Uso de Wireshark (Avanzado)¶
Estas son más de 100 tareas que debes saber resolver para aprender a usar Herramientas de Análisis de Tráfico y Protocolos de forma avanzada. Puedes hacerlo sobre una captura que hagas tú o puedes utilizar esta de ejemplo: captura_estudio.pcapng
Requisitos Previos
Empieza por las 25 tareas básicas: Uso de Wireshark (Básico)
Uso general del software y la interfaz¶
¿Tienes instalada la última versión de Wireshark?
¿En qué interfaces de red puedes hacer una captura?
¿Sabes cómo hacer una captura de 1.000 paquetes?
¿Sabes cómo hacer una captura de tráfico de 5 segundos?
¿Sabes cómo capturar sólo tráfico udp?
¿Puedes hacer una captura de 1.000 paquetes, con tráfico TCP?
¿Lo puedes guardar con el nombre ejemplo_tcp.pcap?
Reinicia Wireshark y abre los paquetes capturados en ejemplo_tcp.pcap.
¿Puedes abrir el software y ver los diferentes paneles de la interfaz?
¿Sabes abrir el menú de preferencias (ver la configuración)?
¿Y cambiar la configuración de los paneles?
¿Sabes cual es la IP origen de un paquete?
¿Sabes cual es la IP destino?
¿Sabes cómo ir directamente a ese paquete (de forma directa)?
¿Sabes cómo ir al primer paquete de la captura? ¿Y al último?
¿Cuánto tiempo pasó desde el inicio de la captura, hasta el paquete 300?
¿Sabes cómo poner una marca de tiempo (es decir, que ese paquete sea el tiempo 0)?
¿Qué protocolo es el de máximo nivel en ese paquete?
¿Cual fue la fecha de captura de ese paquete?
¿Cual es el tamaño total de ese paquete?
¿Sabes cuales son los dígitos hexadecimales equivalentes a esa dirección IP?
¿Y qué medio de transmisión utiliza y que tipo de interfaz de red es?
¿Sabes qué protocolo de capa 2 utiliza?
¿Sabes qué protocolo de capa 3 utiliza?
¿Sabes qué protocolo de capa 4 utiliza?
¿Está utilizando algún servicio de la capa de aplicación?
¿Cómo resaltas (marcas) un paquete?
¿Y cómo vuelves a ese paquete marcado, si estás viendo otros paquetes?
¿Hay algún paquete que tenga el valor 0x0800?
¿Y el 0xEBF2?
¿Hay algún paquete que tenga la cadena de texto “pass” (en su contenido)?
¿Hay algún paquete que tenga la cadena de texto “content” (en su contenido)?
¿Hay algún paquete que tenga la cadena de texto “content” (en la información del paquete)?
¿Puedes modificar la forma en que se visualiza la inferfaz? Por ejemplo que NO se vean los bytes HEX
¿Puedes activar y desactivar la “vista por colores”?
¿Podrías cambiarle el color de fondo a una regla concreta (por ejemplo tráfico TCP?
¿Y desactivar una regla (que no coloree, pero sin borrarla)?
¿Podrías colorear los paquetes que corresponden a una conversación TCP?
¿Podrías moverte entre los paquetes de esa conversación TCP?
Analizando los protocolos en detalle¶
¿Puedes ver/ocultar un grupo de paquetes (según diferentes criterios)?
¿Y sólo de la capa 3?
¿Y sólo de la capa 4?
¿Puedes ver claro qué partes del paquete completo, corresponden a cada protocolo?
¿Hay más de 5 protocolos diferentes en la captura? Cita al menos 5.
Ethernet¶
¿Quién es el fabricante de tu interfaz de red?
¿Sabes cual es la dirección MAC destino de un paquete?
¿Sabes cual es la dirección MAC origen de un paquete, en HEX?
¿Sabes qué tipo de protocolo está llevando esa trama capa 2?
¿Sabes como resaltar los HEX bytes de sólo la capa 2?
¿Puedes ver los bits del preámbulo? ¿Porqué?
IP¶
¿Cual es el tamaño de la cabecera IP (en bytes)?
¿Cual es el valor del campo cabecera IP (IHL) en bits?
¿Cual es el tamaño total del paquete IP?
¿Cual es el TTL de ese paquete?
¿La cabecera tiene opciones IP?
¿Puedes ver las estadísticas de IP (v4)?
Ese paquete, ¿podrá pasar por 100 routers antes de ser entregado?
ARP¶
¿Cuales son las direcciones origen y fuente? ¿MAC o IP?
¿Ese paquete es una solicitud ARP o una respuesta?
¿Qué dirección IP es la de origen de ese paquete?
¿Qué dirección IP es la de destino de ese paquete?
¿Qué valor tiene el campo Tipo de Protocolo?
¿Cual es el código de la operación ARP que realiza?
¿Cual es el código de un paquete que está respondiendo a una petición ARP?
¿Cual es la longitud de la carga útil ARP?
¿Qué significa que la MAC de destino sea: 00:00:00_00:00:00?
ICMP¶
Ver tráfico ICMP
¿Qué tipo de operación ICMP está realizando esa trama?
¿Cual es el código de ese tipo de operacion?
¿A qué capa pertenece ICMP?
¿Qué HEX bytes son de IP y cuales de ICMP? (para esa trama)
¿Sabrías buscar el tipo y valor de mensaje de control ICMP (p.ej. Time Exceeded o similar)?
