manual de instalación y uso ethereal

MANUAL DE ETHEREALINSTALACIN Y USO

Ricardo Dez Antequera

L&M Data Communications 2005

MANUAL DE ETHEREALINSTALACIN Y USO

Copyright (c) 2005 L&M Data Communications S. A.Permission is granted to copy, distribute and/or modify this document under the terms of the

GNU Free Documentation License, Version 1.2 or any later version published by the Free SoftwareFoundation; with no Invariant Sections, no Front-Cover Texts, and no Back-Cover Texts. A copyof the license is included in the section entitled "GNU Free Documentation License".

MANUAL DE ETHEREAL

L&M Data Communications www.LMdata.es 3

Tabla de contenidos

1. INTRODUCCIN 41.1 Qu es Ethereal? 41.2 El Estado de Ethereal 121.3 Desarrollo y Mantenimiento de Ethereal 121.4 Plataformas sobre las que corre Ethereal 121.5 Dnde conseguir Ethereal 121.6 Informando de problemas y Consiguiendo ayuda 13

2 COMPILANDO E INSTALANDO ETHEREAL 132.1 Introduccin 132.2 Obteniendo las distribuciones fuente y binaria 142.3 Antes de compilar Ethereal 142.4 Compilando desde el Fuente bajo UNIX 162.5 Instalando los binarios bajo UNIX 172.6 Instalando desde RPMs bajo Linux 172.7 Instalando desde debs bajo Debian 172.8 Instalando Ethereal bajo Windows 17

3 USANDO ETHEREAL 183.1 Introduccin 183.2 Iniciar Ethereal 183.3 Los menus de Ethereal 223.4 El men File de Ethereal 233.5 El men Edit de Ethereal 253.6 El men View de Ethereal 263.7 El men Go de Ethereal 293.8 El men Capture de Ethereal 303.9 El men Analyze de Ethereal 313.10 El men Statistics de Ethereal 333.11 El men Help de Ethereal 373.12 Capturando paquetes con Ethereal 37

Cuadro de dilogo Preferencias de Captura 383.13 Filtrando mientras se captura 403.14 Viendo los paquetes que se han capturado 413.15 Guardando los paquetes capturados 45

Cuadro de dilogo Guardar Fichero de captura Como 453.16 Leyendo ficheros de captura 47

El cuadro de dilogo Abrir Fichero 483.17 Filtrando paquetes mientras se ven 49

Construyendo expresiones de filtro 503.18 Coloreado de paquetes 533.19 Encontrando paquetes 553.20 Siguiendo flujos TCP 563.21 Definiendo y guardando filtros 573.22 El cuadro de dilogo Aadir Expresin 583.23 Imprimiendo paquetes 603.24 Preferencias de Ethereal 61

4 GNU FREE DOCUMENTATION LICENSE 63

MANUAL DE ETHEREAL

4 L&M Data Communications www.LMdata.es

1. Introduccin

1.1 Qu es Ethereal?Todos los administradores de red necesitan tarde o temprano una herramienta que pueda

capturar paquetes de la red y analizarlos. En el pasado, estas herramientas eran muy caras,propietarias, o ambas cosas. Sin embargo, con la lleagada de Ethereal, todo eso ha cambiado.

Ethereal es quiz uno de los mejores sniffers open source disponibles hoy en da. Algunas de suscaractersticas son:

Disponible para UNIX y para Windows.

Captura y muestra paquetes desde cualquier interface en un sistema UNIX.

Muestra paquetes capturados por otros programas de captura, como:o tcpdump (libpcap/WinPcap)o Cinco Networks NetXRayo Sniffer y Sniffer Pro de Network Associates

! Para DOS o Windows! Comprimido o no

o NetXrayo LANalyzer de Novello Shomiti/Finesar Surveyoro iptrace de AIXo AG Group/WildPackets EtherPeek/TokenPeek/AiroPeeko WAN/LAN Analyzer de RADCOMo Productos de acceso Lucent/Ascendo nettl de HP-UXo Salida en formato IPLog del Cisco Secure Intrusion Detection Systemo Logs pppd (formato pppdump)o Utilidad TCPIPtrace de VMSo Salida de texto de la utilidad DBS Etherwatch VMSo Ficheros de capura de trfico de Visual UpTime de Visual Networkso Salida debug de CoSine L2o Routers ISDN de Toshibao Utilidad i4btrace de ISDN4BSDo Microsoft Network Monitoro snoop y atmsnoop de Sun

Guarda las capturas en varios formatos:o libpcap (tcpdump)

MANUAL DE ETHEREAL


o Sun snoopo Microsoft Network Monitoro Network Associates Sniffer

Filtra paquetes por muchos criterios.

