sábado, 26 de noviembre de 2011

Sniffers o analizadores de protocolo

Los sniffers o analizadores de protocolo son aplicaciones que operan en la capa de enlace del modelo OSI y permiten capturar todos los paquetes de datos en un proceso de comunicación determinado. Este tipo de herramientas nos permiten, entre otras cosas, entender mejor lo que está ocurriendo en la red.

De manera general, un sniffer ejecuta tres fases:
  • Captura: En esta etapa se realiza la recolección de paquetes.
  • Conversión: Luego, se toman los datos binarios y se les da formato para facilitar su lectura.
  • Análisis: Como su nombre lo indica, en esta fase se analiza la información obtenida.

En este caso comentaremos el funcionamiento básico de un sniffer llamado Wireshark , el cual es libre y multiplataforma.

Su instalación suele ser bastante sencilla, por ejemplo, para instalarlo en sistemas Linux basados en Debian, basta usar el comando apt-get install wireshark

Captura de Paquetes

Los pasos a seguir para empezar a capturar paquetes son:

  • Una vez abierto el programa se selecciona desde el menú principal la opción capture y luego interfaces, lo cual hará aparecer una ventana de selección con las interfaces de red disponibles en el sistema.
  • Escoger la interfaz de la cual se quieren capturar paquetes y hacer click en start.
  • Cuando estemos satisfechos con la cantidad de paquetes capturados seleccionamos el menú capture y la opción stop para detener la captura.



Esto nos deja en la pantalla principal de la aplicación con todos los paquetes que hemos capturado. Esta pantalla tiene tres partes principales:

  • Lista de paquetes capturados: Es una tabla que contiene todos los paquetes capturados e indica, entre otras cosas, la información de origen y destino del paquete, el protocolo, etc.
  • Detalles del paquete: Este contiene la información detallada del paquete seleccionado de la lista anterior.
  • Bytes del paquete: Esta parte contiene los bytes correspondientes a la parte del paquete seleccionada en la sección de detalles.

Estos paquetes pueden ser analizados en el momento o ser almacenados para su posterior análisis.

Búsqueda y marcado de paquetes

Dada la gran cantidad de paquetes que se puede obtener de una captura, Wireshark permite buscar sólo los paquetes que pueden ser de interés, para acceder al panel de búsqueda basta seleccionar en el menú edit la opción find o se pueden utilizar las teclas ctrl + F. La aplicación cuenta con distintos tipos de búsqueda:

  • Filtros: Mediante este método se pueden aislar paquetes mediante una expresión lógica, de modo que los paquetes que cumplan dicha expresión serán seleccionados.
  • Valor hexadecimal: Se realiza la búsqueda especificando un valor hexadecimal que debe contener el paquete.
  • Cadena de caracteres: La búsqueda se basa en una cadena de caracteres específica.

Una vez seleccionados los paquetes de interés, es posible refinar un poco más la selección mediante el marcado de paquetes. Para esto basta selección el paquete y mediante el click derecho del ratón seleccionar mark packet o mediante las teclas ctrl + M.

Para terminar, aunque queda mucho más por ver de esta aplicación, dejo este video que me encontré en la web con lo básico que se ha mencionado en este post.


Publicado por en
Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)