UDP¶
¿Hay tráfico UDP?
¿Cuántas tramas que usen UDP?
¿Qué longitud tiene un datagrama (cualquiera)?
¿Cual es el valor en HEX (de la longitud)?
¿Cual es el puerto de destino del datagrama?
¿Cuál es el puerto origen?
¿Cual es el socket?
TCP¶
¿Hay tráfico TCP?
¿Cuántas tramas que usen TCP?
¿Cual es el puerto remoto de un segmento TCP (cualquiera)?
¿Cual es el tamaño de la cabecera TCP (en bytes)?
¿Cual es el valor del campo cabecera TCP (en bits)?
¿Qué flag de control está activado en ese segmento TCP?
¿Cual es el número de secuencia de ese segmento (absoluta y relativa)?
¿Qué número de secuencia (absoluta y/o relativa) está confirmando?
¿A qué parte de la conexión (inicio / datos / fin) pertenece ese segmento?
TCP (Avanzado)¶
Ese segmento TCP, ¿lleva opciones?
Si el segmento TCP lleva opciones, ¿cuántas son?
¿Cuántos bytes ocupan las opciones TCP?
¿Qué campos tiene cada opción?
¿Cual es el socket en el que va ese segmento?
¿Podrías ver la estructura concreta de una opción (kind / length / value)?
¿Cual es el valor de MSS para esa conversación TCP?
¿Y el tamaño de la ventana (con y sin escalado, si lo tuviera)?
¿Esa conversación TCP, finalizó por las buenas o por las malas?
¿Aparece la opción SACK?¿En qué consiste?
¿Aparece la opción Timestamp?
¿Podrías usar un filtro para ver un socket concreto?
DHCP¶
¿Hay tráfico DHCP en la captura? ¿Cuántas tramas?
¿A qué capa pertenece DHCP?
¿Qué mensajes DHCP encuentras en la trama?
¿En qué estados DHCP se encuentra el cliente?
¿Cual es la Dirección IP que tendrá el Cliente?
¿Cual es la Dirección IP del servidor DHCP?
¿Cual sería el socket (circuito) que se crea entre cliente y servidor?
¿Cual es el tiempo de concesión que oferta el servidor Web?
¿Cuántas opciones tiene ese paquete DHCP
¿Cual es el código de opción de Client Identifier?
DNS¶
¿Hay tráfico DNS en la captura? ¿Cuántas tramas?
¿A qué capa pertenece DNS?
¿Qué mensajes DNS encuentras en la trama?
¿Cual sería la IP del servidor DNS?
¿Cual sería la IP de un cliente DNS en esa red?
La trama 335, ¿qué operación está realizando? ¿Cual es el código de la operación?
¿En qué trama le responden?
Busca una trama con respuesta DNS, ¿qué tipo de registro devuelve? ¿qué valor del registro?
En la trama 366, ¿cuantos registros de respuesta hay? ¿Cual es la pregunta y la respuesta?
¿Y en la trama 1400?
Usando Filtros de visualización¶
¿Sabrías filtrar los paquetes cuyo origen sea una dirección IP concreta?
¿Hay algún socket que haya usado el puerto 8000?
¿Sabrías filtrar los paquetes desde dos IPs concretas?
¿Sabrías filtrar los paquetes de un socket concreto (IP + puerto)?
¿Podrías filtrar los paquetes con el flag SYN activo?
¿Y los paquetes con el flag SYN y de una IP concreta?
¿Y los paquetes con el flag RST (reset) activo?
¿Y los paquetes con una dirección MAC concreta?
¿Y los de una IP origen concreta, que además tengan el flag TCP FIN activo?
¿Y los paquetes IP que tengan un TTL superior a 100?
¿Y un TTL de 1? ¿Qué significaría esto?
¿Qué segmentos TCP están anunciando el valor MSS?
¿Qué segmentos TCP tienen el valor MSS y el flag FIN activo? ¿Porqué?
¿Qué segmentos TCP tienen una ventana de más de 30.000 Bytes (sin escalar)?
¿Qué paquetes IP ocupan más de 1.000 B?
¿Qué filtro uso para ver un flujo (stream) concreto (p.ej el 30)?
¿Qué filtro uso para ver el flujo #30 y que tengan el flag SYN activo? Es decir, estoy viendo la fase de incialización de ese socket
Usando herramientas y estadísticas¶
¿Podrías mostrar un gráfico (IO) de los paquetes de la captura?
¿Y modificar alguna de las propiedades del gráfico?
¿Cómo muestras la información experta?
¿Puedes tener una idea de lo que te dice esa información experta?
¿Puedes ver el paquete concreto en uno de los avisos?
¿Qué protocolo tiene más paquetes (en %)?
¿Hay más paquetes que usen UDP que los que usan TCP?
¿Qué protocolos intervienen en la captura?
¿Puedes ver un análisis de la longitud de los paquetes?
¿Cual es la longitud de paquetes más frecuente?
¿Puedes ver cuántas conversaciones TCP hay en la captura?
¿Qué socket TCP envió más paquetes?
¿Qué IP envía más paquetes TCP?
¿Puedes ver el flujo de datos (gráfico) de una conversación? Hay que limitar la vista a una conversación
¿Y los detalles de cada paso, desde la ventana de flujo de datos?