Busca paquetes usando filtros.

Colorea paquetes basndose en filtrosSin embargo, para apreciar realmente su potencia, lo mejor es empezar a utilizarlo.

La Figura 1-1 muestra Ethereal habiendo capturado algunos paquetes y esperando que el usuarioexamine los paquetes.

Figura 1-1. Ethereal captura paquetes y permite examinar su contenido.

Adems, como todo el cdigo fuente de Ethereal est gratuitamente disponible, es muy fcilaadir nuevos protocolos a Ethereal, as como mdulos, o modificar el cdigo fuente.

Hay actualmente decodificadores de protocolo (o disectores, como se les llama en Ethereal),para un gran nmero de protocolos, incluyendo:

802.1q Virtual LAN 802.1x Authentication AOL Instant Messenger ATM ATM LAN Emulation Ad hoc On-demand Distance Vector Routing Protocol Ad hoc On-demand Distance Vector Routing Protocol v6 Address Resolution Protocol Aggregate Server Access Protocol

MANUAL DE ETHEREAL


Andrew File System (AFS) Apache JServ Protocol v1.3 AppleTalk Filing Protocol AppleTalk Session Protocol AppleTalk Transaction Protocol packet Appletalk Address Resolution Protocol Async data over ISDN (V.120) Authentication Header BACnet Virtual Link Control Banyan Vines Banyan Vines Fragmentation Protocol Banyan Vines SPP Blocks Extensible Exchange Protocol Parmetros Boot Bootstrap Protocol Border Gateway Protocol Building Automation and Control Network APDU Building Automation and Control Network NPDU Checkpoint FW-1 Cisco Auto-RP Cisco Discovery Protocol Cisco Group Management Protocol Cisco HDLC Cisco Hot Standby Router Protocol Cisco ISL Cisco Interior Gateway Routing Protocol Cisco SLARP CoSine IPNOS L2 debug output Common Open Policy Service Common Unix Printing System (CUPS) Browsing Protocol DCE RPC DCE/RPC Conversation Manager DCE/RPC Endpoint Mapper DCE/RPC Remote Management DCOM OXID Resolver DCOM Remote Activation DEC Spanning Tree Protocol DHCPv6 Data Data Link SWitching Data Stream Interface Datagram Delivery Protocol Diameter Protocol Distance Vector Multicast Routing Protocol Distributed Checksum Clearinghouse Prototocl Domain Name Service Dynamic DNS Tools Protocol

MANUAL DE ETHEREAL


Encapsulating Security Payload Enhanced Interior Gateway Routing Protocol Ethernet Extensible Authentication Protocol Datos FTP Fiber Distributed Data Interface File Transfer Protocol (FTP) Trama Frame Relay GARP Multicast Registration Protocol GARP VLAN Registration Protocol GPRS Tunneling Protocol GPRS Tunnelling Protocol v0 GPRS Tunnelling Protocol v1 General Inter-ORB Protocol Generic Routing Encapsulation Gnutella Protocol Hummingbird NFS Daemon Hypertext Transfer Protocol ICQ Protocol IEEE 802.11 wireless LAN Trama IEEE 802.11 wireless LAN management ILMI IP Payload Compression IPX Message IPX Routing Information Protocol ISDN Q.921-User Adaptation Layer ISDN User Part ISO 10589 ISIS InTRA Domain Routeing Information Exchange Protocol ISO 8073 COTP Connection-Oriented Transport Protocol ISO 8473 CLNP ConnectionLess Network Protocol ISO 8602 CLTP ConnectionLess Transport Protocol ISO 9542 ESIS Routeing Information Exchange Protocol ITU-T Recommendation H.261 Inter-Access-Point Protocol Internet Cache Protocol Internet Content Adaptation Protocol Internet Control Message Protocol Internet Control Message Protocol v6 Internet Group Management Protocol Internet Message Access Protocol Internet Printing Protocol Internet Protocol Internet Protocol Version 6 Internet Relay Chat Internet Security Association and Key Management Protocol Internetwork Packet eXchange

