un subproceso independiente por interfaz -q no
informe de recuentos de captura de paquetes -v Versin para imprimir
informacin y salir -h mostrar esta ayuda y salir
ADVERTENCIA: dumpcap permitir kernel BPF compilador JIT si est
disponible.
Es posible que desee restablecer haciendo "echo 0 >
/proc/sys/net/core/bpf_jit_enable" Ejemplo: dumpcap -i eth0 -una
duracin:60 -w de salida.pcapng "capturar paquetes desde la interfaz eth0
hasta 60s pas a la salida.pcapng"
Use Ctrl-C para detener la captura en cualquier momento.
D.5. capinfos: imprimir informacin sobre archivos de captura
capinfos puede imprimir informacin sobre la captura de archivos
binarios.
Informacin de ayuda disponible desde capinfos.
Capinfos (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 de master) imprimir
distintos tipos de informacin (Info) sobre archivos de captura.
Uso: capinfos [opciones] <infile>...
Informaciones generales:
-t muestra el tipo de archivo de captura -E muestra el archivo de captura
la encapsulacin -i muestra el archivo de captura la informacin de la
interfaz -F muestra informacin del archivo de captura adicionales -H
muestra el SHA1, RMD160, y el hash MD5 del archivo -k Mostrar la captura
tamao comentario infos:
-c muestra el nmero de paquetes -s muestra el tamao del archivo (en
bytes) -d muestra la longitud total de todos los paquetes (en bytes)
176
relacionados Herramientas de lnea de comando

-l muestra el lmite de tamao de paquete (snapshot) longitud de
tiempo infos:
-u mostrar la captura la duracin (en segundos) -una hora de inicio de la
captura de pantalla -e Mostrar la captura la hora final -o mostrar el
archivo de captura del estado cronolgico (True/False) -s muestra las
horas de inicio y fin como segundos
Informacin estadstica:
-y mostrar promedio de tasa de transferencia de datos (en Bytes/sec) -i
muestra el promedio de velocidad de datos (bits/s) -z muestra el tamao
promedio de los paquetes (en bytes) -x muestra la tasa promedio de los
paquetes (en paquetes/seg)
Formato de salida:
-L generar informe largo (por defecto) -T Generar informe de tabla -M
mostrar valores legibles por mquina en extensos informes
informe de tabla Opciones:
-R Generar registro de cabecera (por defecto) -r no Generar registro de
cabecera
-B infos independiente con carcter de tabulacin (predeterminado) -m
infos separadas con coma (,) -b infos independiente con carcter de
espacio
-N no cita infos (predeterminado) -q cita infos con comillas simples (')
-Q cita infos con comillas dobles (")
Varios:
-h Muestra esta ayuda y salir -C cancelar el procesamiento si no logra
abrir archivo (por defecto es para continuar) -Generar los todos infos
(default)
Las opciones se procesan en orden de izquierda a derecha con posterior
prevalecen sobre las opciones o adicin a las opciones anteriores.
Si no se especifica ninguna opcin, el valor predeterminado es mostrar
los todos infos en largo formato de salida de informe.
D.6. rawshark: dump y analizar el trfico de la red.
Rawshark lee una secuencia de paquetes desde un archivo o tubo, e imprime
una lnea que describe su salida, seguida por un conjunto de campos
coincidentes para cada paquete en stdout.
Informacin de ayuda disponible desde rawshark.
Rawshark (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 del master) volcado y
analizar el trfico de la red.
Uso: rawshark [opciones] ...
Archivo de entrada:
-r <infile>Establezca el tubo o el nombre del archivo para leer desde
procesamiento:
-d <encap:linktype>| <proto:protoname>La encapsulacin de paquetes o
protocolo -F <field>Campo para mostrar
177
relacionados Herramientas de lnea de comando

-n deshabilitar toda la resolucin de nombres (def: todos activado) -N
"mnNtCd" -p utiliza el formato del encabezado de los paquetes del sistema
(que pueden tener las marcas de 64 bits) -R <read filter>Filtro de
paquetes en Wireshark filtro Mostrar sintaxis -s Saltar cabecera PCAP en
Input
Output:
numval) -t ad|a|r|d|dd|e formato de salida de las marcas de tiempo (def:
r: rel. a primera) N% - stringval, S% -l flush salida despus de cada
paquete -S para los campos de cadena de formato (%d - nombre,
Miscelnea:
-h Muestra esta ayuda y salir -o <name>: <value>... Anular configuracin
de preferencia -v muestra informacin de la versin y la salida
D.7. editcap: Editar archivos de captura
editcap es una utilidad de propsito general para modificar archivos de
captura. Su funcin principal es eliminar los paquetes de archivos de
captura, pero tambin puede ser utilizado para convertir archivos de
captura de un formato a otro, as como para imprimir informacin acerca
de archivos de captura.
Informacin de ayuda disponible desde editcap.
Editcap (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 del master) editar y/o
traducir el formato de archivos de captura.
Uso: editcap [opciones] ... <infile><outfile>[ <packet#>[- <packet#>] ...
]
<infile>Y <outfile>Ambos deben estar presentes.
Un paquete individual o un rango de paquetes puede ser seleccionado.
Seleccin de paquetes:
-r mantener los paquetes seleccionados; el valor predeterminado es para
eliminarlos.
-A <start time>Slo los paquetes cuya salida timestamp es despus (o
igual) a la hora indicada (formato AAAA-MM-DD hh:mm:ss).
-B <stop time>Slo los paquetes cuya salida timestamp es antes de un
momento dado (como el formato AAAA-MM-DD hh:mm:ss).
Extraccin de paquetes duplicados:
-d quitar paquete si duplicar (ventana == 5).
-D <dup window>Quitar paquete si duplicado; configurable <dup
window>Vlido <dup window>Los valores son de 0 a 1000000.
Nota: <dup window>0 con la opcin -v (verbose) es til para imprimir los
hashes MD5.
-W <dup time window>Quitar paquetes paquete duplicado si es INFERIOR O
IGUAL A <dup time window>Antes del paquete actual.
Un <dup time window>Se especifica en segundos relativa (por ej.
0.000001).
-A <framenum>: <comment>Comentario para agregar o reemplazar un nmero de
fotograma concreto -I <bytes to ignore>Ignorar los bytes especificada en
el comienzo de la trama durante el clculo de hash MD5 til quitar
paquetes duplicados adoptadas en varios routers(diferentes direcciones
MAC por ejemplo); por ejemplo, -I 26 en caso de ter/IP/ ignorar el
ter(14) y encabezado IP(20 - 4(src ip) - 4(dst ip).
Nota: El uso de la eliminacin de paquetes 'Duplicado' opciones con otras
opciones editcap excepto -v no siempre funcionan como se espera.
Especficamente, el comando -r o -t -S opciones es muy probable que no
tenga
178
herramientas de lnea de comandos relacionados con el

