meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
red:wireshark [2021/06/09 19:12] – [Detección de problemas de Red] lcred:wireshark [2023/01/18 14:11] (actual) – editor externo 127.0.0.1
Línea 19: Línea 19:
 <note warning>aunque sale un mensaje de advertencia es necesario ejecutar el programa como root ya que si no, no sale el listado de interfaces ni tampoco se puede capturar (http://wiki.wireshark.org/CaptureSetup/CapturePrivileges) </note> <note warning>aunque sale un mensaje de advertencia es necesario ejecutar el programa como root ya que si no, no sale el listado de interfaces ni tampoco se puede capturar (http://wiki.wireshark.org/CaptureSetup/CapturePrivileges) </note>
  
-==== Filtros ====+==== Preferencias ==== 
 +Todos los ajustes que pueden realizarse en la interfaz de Wireshark están en el menú Edit-> Preferences. **(CTRL + Mayúsculas + P)**
  
 +Es posible concentrar un conjunto de ajustes a la interfaz de Wireshark en un perfil, con el objetivo de aplicarlos con un solo click, solo cuando sea necesario.
 +
 +Wireshark mantiene un conjunto de carpetas simples para almacenar los ajustes personales, y aquellos que vienen por defecto con la aplicación. 
 +
 +
 +=== Ajustes de TCP (Prefeences->Protocols->TCP) ===
 +  *  **Allow subdissector to reassemble TCP streams:**  Seleccionar para lograr descargar los archivos (fotos, documentos, etc) capturados. Deseleccionar, para ver los comandos del protocolo de aplicación que son parte de la cabecera.
 +  *  **Track number of bytes in flight:**  Seleccionar, se lleva el conteo de los paquetes TCP que aún no han sido confirmados (ACK).
 +  *  **Calculate conversation timestamps:** Seleccionar, se muestra el tiempo entre paquetes por cada conversación TCP.
 +
 +==== Filtros ====
 Ejemplos Ejemplos
   * tcp.srcport == 34 <-Capturamos sólo los paquetes con puerto origen 34   * tcp.srcport == 34 <-Capturamos sólo los paquetes con puerto origen 34
Línea 43: Línea 55:
   * tshark -R "smb.cmd==0x2f"   * tshark -R "smb.cmd==0x2f"
  
 +==== Perfiles ==== 
 +Un perfil nos permite aplicar cambios sobre la interfaz de wireshark de forma inmediata.  Deberíamos de crear varios perfiles según el tipo de tráfico que vamos a analizar. 
 +Para crear/modificar/eliminar perfiles ->Menú Edit -> Configuration Profiles o con  **CTRL + Mayúsculas + A **
  
 ==== IO Graph ==== ==== IO Graph ====
Línea 65: Línea 79:
   * IP DSCP Value: Útil cuando monitorizamos tráfico VoIP. Permite ver entre otras cosas si Qos está configurado   * IP DSCP Value: Útil cuando monitorizamos tráfico VoIP. Permite ver entre otras cosas si Qos está configurado
  
- +Algunos errores típicos 
-TCP Previous segmento lost nos indica que un segmento TCP anterior ha fallado +  TCP Previous segmento lost nos indica que un segmento TCP anterior ha fallado 
-Un TCP Dup ACK significa que el hay perdida de paquetes. si el número de paquetes perdidos es alto indica una latencia alta+  Un TCP Dup ACK significa que el hay perdida de paquetes. si el número de paquetes perdidos es alto indica una latencia alta
  
 Por regla general: Por regla general:
- 
     * Solo se esperan hasta 3 ACKs duplicados.     * Solo se esperan hasta 3 ACKs duplicados.
     * Uno o dos ACKs duplicados indica una reordenación de los segmentos.     * Uno o dos ACKs duplicados indica una reordenación de los segmentos.
     * Tres o más ACKs duplicados indica que se perdió el paquete.     * Tres o más ACKs duplicados indica que se perdió el paquete.
    
-https://www.incibe.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf+=== Latencia === 
 +Según la wikipedia "la latencia de red es la suma de retardos temporales dentro de una redUn retardo es producido por la demora en la propagación y transmisión de paquetes dentro de la red"Es decir , la latencia es el tiempo que tarda una petición en completarse. Por ejemplo si estamos visualizando  una página web, sería el tiempo desde que enviamos la solicitud hasta que la tenemos cargada. 
 + 
 +La latencia puede estar originada en La red, el Origen o  el Destino 
 + 
 +  * **Latencia en la Red** -> Se da cuando el tiempo de  repuesta del destino  (SYNC/ACK) a una petición SYNC del cliente, es alto. 
 +  * **Latencia en Origen (cliente)**-> Es cuando el tiempo es alto entre que el cliente envía un ** ACK** y el cliente envía un  **(Request)**  
 +  * **Latencia en Destino(servidor)**->Se da cuando el tiempo entre que el destino envía un **ACK** y el destino envía la respuesta es elevado 
 + 
 +<note> 
 +Para ver problemas de latencia tenemos que habilitar la columna Delta Time. Para habilitar la columna tenemos que seleccionar un paquete, en la zona de detalle del paquete, expandir la cabecera que aparece como Transmission Control Protocol TCP, al expandirlo buscar la última parte **Timestamps** y seleccionar **Time since previous frame in this TCP stream** . Al pinchar botón derecho del ratón seleccionar **Aplicar como columna** o bien CTRL+May+I </note> 
 + 
 ==== Referencias ==== ==== Referencias ====
   * http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf   * http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_seguridad_analisis_trafico_wireshark.pdf
   * http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos   * http://seguridadyredes.nireblog.com/post/2008/02/14/analisis-de-red-con-wireshark-interpretando-los-datos
   * http://thenetworkzone.blogspot.com/2009/10/resolve-network-problems-faster-with.html   * http://thenetworkzone.blogspot.com/2009/10/resolve-network-problems-faster-with.html
 +  * https://www.academiaredes.com
 +  * https://seguridadyredes.wordpress.com/2009/02/19/tshark-detectando-problemas-en-la-red/