MANUAL DE ETHEREAL


Java RMI Java Serialization Kerberos Kernel Lock Manager Label Distribution Protocol Layer 2 Tunneling Protocol Lightweight Directory Access Protocol Line Printer Daemon Protocol Link Access Procedure Balanced (LAPB) Link Access Procedure Balanced Ethernet (LAPBETHER) Link Access Procedure, Channel D (LAPD) Link Aggregation Control Protocol Link Management Protocol (LMP) Captura Linux cooked-mode Local Management Interface LocalTalk Link Access Protocol Logical-Link Control Lucent/Ascend debug output MMS Message Encapsulation MS Proxy Protocol MSNIP: Multicast Source Notification of Interest Protocol MTP 2 Transparent Proxy MTP 2 User Adaptation Layer MTP 3 User Adaptation Layer MTP2 Peer Adaptation Layer Malformed Packet Message Transfer Part Level 2 Message Transfer Part Level 3 Microsoft Distributed File System Microsoft Exchange MAPI Microsoft Local Security Architecture Microsoft Network Logon Microsoft Registry Microsoft Security Account Manager Microsoft Server Service Microsoft Spool Subsystem Microsoft Telephony API Service Microsoft Windows Browser Protocol Microsoft Windows Lanman Remote API Protocol Microsoft Windows Logon Protocol Microsoft Workstation Service Mobile IP Modbus/TCP Mount Service MultiProtocol Label Switching Header Multicast Router DISCovery protocol Multicast Source Discovery Protocol

MANUAL DE ETHEREAL


NFSACL NFSAUTH NIS+ NIS+ Callback NSPI NTLM Secure Service Provider Name Binding Protocol Name Management Protocol over IPX NetBIOS NetBIOS Datagram Service NetBIOS Name Service NetBIOS Session Service NetBIOS over IPX NetWare Core Protocol Network Data Management Protocol Network File System Network Lock Manager Protocol Network News Transfer Protocol Network Status Monitor CallBack Protocol Network Status Monitor Protocol Network Time Protocol Null/Loopback Open Shortest Path First Fichero log de OpenBSD Packet Filter PC NFS PPP Bandwidth Allocation Control Protocol PPP Bandwidth Allocation Protocol PPP Callback Control Protocol PPP Challenge Handshake Authentication Protocol PPP Compressed Datagram PPP Compression Control Protocol PPP IP Control Protocol PPP Link Control Protocol PPP Multilink Protocol PPP Multiplexing PPP Password Authentication Protocol PPP VJ Compression PPP-over-Ethernet Discovery PPP-over-Ethernet Session PPPMux Control Protocol Point-to-Point Protocol Point-to-Point Tunnelling Protocol Portmap Post Office Protocol Pragmatic General Multicast Prism Protocol Independent Multicast

MANUAL DE ETHEREAL


Q.2931 Q.931 Quake II Network Protocol Quake III Arena Network Protocol Quake Network Protocol QuakeWorld Network Protocol Qualified Logical Link Control RFC 2250 MPEG1 RIPng RPC Browser RSTAT RX Protocol Radio Access Network Application Part Radius Protocol Raw packet data Real Time Streaming Protocol Real-Time Transport Protocol Real-time Transport Control Protocol Remote Procedure Call Remote Quota Remote Shell Remote Wall protocol Resource ReserVation Protocol (RSVP) Rlogin Protocol Routing Information Protocol Routing Table Maintenance Protocol SADMIND SCSI SMB (Server Message Block Protocol) SMB MailSlot Protocol SMB Pipe Protocol SNA-over-Ethernet SNMP Multiplex Protocol SPRAY SS7 SCCP-User Adaptation Layer SSCOP Secure Socket Layer Sequenced Packet eXchange Service Advertisement Protocol Service Location Protocol Session Announcement Protocol Session Description Protocol Session Initiation Protocol Short Frame Short Message Peer to Peer Signalling Connection Control Part Simple Mail Transfer Protocol