efecto deseado si se combina con la opcin -d, -d o -w.
Manipulacin de paquetes:
-s <snaplen>Truncar cada paquete a mx. <snaplen>Bytes de datos.
-C [offset:] <choplen>Cortar cada paquete por <choplen>Bytes. Los valores
positivos a picar en el paquete principios, valores negativos en el
paquete final. Si un desplazamiento opcional precede a la longitud,
entonces los bytes ser compensado picada desde ese valor.
Los desplazamientos son positivos desde el comienzo, paquete de
compensaciones negativas son del paquete final. Puede utilizar esta
opcin ms de una vez, permitiendo hasta 2 picar las regiones dentro de
un paquete, siempre que al menos 1 choplen es positiva y al menos 1 es
negativo.
-L para ajustar el marco (es decir, inform) longitud al picar y/o
ajustar -t <time adjustment>Ajustar la fecha y la hora de cada paquete.
<time adjustment>En relacin segundos (p. ej. -0,5).
-S <strict adjustment>Ajustar la hora de paquetes si es necesario para
asegurar el orden cronolgico estricto orden creciente. El <strict
adjustment>Se especifica en relacin con los valores de 0 segundos o
0.000001, siendo las ms razonables.
Un valor de ajuste negativo se modifican las marcas de tiempo de modo que
cada paquete delta del tiempo es el valor absoluto del ajuste
especificado. Un valor de -0 establecer todos los paquetes a la hora del
primer paquete.
-E <error probability>Establecer la probabilidad (entre 0.0 y 1.0 incl.)
que un paquete determinado byte se modifica aleatoriamente.
-O. <change offset>Cuando se utiliza en conjuncin con la opcin -E,
omitir algunos bytes desde el comienzo del paquete. Esto permite
preservar algunos bytes, a fin de tener algunos encabezados intactos.
Archivo(s) de salida:
-c <packets per file>Dividir la salida de paquetes de archivos distintos
sobre la base de recuentos de paquetes uniforme con un mximo de <packets
per file>Cada uno de ellos.
-I <seconds per file>Dividir la salida de paquetes de archivos basados en
diferentes intervalos de tiempo uniforme con un mximo de <seconds per
file>Cada uno de ellos.
-F <capture type>Establezca el tipo de archivo de salida; el valor
predeterminado es pcapng. Vaca la opcin "-f", aparecer una lista con
los tipos de archivo.
-T <encap type>Establecer el tipo de encapsulamiento de archivo de
salida; el valor predeterminado es el mismo que el del archivo de
entrada. Vaca la opcin "-T", aparecer una lista con los tipos de
encapsulamiento.
Varios:
-h Muestra esta ayuda y salir.
-V salida detallada.
Si la opcin -v se utiliza con cualquiera de la extraccin del paquete
'Duplicado' opciones (-s, -d o -w) entonces Packet longitudes y hashes
MD5 se imprimen al error estndar.
Tipos de archivo de captura disponibles desde editcap -F.
$ editcap editcap -F: opcin requiere un argumento -- 'F' editcap: Los
tipos de archivo de captura disponible para el "-f" bandera son:
5 Vistas: InfoVista 5Ver captura btsnoop - Symbian OS btsnoop TamoSoft
CommView commview - DCT2000 - Catapulta DCT2000 trace (.out format) -
Endace fer fer - EyeSDN eyesdn captura USB S0/E1 ISDN trace formato texto
k12K12 - archivo de texto - Novell LANalyzer lanalyzer logcat - Android
Logcat formato binario logcat breves - formato de texto breve Logcat
Android logcat largo - Android Logcat formato de texto largo de
179

logcat proceso proceso Logcat Android - formato de texto Etiqueta logcat
Android - formato de texto Etiqueta Logcat logcat hilos de rosca Logcat
Android - formato de texto-logcat Android Logcat Threadtime threadtime -
formato de texto en tiempo logcat - Android Formato de texto Tiempo
Logcat modlibpcap - Modificado tcpdump - libpcap1 - Microsoft netmon
NetMon Netmon2 1.x - 2.x de Microsoft NetMon nettl - HP-UX nettl
ngsniffer trace - Sniffer (DOS) ngwsniffer_1_1 - NetXray, Sniffer
(Windows) 1.1 ngwsniffer_2_0 - Sniffer (Windows) 2.00x niobserver -
Network Instruments Observer nokialibpcap - Nokia - tcpdump libpcap
nseclibpcap - Wireshark: nanosegundo libpcap nstrace10 - NetScaler traza
(versin 1.0) nstrace20 - NetScaler traza (versin 2.0) nstrace30 -
NetScaler traza (versin 3.0) nstrace35 - NetScaler traza (versin 3.5) -
Wireshark pcap tcpdump //... - Pcapng pcap - Wireshark/... - Pcapng rf5 -
Tektronix K12xx de 32 bits formato .rf5 RH6_1libpcap - RedHat 6.1 -
tcpdump libpcap snoop snoop - Sun suse6_3libpcap - SuSE 6.3 tcpdump -
libpcap visual - Visual captura de trfico de redes
tipos de encapsulamiento disponibles desde editcap.
$ editcap editcap -T: opcin requiere un argumento -- 'T' editcap: Los
tipos de encapsulamiento para el "-T" bandera son:
AP1394 - Apple IP sobre IEEE 1394 - arcnet ARCNET arcnet_linux - Linux
ARCNET ascend - Lucent/Ascend acceso equipo atm-PDU PDU - ATM ATM-PDU-no
truncada - PDU - ATM ATM no truncada-rfc1483 - RFC 1483 ATM ax25 - Radio
Amateur AX.25 ax25-kiss - AX.25 Con KISS cabezal bacnet-ms-tp:/TP bacnet
BACnet Ms-ms-TP-con-direccin - BACnet MS/TP informacin direccional con
ASN.1 BER (Basic Encoding Rules bluetooth-bredr-bb-rf - BR/Bluetooth EDR
Bluetooth RF de banda base-H4 - Bluetooth Bluetooth H4-H4-linux -
Bluetooth H4 con linux encabezado HCI Bluetooth: Bluetooth sin Bluetooth
de la capa de transporte-le-ll - Capa de enlace de baja energa Bluetooth
bluetooth-le-ll-RF: la capa de enlace de baja energa Bluetooth Bluetooth
RF-linux-monitor - Linux Bluetooth Monitor puede20B - Red de rea del
controlador 2.0B chdlc chdlc HDLC de Cisco --con-sentido - HDLC de Cisco
con informacin direccional - Coseno coseno L2 registro de depuracin -
D-Bus dbus DCT2000 - Catapulta DCT2000 DOCSIS (Data Over Cable Service
Interface Specification dpnss_link - Privada Digital el sistema de
sealizacin n 1 Capa de enlace - dvbci DVB-CI (Common Interface) enc -
OpenBSD enc(4) interfaz de encapsulacin epon - Ethernet de Red ptica
Pasiva erf - Formato de registro extensible - ter-ter nettl Ethernet -
Ethernet con encabezados de nettl fc2 - Fibre Channel (FC-2 fc2sof -
Fibre Channel (FC-2 con Marco Delimitador de
180

fddi: FDDI FDDI-nettl - con FDDI FDDI-swapped nettl encabezados - FDDI-
swapped con bits de direcciones MAC - flexray FlexRay frelay - Frame
Relay frelay-con-sentido - Frame Relay con informacin direccional gcom-
serie - serie GCOM gcom-tie1 - AMARRE GCOM1 gprs-llc - GPRS GSM LLC_um -
GSM interfaz Um hhdlc - HiPath HDLC i2c - I2C-802-11 IEEE: IEEE 802.11
Wireless LAN IEEE-802-11-airopeek - plus AiroPeek radio IEEE 802.11
cabezal IEEE-802-11-AVS AVS plus IEEE 802.11 - cabezal de radio IEEE-802-
11-netmon - IEEE 802.11 plus Network Monitor radio cabezal IEEE-802-11-
prisma - IEEE 802.11 Prisma plus II modo monitor de cabecera de radio
IEEE-802-11-radio - IEEE 802.11 Wireless LAN con informacin de radio
IEEE-802-11-radiotap - IEEE 802.11 plus radio radiotap cabezal IEEE-802-
16-mac-cps - IEEE 802.16 parte comn de la subcapa MAC Infiniband -
InfiniBand Cisco IOS ios --sobre-ip interna fc - RFC 2625 IP sobre Fibre
Channel ib-sobre-IP - IP sobre Infiniband - IPFIX ipfix ipmb -
Intelligent Platform Management Bus de ipmi trace - Recogida de Datos de
Rastreo de IPMI ipnet - Solaris IPNET - irda IrDA RDSI - ISDN IxVeriWave
ixveriwave - cabezal y bloque stats jfif - JPEG/JFIF JSON (JavaScript
Object Notation juniper-ATM1 - Juniper juniper ATM ATM12 - Juniper ATM2-
chdlc juniper - Juniper C-HDLC-ter juniper - Juniper Ethernet-frelay
juniper - Juniper Frame-Relay juniper-ggsn --mlfr Juniper GGSN Juniper -
Juniper MLFR-mlppp juniper - Juniper juniper MLPPP-ppp - Juniper PPP-
pppoe juniper - Juniper juniper PPPoE-SVC - Servicios de Juniper juniper-
vp - Juniper voz PIC K12 - K12 analizador de protocolo LAPB - LAPB lapd -
LAPD layer1-evento - Capa EyeSDN 1 evento lin - Red de interconexin
local linux-atm-clip - Linux linux-CLIP ATM lapd - LAPD con
Pseudocabecera linux linux-sll - Linux cocinado de modo de captura logcat
- Android Logcat formato binario logcat_breve - formato de texto breve
Logcat Android logcat_long - formato de texto largo Logcat Android
logcat_process - formato de texto proceso Logcat Android logcat_tag -
formato de texto Etiqueta Logcat Android logcat_thread - Android Logcat
Thread_threadtime logcat formato de texto - formato de texto Threadtime
Logcat Android logcat_time - hora Logcat Android texto formato bucle -
OpenBSD ltalk loopback - Localtalk mime MIME - la mayora - Media
Oriented Systems Transport mp2ts - ISO/IEC 13818-1 MPEG2-TS - MPEG MPEG
de
181

MTP2 - SS7 MTP2 MTP2-con-phdr - MTP2 con pseudoheader MTP3 - SS7 MTP3 MUX
MUX netanalyzer27010 -27010 - netANALYZER netanalyzer transparente --
transparente netANALYZER netlink - Linux Netlink nfc llcp - NFC - NFLOG
LLCP nflog nstrace10 - NetScaler 1.0 Encapsulacin de Ethernet nstrace20
- NetScaler 2.0 Encapsulacin de Ethernet nstrace30 - NetScaler 3.0
Encapsulacin de Ethernet nstrace35 - NetScaler 3.5 Encapsulacin de
Ethernet null - null - PacketLogger/Loopback packetlogger pflog - OpenBSD
PF Firewall registra pflog-viejo - OpenBSD PF Firewall registra, pre-3.4
pktap - Apple PKTAP ppi - Informacin Per-Packet encabezado PPP: PPP ppp-
con-Direccin: PPP con informacin direccional pppoes - PPP over Ethernet
raw-session-nettl icmp - Raw ICMP con encabezados de nettl raw-icmpv6 de
nettl - Materias ICMPv6 con encabezados de nettl raw-telnet-nettl -
Materias telnet con encabezados de nettl rawip - Raw IP-nettl rawip - Raw
IP con encabezados de nettl rawip4 - Materias IPv4 rawip6 - Materias IPv6
- Redback redback SmartEdge rtac-serie - RTAC Lnea serie s4607 - STANAG
4607 s5066-dpdu - STANAG 5066 Transferencia de datos PDU Subcapa(D_PDU)
sccp - SS7 SCCP sctp - SCTP - SDH SDH - SDLC SDLC sita-wan - SITA
paquetes WAN PATINAJE - Patinaje - SocketCAN socketcan symantec -
Symantec Enterprise Firewall - Formato de encapsulacin TNEF Transport-
Neutral tr - tr-nettl Token Ring - Token Ring con encabezados de nettl
Tazmen tzsp - protocolo sniffer - desconocido desconocido desconocido-
nettl - Desconocido Tipo de capa de vnculo con encabezados de nettl usb
- Materias de paquetes USB USB-linux - paquetes USB con Linux el cabezal
usb-linux-mmap - paquetes USB con Linux encabezado y padding-USB - USB
usbpcap paquetes con cabezal USBPcap user0 - 0 usuario USUARIO1 - 1
usuario usuario2 - 2 usuario USUARIO3 - 3 usuario user4 - 4 usuario
usuario5 - 5 usuario USUARIO6 - 6 usuario usuario7, Usuario8, Usuario 7
usuario 8 user9 - USUARIO 9 user10 - 10 usuario user11 - 11 usuario
user12 - 12 usuario user13 - 13 usuario usuario14 - 14 usuario usuario
usuario15 - 15 de
182