MANUAL DE ETHEREAL


Simple Network Management Protocol Sinec H1 Protocol Skinny Client Control Protocol SliMP3 Communication Protocol Socks Protocol Spanning Tree Protocol Stream Control Transmission Protocol Syslog message Systems Network Architecture TACACS TACACS+ TPKT Telnet Time Protocol Time Synchronization Protocol Token-Ring Token-Ring Media Access Control Transmission Control Protocol Transparent Network Substrate Protocol Trivial File Transfer Protocol Universal Computer Protocol Unreassembled Fragmented Packet User Datagram Protocol Virtual Router Redundancy Protocol Virtual Trunking Protocol Web Cache Coordination Protocol Wellfleet Compression Who Wireless Session Protocol Wireless Transaction Protocol Wireless Transport Layer Security X Display Manager Control Protocol X.25 X.25 over TCP X11 Xyplex Yahoo Messenger Protocol Yellow Pages Bind Yellow Pages Passwd Yellow Pages Service Yellow Pages Transfer Zebra Protocol Zone Information Protocol iSCSI

MANUAL DE ETHEREAL


1.2 El Estado de EtherealEthereal es un proyecto de software open source, liberado bajo la Licencia Pblica GNU (GPL).

Todo el cdigo fuente est gratuitamente disponible bajo la GPL. Se puede modificar Ethereal paraadecuarlo a las propias necesidades.

El cdigo fuente de Ethereal y los kits binarios para algunas plataformas estn disponibles en elweb de Ethereal: http://www.ethereal.com.

1.3 Desarrollo y Mantenimiento de EtherealEthereal fue inicialmente desarrollado por Gerald Combs. El desarrollo y mantenimiento actual

de Ethereal lo lleva el equipo Ethereal, un grupo que arregla bugs y proporciona nuevasfuncionalidades.

Hay tambin un gran nmero de gente que ha contribuido con disectores de protocolo paraEthereal, y se espera que esto continuar. Se puede encontrar una lista de la gente que hacontribuido al cdigo de Ethereal en el enlace Authors en el web.

1.4 Plataformas sobre las que corre EtherealEthereal actualmente funciona en la mayora de las plataformas UNIX y las distintas plataformas

Windows.

Necesita GTK+, GLIB y libpcap para funcionar.

Hay paquetes binarios disponibles al menos para las siguientes plataformas:

AIX

Tru64 UNIX (formerly Digital UNIX)

Debian GNU/Linux

Slackware Linux

Red Hat Linux

FreeBSD

NetBSD

OpenBSD

HP/UX

Sparc/Solaris 8

Windows 2000, Windows NT y Windows Me/98/95Si no hay un paquete binario para una plataforma, se puede descargar el cdigo fuente e intentar

compilarlo.

1.5 Dnde conseguir EtherealSe puede conseguir la ltima version de Ethereal en el web de Ethereal:

http://www.ethereal.com/. El web te permite escoger entre varios espejos para la descarga.

MANUAL DE ETHEREAL


1.6 Informando de problemas y Consiguiendo ayudaSi tiene problemas, o necesita ayuda con Ethereal, hay varias listas de mailing que pueden ser de

su inters:

Ethereal UsersEsta lista es para usuarios de Ethereal. La gente deja preguntas sobre la compilacin y uso deEthereal. Otros proporcionan respuestas.

Ethereal AnnounceEsta lista es para los que desean recibir anuncios sobre Ethereal.

Ethereal DevEsta lista es para desarrolladores de Ethereal. Si desea empezar a desarrollar un disector deprotocolo, nase a esta lista.

Puede suscribirse a cada una de estas listas desde el web de Ethereal: http://www.ethereal.com/.Simplemente seleccione el enlace a las listas de mailing en la parte izquierda del sitio web. Laslistas se archivan tambin en el web de Ethereal.

Cuando se informa de fallos con Ethereal, es de utilidad proporcionar la siguiente informacin:

1. El nmero de versin de Ethereal con que se produjo el problema, p. ej. Ethereal 0.9.10.2. El nmero de versin de cualquier otro software relacionado con Ethereal, p. ej. GTK+, etc.

Se puede obtener esta informacin con el comando ethereal -v.

3. Un traceback si Ethereal fall. Se puede obtener con los siguientes comandos:$ gdb `whereis ethereal | cut -f2 -d: | cut -f -d2` core >& backtrace.txtbacktrace^D$Nota: Teclee los caracteres de la primera lnea tal como aparecen! Hay apstrofes directos e inversos!

Nota: backtrace es un comando gdb. Se deben introducer tal como aparecen despus de la primera lneamostrada arriba. El ^D (Control-D, esto es, presione la tecla Control y la tecla D juntas) har que finalicegdb. Esto dejar un fichero llamado backtrace.txt en el directorio actual. Incluya el fichero con suinforme de error.