v5 - V5-ef funcin envolvente whdlc - Wellfleet HDLC-superior-wireshark
Wireshark pdu - exportar PDU Superior wpan - IEEE 802.15.4 PAN
inalmbrica WPAN-nofcs - PAN inalmbrica IEEE 802.15.4 con FCS no
presente wpan-nonask-phy - PAN inalmbrica IEEE 802.15.4 PHY no pregunte
x2e-serie x2E - captura de lnea serie x2e-xoraya - X2E x25-nettl Xoraya
- X.25 con encabezados de nettl
D.8. mergecap: combinar varios archivos en uno
Mergecap capture es un programa que combina Varios archivos de captura
guardado en un nico archivo de salida especificada por el argumento -w.
Mergecap sabe cmo leer los archivos de captura de libpcap, incluyendo
aquellos de tcpdump. Adems, Mergecap puede leer archivos de captura de
snoop (incluido) y, atmsnoop Shomiti LanAlyzer, Sniffer (comprimido o sin
comprimir), el Monitor de red de Microsoft, AIX's iptrace, NetXray,
Sniffer Pro, RADCOM WAN/LAN del analizador, Lucent/Ascend router de
salida de depuracin, HP-UX's nettl, y la salida del volcado de Toshiba
routers RDSI. No hay necesidad de decir qu tipo de archivo Mergecap
ests leyendo; va a determinar el tipo de archivo por s mismo. Mergecap
tambin es capaz de leer cualquiera de estos formatos de archivo si estn
comprimidos con gzip. Mergecap reconoce esta directamente desde el
archivo; la extensin ".gz" no es necesario para este propsito.
Por defecto, se escribe el archivo de captura en formato pcapng y escribe
todos los paquetes en la captura de archivos de entrada para el archivo
de salida. La opcin -f se puede utilizar para especificar el formato en
el que escribir el archivo de captura; puede escribir el archivo en
formato libpcap (estndar libpcap, formato, un formato modificado
utilizado por algunas versiones parcheadas de libpcap, el formato
utilizado por Red Hat Linux 6.1, o en el formato utilizado por SuSE Linux
6.3), snoop Format, formato de Sniffer sin comprimir, el Monitor de red
de Microsoft 1.x el formato y el formato utilizado por Windows en
versiones del software Sniffer.
Los paquetes de los archivos de entrada se fusionan en orden cronolgico
basado en cada fotograma el timestamp, el indicador -a menos que est
especificado. Mergecap asume que marcos dentro de un nico archivo de
captura ya estn almacenados en orden cronolgico. Cuando el indicador -a
es especificado, los paquetes se copian directamente de cada archivo de
entrada para el archivo de salida, independiente de cada trama de
timestamp.
Si el distintivo -s se usa para especificar una longitud de instantnea,
tramas en el archivo de entrada con ms datos capturados que la
instantnea especificada duracin tendr slo la cantidad de datos
especificada por la longitud instantnea escrita en el archivo de salida.
Esto puede ser til si el programa que se va a leer el archivo de salida
no puede manejar paquetes mayores de un determinado tamao (por ejemplo,
las versiones de snoop en Solaris 2.5.1 y Solaris 2.6 parecen rechazar
tramas Ethernet ms grande que el MTU Ethernet estndar, hacindolos
incapaces de manejar captura gigabit Ethernet si se utilizan tramas
jumbo).
Si el indicador -T se usa para especificar un tipo de encapsulamiento, el
tipo de encapsulamiento de la salida del archivo de captura ser obligado
para el tipo especificado, en lugar de ser el tipo ms adecuado para el
tipo de encapsulamiento de la entrada archivo de captura. Tenga en cuenta
que esto simplemente obliga al tipo de encapsulamiento del archivo de
salida para ser el tipo especificado; los encabezados de los paquetes de
los paquetes no sern traducidos desde el tipo de encapsulamiento de la
entrada archivo de captura para el tipo de encapsulamiento especificado
(por ejemplo, no va a traducir una captura de Ethernet a una FDDI si
captura una captura de Ethernet es de lectura y -T FDDI es especificado).
Informacin de ayuda disponible desde mergecap.
Mergecap (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 de master) Combinar
dos o ms archivos de captura en uno solo.
Uso: mergecap [opciones] -w <outfile>|- <infile>[ <infile>...]
183

:
-una salida concatenar en lugar de combinar archivos. El
valor predeterminado es la combinacin de bastidor basado en marcas de
tiempo.
-S <snaplen>Truncar los paquetes <snaplen>Bytes de datos.
-W <outfile>|- establece el nombre del archivo de salida a <outfile>O '-'
de stdout.
-F <capture type>Establezca el tipo de archivo de salida; el valor
predeterminado es pcapng.
vaca la opcin "-f", aparecer una lista con los tipos de archivo.
-I <IDB merge mode>Establezca el modo de fusin para la interfaz bloques
de descripcin; el valor predeterminado es 'all'.
vaca la opcin "-I" se mostrar la lista de los modos de fusin.
Varios:
-V salida detallada.
Un ejemplo simple fusin de dhcp-capture.pcapng e imap-1.pcapng INTO
OUTFILE.pcapng se muestra a continuacin.
Ejemplo sencillo de utilizar mergecap.
$ mergecap -w outfile.pcapng dhcp-capture.pcapng pcapng imap-1.
D.9. text2pcap hexdumps: convertir ASCII a capturas de red
puede haber ocasiones cuando se desea convertir un volcado hexadecimal de
parte del trfico de la red en un archivo de
texto libpcap.2pcap es un programa que lee un volcado hexadecimal ASCII y
escribe los datos que se describen en un archivo de captura de estilo
libpcap. text2pcap puede leer hexdumps con mltiples paquetes en ellos, y
crear un archivo de captura de paquetes mltiples. text2pcap es tambin
capaz de generar dummy Ethernet, IP y UDP encabezados, a fin de
aprovechar plenamente el paquete de hexdumps procesables volcados de
datos slo en el nivel de la aplicacin.
text2pcap entiende una hexdump del formulario generado por od -x -t x1.
En otras palabras, cada byte se muestran individualmente y rodeado con un
espacio. Cada lnea comienza con un desplazamiento que describen la
posicin en el archivo. El desplazamiento es un nmero hexadecimal
(tambin puede ser un valor octal - ver -o), de ms de dos dgitos
hexadecimales.
Aqu est un ejemplo que text2pcap dump puede reconocer:
000000 00 e0 1e a7 05 6f 00 10 ........
000008 5a a0 b9 12 08 00 46 00 ........
000010 03 68 00 00 00 00 0a 2e ........
000018 ee 33 0f 19 08 7f 0f 19 ........
000020 03 80 94 04 00 00 10 01 ........
000028 16 a2 0a 00 03 50 00 0c ........
000030 01 01 0f 19 03 80 11 01 ........
No hay lmite en el ancho o el nmero de bytes por lnea. Tambin el
volcado de texto al final de la lnea se omite. Bytes/nmeros
hexadecimales pueden estar en maysculas o minsculas. Cualquier texto
antes de que el desplazamiento se omite, incluido el reenvo de correo
electrnico de los caracteres '>'. Las lneas de texto entre las
lneas bytestring es ignorado. Los desplazamientos se utilizan para
rastrear los desplazamientos de bytes, por lo que debe ser la correcta.
Cualquier lnea que slo tiene bytes sin un lder se omite el
desplazamiento. Una desviacin es reconocido como un nmero hexadecimal
ms de dos caracteres. Cualquier texto despus de los bytes es ignorada
(por ejemplo, el personaje dump). Cualquier nmeros hexadecimales en este
texto tambin se ignoran. Una compensacin de cero es indicativo de
empezar un nuevo paquete, para un nico archivo de texto con una serie de
hexdumps puede ser convertida en una captura de paquetes con varios
paquetes. Varios paquetes se leen con marcas diferentes por un segundo
cada uno. En general, a la altura de estas restricciones, text2pcap est
bastante liberales sobre la lectura en hexdumps y ha sido probado con una
variedad de salidas trastocados (incluyendo ser remitida por correo
electrnico varias veces, con ajuste de lnea limitada etc.)
184

hay un par de otras caractersticas especiales para la nota. Cualquier
lnea donde el primer carcter distinto de espacio es # ser ignorado
como un comentario. Cualquier lnea que comience con #text2PCAP es una
directiva y las opciones pueden ser insertados despus de este comando se
procesa por text2pcap. Actualmente, no hay directivas implementadas; en
el futuro, estos pueden ser usados para ofrecer ms control detallado
sobre el volcado y la manera en que debe ser procesado por ejemplo las
marcas de tiempo, tipo de encapsulamiento etc.
text2PCRP tambin permite al usuario leer en volcados de datos a nivel de
aplicacin, insertando dummy L2, L3 y L4 los encabezados antes de cada
paquete. Las posibilidades incluyen insertar encabezados tales como
Ethernet, Ethernet, Ethernet IP + + + IP, UDP o TCP + + IP Ethernet antes
de cada paquete. Esto permite Wireshark o cualquier otro decodificador de
paquete completo para manejar estos basureros.
Informacin de ayuda disponible de text2pcap.
Text2(PCAP) Wireshark 2.1.0 (v2.1.0rc0-502-G328FBC0 de master) genera un
archivo de captura desde un carcter ASCII hexdump de paquetes.
Uso: text2pcap [opciones] <infile><outfile>
Donde <infile>Especifica la entrada filen filename (uso - para el
estndar en <outfile>Especifica el nombre de archivo de salida (use -
para la salida estndar)
Entrada:
-o hex|oct|dec parse compensaciones como (h)ex, (s)ctal o (d)ecimal; el
valor predeterminado es hexadecimal.
-T <timefmt>Tratar el texto antes de que el paquete como un cdigo de
fecha/hora; el argumento especificado es una cadena de formato del tipo
admitido por strptime.
Ejemplo: La hora "10:15:14.5476" tiene el cdigo de formato "%H%M:%S."
Nota: El componente subsecond delimitador, '.', debe darse, pero sin un
patrn es obligatorio; el resto se supone que el nmero de fracciones de
segundo.
Nota: los campos Fecha/hora a partir de la fecha/hora actual se utiliza
como predeterminado para campos no especificado.
-D el texto antes de que el paquete comienza con una I O S, que indica
que el paquete es entrante o saliente.
Esto slo se almacenan si el formato de salida es PCAP-NG.
-Permitir una identificacin de volcado de texto ASCII.
El inicio del texto ASCII volcado puede ser identificado y excluida de
los paquetes de datos, incluso si parece un volcado hexadecimal.
Nota: No activar si el archivo de entrada no contiene el volcado de texto
ASCII.
Salida:
-l <typenum>Nmero de tipo de capa de enlace; el valor predeterminado es
1 (Ethernet). Ver http://www.tcpdump.org/linktypes.html para obtener una
lista de nmeros. Utilice esta opcin si el vuelco es un completo volcado
hexadecimal de un paquete encapsulado y desea especificar el tipo exacto
de encapsulamiento.
Ejemplo: -l 7 para paquetes ARCNet.
-M <max-packet>Mx. longitud de paquete en la salida; el valor
predeterminado es 262144
Prepend dummy encabezado:
-e <l3pid>Prepend dummy encabezado Ethernet II con L3PID especificado (en
hexadecimal).
Ejemplo: -e 0x806 para especificar un paquete ARP.
-I <proto>Prepend dummy encabezado IP con protocolo IP especificada (en
decimal).
Antepone automticamente encabezado Ethernet.
Ejemplo: -i 46 -4 <srcip>, <destip>Prepend dummy encabezado IPv4 con
direcciones de origen y de destino especificada.
Ejemplo: -4 10.0.0.1, 10.0.0.2 de
185

-6 <srcip>, <destip>Sustituir el encabezado IPv6 con direcciones de
origen y de destino especificada.
Ejemplo: -6
fe80:0:0:0:202:b3ff:fe1e:8329,2001:0db8:85a3:0000:0000:8a2e:0370:7334 -u
<srcp>, <destp>Prepend dummy encabezado UDP con los puertos de origen y
destino especificados (en decimal).
Antepone automticamente los encabezados IP y Ethernet.
Ejemplo: -u 1000,69 para hacer los paquetes TFTP aspecto/paquetes UDP.
-T <srcp>, <destp>Prepend dummy encabezado TCP con los puertos de origen
y destino especificados (en decimal).
Ejemplo: -T -s 50,60 <srcp>, <dstp>, <tag>Prepend dummy SCTP cabezal con
origen especificado dest/puertos y etiqueta de verificacin (en decimal).
Ejemplo: -s 30,40,34 -S <srcp>, <dstp>, <ppi>Prepend dummy SCTP cabezal
con origen especificado dest/puertos y etiqueta de verificacin 0.
Antepone automticamente un fragmento de datos SCTP ficticia encabezado
con el paquete identificador de protocolo PPP.
Ejemplo: -S 30,40,34
Miscelneas:
-D Muestra del analizador de depuracin detallada estados.
-Q generar ninguna salida (desactiva automticamente -d).
-N utilizar PCAP-NG en lugar de PCAP como formato de salida.
D.10. reordercap: Reordenar un archivo de captura
reordercap permite reordenar un archivo de captura segn los paquetes
timestamp.
Informacin de ayuda disponible desde reordercap.
Reordercap (Wireshark) 2.1.0 (v2.1.0rc0-502-G328FBC0 del master)
reordenar las marcas de tiempo de tramas del archivo de entrada en un
archivo de salida.
Uso: reordercap [opciones] <infile><outfile>
Opciones:
-n no escribir en archivo de salida, si el archivo de entrada est
ordenada.
-H mostrar esta Ayuda y Salir.
186
Captulo 11. Este documento la Licencia (GPL)

como con el original de la licencia y la documentacin distribuida con
Wireshark, este documento est cubierto por la Licencia Pblica General
de GNU (GNU GPL).
Si no ha ledo la GPL antes, por favor, hgalo. Explica todas las cosas
que usted puede hacer con este cdigo y documentacin.
Licencia Pblica General GNU Versin 2, junio de 1991
Copyright (C) 1989, 1991 Free Software Foundation, Inc.,
51 Franklin Street, Fifth Floor, Boston, MA 02110-1301 EE.UU. se permite
la copia y distribucin de copias literales de este documento de
licencia, pero no se permite su modificacin.
Prembulo
Las licencias para la mayora del software estn diseadas para quitarle
a usted la libertad de compartirlo y modificarlo. Por el contrario, la
Licencia Pblica General de GNU pretende garantizarle la libertad de
compartir y modificar software libre, para asegurar que el software es
libre para todos sus usuarios. Esta Licencia Pblica General se aplica a
la mayora del software de la Free Software Foundation y a cualquier otro
programa cuyos autores se comprometan a usarla. (Existe otro software de
la Free Software Foundation que est cubierto por la Licencia Pblica
General de GNU para Bibliotecas en lugar de otro.) Usted puede aplicarla
a sus programas, tambin.
Cuando hablamos de software libre, estamos refirindonos a libertad, no a
precio. Nuestras Licencias Pblicas Generales estn diseadas para
asegurarnos de que usted tenga la libertad de distribuir copias de
software libre (y cobrar por ese servicio si quiere), de que reciba el
cdigo fuente o que pueda conseguirlo si lo quiere, de que pueda
modificar el software o usar fragmentos de l en nuevos programas libres,
y que sepa que puede hacer estas cosas.
Para proteger sus derechos, necesitamos hacer restricciones que prohiban
a cualquiera negarle a usted estos derechos o pedirle que renuncie a los
derechos.
Estas restricciones se traducen en ciertas responsabilidades para usted
si distribuye copias del software o si lo modifica.
Por ejemplo, si usted distribuye copias de tal programa, ya sea
gratuitamente o a cambio de una contraprestacin, debe dar a los
receptores todos los derechos que usted tiene. Usted debe asegurarse de
que ellos tambin reciban o puedan obtener el cdigo fuente. Y debe
mostrarles estas condiciones de forma que conozcan sus derechos.
Protegemos sus derechos con dos pasos: (1) copyright del software y (2)
le ofrecemos esta licencia, que le da permiso legal para copiar,
distribuir y/o modificar el software.
Tambin, para la proteccin de cada autor y la nuestra propia, queremos
asegurarnos de que todo el mundo comprende que no se proporciona ninguna
garanta para este software libre. Si el software es modificado por
alguien y distribuye, queremos que sus receptores sepan que lo que tienen
no es el original, de forma que cualquier problema introducido por otros
no afecte a la reputacin de los autores originales.
Por ltimo, cualquier programa libre est constantemente amenazado por
las patentes de software. Deseamos evitar el peligro que los
redistributors de un programa libre obtengan individualmente licencias de
patente, en efecto haciendo el programa propietario. Para evitar esto,
hemos dejado claro que cualquier
187
de este documento (licencia GPL)