Nota: Si gdb no est disponible, habr que comprobar el depurador del sistema operativo. Los usuarios deWindows podran verse incapaces de conseguir un traceback.

Se debera enviar el traceback a la lista de mailing ethereal-dev.

2 Compilando e Instalando Ethereal

2.1 IntroduccinComo con todas las cosas, debe haber un comienza, y as es con Ethereal. Para usar Ethereal, se

debet:

Obtener un paquete binario para su sistema operativo, o

Obtener el cdigo fuente y compilar Ethereal para su sistema operativo.Actualmente, solo dos o tres Distribuciones de Linux incluyen Ethereal, y normalmente incluyen

una versin desactualizada. Ninguna otra versin de UNIX incluye Ethereal hasta ahora, y

MANUAL DE ETHEREAL


Microsoft no lo incluye en ninguna versin de Windows. Por esta razn, es necesario saber dndeconseguir la ltima versin de Ethereal y cmo instalarlo.

La versin actual de Ethereal es la 0.10.9.

Este captulo muestra cmo obtener los paquetes fuente y binario, y cmo compilar Etherealdesde el cdigo fuente, aconsejable sobre todo en entornos UNIX.

En general, se deberan seguir los pasos siguientes:

1. Descargue el paquete relevante para sus necesidades, por ejemplo, la distribucin fuente obinaria.

2. Compilar el cdigo fuente a un binario, si se ha descargado el fuente. Esto puede implicarcompilar y/o instalar cualquier otro paquete necesario.

3. Instalar los binarios en sus destinos finales.

2.2 Obteniendo las distribuciones fuente y binariaSe pueden obtener tanto la distribucin fuente como la binaria desde el web de Ethereal:

http://www.ethereal.com/. Simplemente pulse el enlace download, y a continuacin seleccione elpaquete fuente o binario de su eleccin desde el web espejo ms cercano.

Descargue todos los archivos necesarios: En general, a menos que se haya descargado Etherealanteriormente, probablemente sea necesario descargar varios paquetes fuente si se est compilandoEthereal desde el fuente. Esto se cubre con ms detalle ms abajo.

Una vez que se hayan descargado los archivos relevantes, se puede ir al siguiente paso.Nota: A pesar de que hay varios paquetes binarios disponibles en el web de Ethereal, podra no encontraruno para su plataforma, y a menudo tienden a ser de versiones anteriores a la actualmente distribuida, yaque son proporcionados por gente que tiene las plataformas para las que estn compilados.

Por esta razn, es possible que prefiera descargar la distribucin y compilarla, ya que el proceso esrelativamente simple.

2.3 Antes de compilar EtherealAntes de compilar Ethereal de los fuentes, o instalar un paquete binario, se debe asegurar de que

tiene los siguientes paquetes instalados:

GTK+, El Kit de Heramientas GIMP.Tambin se puede necesitar Glib. Ambos se pueden obtener de www.gtk.org

libpcap, el software de captura de paquetes que usa Ethereal.Se puede obtener libpcap de www.tcpdump.org

Dependiendo de su sistema, puede ser posible instalarlos desde binarios, p. ej. RPMs, o puedeser necesario obtenerlos en forma de cdigo fuente y compilarlos.

Si se ha descargado el fuente para GTK+, las instrucciones mostradas en el Ejemplo 2-1 puedenproporcionarle alguna ayuda para compilarlo:

Ejemplo 2-1. Compilando GTK+ desde el fuente

gzip -dc gtk+-1.2.8.tar.gz | tar xvf

cd gtk+-1.2.8

./configure

MANUAL DE ETHEREAL


make

make install

Nota!: Puede ser necesario cambiar el nmero de versin de gtk+ en el Ejemplo 2-1 para que coincidacon la versin de GTK+ que se ha descargado. El directorio al que se vaya cambiar si la versin deGTK+ cambia, y en todos los casos, tar xvf mostrar el nombre del directorio al que se debera ir.

Nota!: Si usa Linux, o tiene GNU tar instalado, puede usar tar zxvf gtk+-1.2.8.tar.gz. Tambin esposible usar gunzip -c o gzcat mejor que gzip -dc en muchos sistemas UNIX.

Nota!: Si se descarg gtk+ o cualquier otro archivo tar usando Windows, se puede encontrar un archivollamado gtk+-1_2_8_tar.gz.

Se debera consultar el web de GTK+ si ocurren errores siguiendo las instrucciones del Ejemplo2-1.