patente debe ser licenciada para el uso libre de cualquiera, o no ser
licenciada en absoluto.
Los trminos y las condiciones exactas para la copia, distribucin y
modificacin se exponen a continuacin.
Licencia pblica general GNU TRMINOS Y CONDICIONES PARA LA COPIA,
DISTRIBUCIN Y MODIFICACIN 0. Esta Licencia se aplica a cualquier
programa u otro tipo de trabajo que contenga una nota colocada por el
tenedor del copyright diciendo que puede ser distribuido bajo los
trminos de esta Licencia Pblica General. En adelante, el "Programa" se
refiere a cualquier programa o trabajo, y un "trabajo basado en el
Programa" significa el Programa o cualquier trabajo derivado bajo ley de
copyright:
es decir, un trabajo que contenga el programa o una porcin de l, bien
en forma literal o con modificaciones y/o traducido en otro lenguaje. Por
lo tanto, la traduccin est incluida sin limitaciones en el trmino
"modificacin".) se referir a cada licenciatario como "usted".
Otras actividades que no sean la copia, distribucin y modificacin no
estn cubiertas por esta Licencia; estn fuera de su alcance. El acto de
ejecutar el programa no est restringido, y los resultados del programa
estn cubiertos nicamente si sus contenidos constituyen un trabajo
basado en el programa, independientemente de haberlo producido mediante
la ejecucin del programa).
El que sea cierto depende de lo que haga el programa.
1. Usted puede copiar y distribuir copias literales del cdigo fuente del
programa tal como lo recibe, en cualquier medio, siempre que publique de
forma visible y adecuada en cada copia un aviso de copyright adecuado y
una renuncia de garanta; conserve intactos todos los avisos que se
refieran a esta Licencia y a la ausencia de cualquier garanta; y dar a
cualquier destinatario del Programa una copia de esta Licencia junto con
el programa.
Puede cobrar un importe por el acto fsico de transferir una copia, y
puede, a su eleccin, ofrecer proteccin de garanta a cambio de una
tarifa.
2. Puede modificar su copia o copias del programa o de cualquier porcin
de l, formando as un trabajo basado en el programa, y copiar y
distribuir tales modificaciones o trabajo bajo los trminos de la seccin
1 anterior, siempre que usted tambin cumpla con todas estas condiciones:
a) Debe hacer que los ficheros modificados lleven anuncios prominentes
indicando que los ha cambiado los archivos y la fecha de cualquier
cambio.
b) Debe hacer que cualquier trabajo que distribuya o publique, que en
todo o en parte contenga o sea derivado del programa o de cualquier parte
de l sea licenciada como un todo, sin carga alguna, a todas las terceras
partes bajo los trminos de esta Licencia.
c) Si el Programa modificado normalmente lee comandos de forma
interactiva cuando se ejecuta, debe hacer que, cuando comenz a correr
para tal uso interactivo de la forma ms ordinarias, para imprimir o
visualizar un anuncio incluye un aviso de copyright adecuado y un aviso
de que no hay garanta (o bien, diciendo que usted proporciona una
garanta) y que los usuarios pueden redistribuir el programa bajo estas
condiciones, y en el que se indica al usuario cmo ver una copia de esta
Licencia. (Excepcin: si el propio programa es interactivo pero no
imprime normalmente tal aviso, su trabajo basado en el programa no se
requiere para imprimir un aviso.) Estos requisitos se aplican al trabajo
modificado como un todo. Si hay secciones identificables de ese trabajo
no son derivadas del programa, y pueden, razonablemente, ser consideradas
trabajos independientes y separados por ellos mismos, entonces esta
Licencia y sus trminos no se aplicarn a aquellas secciones cuando usted
las distribuye como trabajos separados. Pero cuando usted distribuye las
mismas secciones como parte de un todo que es un trabajo basado en el
programa, la distribucin del todo debe ser segn los trminos de
la licencia de este documento 188 (GPL)

esta Licencia, cuyos permisos para otros licenciatarios se extienden al
todo completo, y por lo tanto a todas y cada una de las partes, con
independencia de quin la escribi.
Por lo tanto, no es la intencin de este apartado reclamar derechos o
desafiar sus derechos sobre trabajos escritos totalmente por usted; ms
bien, su intencin es ejercer el derecho a controlar la distribucin de
trabajos derivados o colectivos basados en el programa.
Adems, la mera agregacin de otro trabajo no basado en el programa con
el Programa (o con un trabajo basado en el programa) en un volumen de
almacenamiento o en un medio de distribucin no hace que dicho trabajo
entre dentro del mbito cubierto por esta Licencia.
3. Usted puede copiar y distribuir el Programa (o un trabajo basado en
l, segn se especifica en el apartado 2) como cdigo objeto o en formato
ejecutable segn los trminos de las secciones 1 y 2 anteriores, siempre
que adems cumpla una de las siguientes opciones:
a) Lo acompae con el correspondiente cdigo fuente legible por mquina y
completo, que debe ser distribuido bajo los trminos de las secciones 1 y
2 anteriores, en un medio habitualmente utilizado para el intercambio de
software; o,
b) Lo acompae con una oferta por escrito, vlida durante al menos tres
aos, de proporcionar a cualquier tercera parte, por un costo no mayor
que el de realizar fsicamente la distribucin del cdigo fuente, una
copia completa en formato legible por mquina del cdigo fuente
correspondiente, para ser distribuido bajo los trminos de las secciones
1 y 2 de esta licencia en un medio habitualmente utilizado para el
intercambio de software; o,
c) Acompaarlo con la informacin que recibiste ofreciendo distribuir el
cdigo fuente correspondiente. (Esta opcin se permite slo para
distribucin no comercial y slo si usted recibi el programa como cdigo
objeto o en formato ejecutable con tal oferta, de acuerdo con la
Subseccin b anterior)
El cdigo fuente para un trabajo significa la forma preferida del trabajo
cuando se le hacen modificaciones. Para un trabajo ejecutable, el cdigo
fuente completo significa todo el cdigo fuente para todos los mdulos
que contiene, ms cualquier fichero asociado de definicin de interfaces,
ms los guiones utilizados para controlar la compilacin e instalacin
del ejecutable. Sin embargo, como una excepcin especial, el cdigo
fuente distribuido no necesita incluir nada que sea distribuido
normalmente (bien como fuente, bien en forma binaria) con los componentes
principales (compilador, kernel y similares) del sistema operativo en el
cual funciona el ejecutable, a no ser que el propio componente acompae
al ejecutable.
Si la distribucin del ejecutable o del cdigo objeto se hace ofreciendo
acceso para copiarlo desde un lugar designado, entonces el ofrecimiento
de un acceso equivalente para copiar el cdigo fuente desde el mismo
lugar cuenta como distribucin del cdigo fuente, incluso aunque terceras
partes no estn forzadas a copiar el fuente junto con el cdigo objeto.
4. Usted no puede copiar, modificar, sublicenciar o distribuir el
Programa excepto como prev expresamente esta Licencia. De otra forma
cualquier intento de copiar, modificar, sublicenciar o distribuir el
Programa est prohibido, y anular automticamente sus derechos bajo esta
Licencia.
Sin embargo, las partes que hayan recibido copias o derechos de usted
bajo esta Licencia no tendrn sus licencias terminadas siempre y cuando
dichas partes se mantengan en pleno cumplimiento.
5. Usted no est obligado a aceptar esta Licencia, ya que no la ha
firmado. Sin embargo, no hay hada ms que le proporcione permiso para
modificar o distribuir el Programa o sus trabajos derivados. Estas
acciones estn prohibidas por la ley si usted no acepta esta Licencia.
Por lo tanto, al modificar o distribuir el Programa (o cualquier trabajo
basado en el programa), usted indica su aceptacin de esta Licencia para
hacerlo, y todos sus trminos y condiciones para copiar, distribuir o
modificar el Programa o trabajos basados en l.
189

6. Cada vez que redistribuya el Programa (o cualquier trabajo basado en
el programa), el receptor recibe automticamente una licencia del
licenciatario original para copiar, distribuir o modificar el Programa
sujeto a estos trminos y condiciones. No puede imponer al receptor
ninguna restriccin ms sobre el ejercicio de los derechos aqu
garantizados.
No es usted responsable de hacer cumplir esta Licencia por terceras
partes.
7. Si, como consecuencia de una resolucin judicial o de una alegacin de
infraccin de patente o por cualquier otra razn (no limitada a asuntos
relacionados con patentes) se le imponen condiciones (ya sea por orden
judicial, acuerdo o de otra manera) que contradigan las condiciones de
esta licencia, no le excusan de las condiciones de esta Licencia. Si
usted no puede distribuir para satisfacer simultneamente sus
obligaciones bajo esta Licencia y cualquier otra obligacin pertinente
entonces, como consecuencia, no puede distribuir el Programa en absoluto.
Por ejemplo, si una licencia de patente no permitiera la redistribucin
libre de derechos de autor del Programa por parte de todos aquellos que
reciban copias directa o indirectamente a travs de usted, entonces la
nica forma en que podra satisfacer tanto esa condicin como esta
Licencia sera evitar completamente la distribucin del programa.
Si cualquier porcin de esta seccin se considera invlida o imposible de
cumplir bajo cualquier circunstancia particular, el equilibrio de la
seccin se piensa para aplicarse y la seccin como un todo se piensa para
aplicarse en otras circunstancias.
No es el propsito de este apartado inducirle a infringir cualquier
patente u otras reclamaciones de derecho de propiedad o impugnar la
validez de tales reclamos; esta seccin tiene el nico propsito de
proteger la integridad del sistema de distribucin de software libre, que
est implementado por prcticas de licencia pblica. Mucha gente ha hecho
contribuciones generosas a la gran variedad de software distribuido
mediante ese sistema confiando en la aplicacin consistente de dicho
sistema; es el autor/donante quien decida si quiere distribuir software
mediante cualquier otro sistema y una licencia no puede imponer esa
eleccin.
Este apartado pretende dejar completamente claro lo que se considera una
consecuencia del resto de esta Licencia.
8. Si la distribucin y/o uso de el Programa est restringida en ciertos
pases, bien por patentes o por interfaces bajo copyright, el tenedor del
copyright que coloca este Programa bajo esta Licencia puede aadir una
limitacin explcita de distribucin geogrfica excluyendo esos pases,
de forma que la distribucin se permita slo en o entre los pases no
excluidos de esta manera. En tal caso, esta Licencia incorpora la
limitacin como si estuviese escrita en el cuerpo de esta Licencia.
9. La Free Software Foundation puede publicar versiones revisadas y/o
nuevas de la Licencia Pblica General de vez en cuando. Tales versiones
nuevas sern similares en espritu a la presente versin, pero pueden
diferir en detalles para abordar nuevos problemas o preocupaciones.
A cada versin se le asigna un nmero de versin que la distingue. Si el
Programa especifica un nmero de versin de esta Licencia que se aplica a
ella y a "cualquier versin posterior", tienes la opcin de seguir los
trminos y condiciones, bien de esa versin o de cualquier versin
posterior publicada por la Free Software Foundation. Si el programa no
especifica un nmero de versin de esta Licencia, usted puede elegir
cualquier versin publicada por la Free Software Foundation.
10. Si usted desea incorporar partes del Programa en otros programas
libres cuyas condiciones de distribucin son diferentes, escribe al autor
para pedirle permiso. Para el software cuyos derechos de autor pertenecen
a la Free Software Foundation, escriba a la Free Software Foundation; a
veces hacemos excepciones a esto. Nuestra decisin estar guiada por los
dos objetivos
de este documento 190 (licencia GPL)