Si se ha descargado el fuente para libpcap, las instrucciones generales mostradas en el Ejemplo2-2 le ayudarn a compilarlo. Adems, si su sistema operativo no soporta tcpdump, tambin puededescargarlo del web de tcpdump e instalarlo.

Ejemplo 2-2. Compilando e instalando libpcap

gzip -dc libpcap-0.5.tar.Z | tar xvf

cd libpcap_0_5rel2./configure

make

make install

make install-incl

Nota!: El directorio al que se vaya a cambiar depender de la versin de libpcap que se haya descargado.En todos los casos, tar xvf mostrar el nombre del directorio donde ha sido desempaquetado.

Cuando se instalan los archivos include, se podra obtener el error del Ejemplo 2-3 cuande seejecuta el comando make install-incl.

Ejemplo 2-3. Errores mientras se instalan los archivos include de libpcap

/usr/local/include/pcap.h/usr/bin/install -c -m 444 -o bin -g bin ./pcap-namedb.h \/usr/local/include/pcap-namedb.h/usr/bin/install -c -m 444 -o bin -g bin ./net/bpf.h \/usr/local/include/net/bpf.h

MANUAL DE ETHEREAL


/usr/bin/install: cannot create regular file \/usr/local/include/net/bpf.h: No such file or directorymake: *** [install-incl] Error 1

Si es as, simplemente cree el directoro que falta con el siguiente comando:mkdir /usr/local/include/net

y reejecute el comando make install-incl.Bajo RedHat 6.x o anterior (y distribuciones basadas en l, como Mandrake) se puede

simplemente instalar cada uno de los paquetes necesarios de RPMs. La mayora de los sistemasLinux instalarn GTK+ y Glib en cualquier caso, sin embargo, probablemente se necesite instalarlas versiones devel de cada uno de estos paquetes. Los comandos del Ejemplo 2-4 instalarn todoslos RPMs necesarios si an no lo estn.

Ejemplo 2-4. Instalando los RPMs necesarios bajo RedHat Linux 6.2 o anterior

cd /mnt/cdrom/RedHat/RPMSrpm -ivh glib-1.2.6-3.i386.rpmrpm -ivh glib-devel-1.2.6-3.i386.rpmrpm -ivh gtk+-1.2.6-7.i386.rpmrpm -ivh gtk+-devel-1.2.6-7.i386.rpmrpm -ivh libpcap-0.4-19.i386.rpmNota: Si se est usando una version de RedHat posterior a la 6.2, los RPMs requeridos probablementehayan cambiado. Simplemente use los RPMs correctos de su distribucin.

Bajo Debian se puede instalar Ethereal usando apt-get. apt-get manejar cualquier problema dedependencias por usted. El Ejemplo 2-5 muestra cmo hacer esto.

Ejemplo 2-5. Installing debs under Debian

apt-get install ethereal

2.4 Compilando desde el Fuente bajo UNIXUse los siguientes pasos generales si est compilando Ethereal desde el fuente bajo un sistema

operativo UNIX:

1. Desempaquete el fuente de su archivo tar gzip. Si est usando Linux, o su versin deUNIX usa GNU tar, puede usar el siguiente comando:

tar zxvf ethereal-0.10.9-tar.gz

Para otras versiones de UNIX, use los siguientes comandos:gzip -d ethereal-0.10.9-tar.gztar xvf ethereal-0.10.9-tarNota!: El pipeline gzip -dc ethereal-0.10.9-tar.gz | tar xvf funcionar aqu tambin.

2. Cambie al directorio fuente de ethereal.3. Configure su fuente para que se compile correctamente para su versin de UNIX. Se

puede hacer esto con el siguiente comando:./configure

MANUAL DE ETHEREAL


Si falla este paso, tendr que rectificar los problemas y reejecutar configure.

4. Compile los Fuentes a un binario, con el comando make. Por ejemplo:make

5. Instale el software en su destino final, usando el comando:make install

Una vez que haya instalado Ethereal con make install, debera ser capaz de ejecutarlointroduciendo ethereal.

2.5 Instalando los binarios bajo UNIXEn general, instalar el binario bajo su versin de UNIX ser especfico a los mtodos de

instalacin usados con su versin de UNIX. Por ejemplo, bajo AIX, debera usar smit para instalarel paquete binario de Ethereal, mientras que bajo Tru64 UNIX (anteriormente Digital UNIX)debera usar setld.