de preservar el estado libre de todos los derivados de nuestro software
libre y promover el que se comparta y reutilice el software en general.
Sin Garanta
11. Como EL PROGRAMA SE LICENCIA LIBRE DE CARGAS, NO SE OFRECE NINGUNA
GARANTA SOBRE EL PROGRAMA, EN LA MEDIDA PERMITIDA POR LA LEY APLICABLE.
Excepto CUANDO SE INDIQUE LO CONTRARIO POR ESCRITO, LOS TENEDORES DEL
COPYRIGHT Y/U OTRAS PARTES PROPORCIONAN EL PROGRAMA "TAL COMO EST" SIN
GARANTA DE NINGN TIPO, YA SEA EXPRESA O IMPLCITA, INCLUYENDO, PERO NO
LIMITADO A, LAS GARANTAS IMPLCITAS DE COMERCIABILIDAD E IDONEIDAD PARA
UN PROPSITO PARTICULAR. Todo EL RIESGO EN CUANTO A LA CALIDAD Y
PRESTACIONES DEL PROGRAMA ES ASUMIDO POR USTED. En caso de que EL
PROGRAMA ESTUVIESE DEFECTUOSO, USTED ASUME EL COSTE DE CUALQUIER
SERVICIO, REPARACIN O CORRECCIN NECESARIOS.
12. En ningn caso a menos que sea requerido por la ley aplicable o se
acuerde por escrito, cualquier titular de derechos de autor, O CUALQUIER
OTRA PARTE QUE PUEDE MODIFICAR y/o redistribuir el programa lo permitido
anteriormente, SERN RESPONSABLES ANTE USTED POR DAOS Y PERJUICIOS,
INCLUIDOS LOS GENERALES, ESPECIALES, INCIDENTALES O CONSECUENTES QUE
SURJAN DEL USO O INCAPACIDAD DE USO DEL PROGRAMA (INCLUYENDO PERO NO
LIMITADO A LA PRDIDA DE DATOS O DATOS PRESTADOS inexactos o prdidas
sufridas por USTED O TERCEROS, O EL HECHO DE QUE EL PROGRAMA FUNCIONE CON
CUALQUIER OTRO PROGRAMA), incluso si dicho titular u otra parte HA SIDO
ACONSEJADO DE LA POSIBILIDAD DE TALES DAOS.
Fin DE TRMINOS Y CONDICIONES
Cmo aplicar estos trminos a sus nuevos programas
Si usted desarrolla un nuevo programa, y quiere que sea del mayor uso
posible para el pblico en general, la mejor forma de conseguirlo es
convirtindolo en software libre que cualquiera pueda redistribuir y
cambiar bajo estos trminos.
Para ello, adjunte los siguientes avisos al programa. Lo ms seguro es
aadirlos al principio de cada fichero fuente para transmitir lo ms
efectivamente posible la ausencia de garanta; y cada fichero debera
tener al menos la lnea de "copyright" y un indicador a dnde puede
encontrarse el anuncio completo.
<;una lnea para indicar el nombre del programa y una rpida idea de
qu hace.> Copyright (C) <year><name of author>
Este programa es software libre; usted puede redistribuirlo y/o
modificarlo bajo los trminos de la Licencia Pblica General de GNU segn
es publicada por la Free Software Foundation; ya sea la versin 2 de
dicha Licencia o bien (segn su eleccin) de cualquier versin posterior.
Este programa se distribuye con la esperanza de que sea til, pero SIN
NINGUNA GARANTA; incluso sin la garanta implcita de COMERCIABILIDAD o
IDONEIDAD PARA UN PROPSITO PARTICULAR. Vase la Licencia Pblica General
de GNU para ms detalles.
Usted debera haber recibido una copia de la Licencia Pblica General GNU
junto con este programa; si no es as, escriba a la Free Software
Foundation, Inc., 51 Franklin Street, Fifth Floor, Boston, MA 02110-1301
USA
Aada tambin informacin sobre cmo contactar con usted mediante correo
electrnico y postal.
Si el programa es interactivo, haga que muestre un pequeo anuncio como
el siguiente, cuando comienza a funcionar en modo interactivo:
Gnomovision versin 69, Copyright (C) ao nombre del autor Gnomovision
viene ABSOLUTAMENTE SIN GARANTA; para ms detalles escriba 'show w'.
Esto es software libre, puede redistribuirlo bajo ciertas condiciones;
escriba 'show c' para ms detalles.
Los comandos hipotticos 'show w' y 'show c' deben mostrar las
191 apropiado

partes de la licencia el pblico en general. Por supuesto, los comandos
que use pueden llamarse algo distinto a 'show w' y 'show c'; podran
incluso ser pulsaciones del ratn o elementos de un men (lo que sea
apropiado para su programa).
Tambin deberas conseguir que su empleador (si trabaja como programador)
o su escuela, si es el caso, firme una "renuncia de copyright" para el
programa, si es necesario. A continuacin se ofrece un ejemplo, altere
los nombres:
Yoyodyne, Inc., por el presente renuncia a todo inters de derechos de
copyright con respecto al programa Gnomovision (que hace pasadas a
compiladores) escrito por James Hacker.
<;firma de Ty Coon>, el 1 de abril de 1989 Ty Coon, Presidente
Esta Licencia Pblica General no permite que incluya sus programas en
programas propietarios. Si su programa es una biblioteca de subrutinas,
puede considerar ms til el permitir el enlazado de aplicaciones
propietarias con la biblioteca. Si esto es lo que usted desea hacer, use
la Licencia Pblica General de GNU para Bibliotecas en lugar de esta
Licencia.
192

User-Guide-Us (Español)

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

User-Guide-Us (Español)

Caricato da

Copyright:

Formati disponibili

En la Gua del usuario de Wireshark

Wireshark: Gua del usuario de Wireshark 2.1

Gua del usuario de Wireshark

Wireshark User's Guide

la Gua del usuario de Wireshark

Wireshark User's Guide

plataforma 4 Introduccin y dirigirlo al espejo ms cercano. Oficial de

Captulo 2. La construccin e instalacin de Wireshark

construccin e instalacin de Wireshark

Elemento de men de la interfaz de usuario Descripcin acelerador

Elemento de men de la interfaz de usuario

Elemento de men de la interfaz de usuario de

Elemento de men de la interfaz de usuario de

Elemento de men de la interfaz de usuario Collapse All Acelerador Ctrl+

Elemento de men de la interfaz de usuario del

interfaz de usuario del

Elemento de men de la interfaz de usuario

Men de interfaz de usuario Elemento Descripcin acelerador

Men de interfaz de usuario Elemento Descripcin acelerador IO Grficos

SMPP IAX2 operaciones...

interfaz de usuario de windows" del

Men de interfaz de usuario Elemento Descripcin El Acelerador "Soporte

Captura muestra Wiki

Barra de herramientas Barra de herramientas de la interfaz de usuario

Barra de herramientas Barra de herramientas de la interfaz de usuario

Barra de herramientas Barra de herramientas de la interfaz de usuario

Captulo 4. Captura viva de los datos de la red

Capturar datos de red viva la

captura viva de red del

Captura de datos de red viva la

Captura viva de los datos de la red

Captura de datos de red en vivo

Captura viva de los datos de la red

Captura viva de los datos de red

Captura de datos de red viva la

captura viva de los datos de la red

Captura viva de los datos de la red

Captura de datos de red viva

Captura de datos de red viva la

captura de datos de red viva la

Captura de datos de red viva la

Captura de datos de red en vivo

Captura de red en vivo

Captura de datos de red viva

Captura de datos de red viva

Captulo 5. Archivo de entrada, salida y la impresin

Archivo de entrada, salida e impresin

Archivo de entrada, salida e impresin

Archivo de entrada, salida e impresin

archivo de entrada, salida e impresin

Archivo de entrada, salida y la impresin

Archivo de entrada, salida e impresin de

Archivo de entrada, salida y la impresin de la

Archivo de entrada, salida y la impresin de la

Archivo de entrada, salida e impresin de

Archivo de entrada, salida y imprimir

Archivo de entrada, salida y la impresin de

Archivo de entrada, salida y la impresin de la

Archivo de entrada, salida y la impresin

Archivo de entrada, salida e impresin

Archivo de entrada, salida y la impresin de la

Archivo de entrada, salida y la impresin de la

Archivo de entrada, salida y la impresin de la