2.6 Instalando desde RPMs bajo LinuxUse el siguiente comando para instalar el RPM de Ethereal que ha descargado del web de

Ethereal:rpm -ivh ethereal-0.10.9-1.i386.rpm

Si el paso de arriba falla debido a que faltan dependencias, instale las dependencias primero, yentonces reintente el paso anterior. Vea el Ejemplo 2-4 para informacin sobre los RPMs que senecesitarn tener instalados.

2.7 Instalando desde debs bajo DebianUse el siguiente comando para instalar Ethereal bajo Debian:

apt-get install ethereal

apt-get debera encargarse de todos los problemas de dependencias por usted.

2.8 Instalando Ethereal bajo WindowsEn esta seccin se explora la instalacin de Ethereal bajo Windows desde los paquetes binarios.

Se deben seguir dos pasos:

1. Instale WinPcap. Hay instrucciones en el web de WinPcap para instalarlo bajo Windows9X, Windows NT y Windows 2000. Estas se encuentran en:http://netgroup-serv.polito.it/winpcap/install/Default.htm

2. Instale Ethereal. Se puede adquirir un binario instalable de Ethereal en la URLhttp://www.ethereal.com/download.html#binaries. Descargue el instalador (despus deinstalar WinPcap) y ejectelo.

MANUAL DE ETHEREAL


3 Usando Ethereal

3.1 IntroduccinHasta ahora has instalado Ethereal y es el momento de irse iniciando capturando los primeros

paquetes. En este captulo se ver:

Cmo iniciar Ethereal

Cmo capturar paquetes en Ethereal

Cmo ver los paquetes en Ethereal

Cmo filtrar paquetes en EtherealEn realidad, la mayor parte de laas funcionalidades de Ethereal se ven en este captulo.

3.2 Iniciar EtherealSe puede iniciar Ethereal desde la lnea de comandos en UNIX, as como desde la mayora de

gestores de ventanas. En esta seccin veremos como se inicia desde la lnea de comandos.

Antes de ver los parmetros de lnea de comandos que admite Ethereal, veamos el aspecto de lapropia aplicacin. La figura 3-1 muestra cmo es Ethereal en su vista habitual.

Figura 3-1. Ethereal se compone de tres ventanas principales

Ethereal se compone de tres ventanas principales, o paneles.

1. El panel superior es el panel de la lista de paquetes. Muestra un resumen de cada paquetecapturado. Pulsando en los paquetes de este panel se controla lo que se muestra en losotros dos paneles.

MANUAL DE ETHEREAL


2. El panel intermedio es el panel de vista en rbol. Muestra el paquete seleccionado en elpanel superior en ms detalle.

3. El panel inferior es el panel de vista de datos. Muestra los datos del paquete seleccionadoen el panel superior, y resalta el campo seleccionado en el panel de vista en rbol.

Adems de los tres paneles principales, hay seis elementos de inters en la barra de filtros,situada en la parte inferior de la ventana principal de Ethereal.

A. El botn inferior situado ms a la izquierda, etiquetado "Filter:", se puede pulsar para queaparezca la ventana de construccin de filtros.

B. El cuadro de texto de la parte izquierda proporciona un rea para introducir o editarexpresiones de filtro. Es tambin donde se muestra el filtro que est actualmente en efecto. Sepuede pulsar en la flecha desplegable para seleccionar expresiones de filtro anteriores de una lista.Hay ms informacin disponible sobre mostrar expresiones de filtrado en la seccin Filtrandopaquetes mientras se visualizan.

C. El botn del medio etiquetado "Add Expresin...", lanza el esistente para crear expresiones defiltro.

D. El botn del medio a la derecha, etiquetado "Clear", borra el filtro actual.

E. El botn del medio a la derecha, etiquetado "Apply", aplica el filtro tecleado en el cuadro detexto anterior.

F. El cuadro de texto de la derecha muestra mensajes informativos. Estos mensajes puedenindicar si se est capturando o no, qu fichero se ha ledo en el panel de lista de paquetes si no seest capturando. Si se ha seleccionado un campo de protocolo del panel de vista de rbol y esposible filtrar por ese campo entonces la etiqueta de filtro para ese campo de protocolo se mostrar.

Ethereal soporta un gran nmero de parmetros de lnea de comandos. Para ver cules son,simplemente hay que ejecutar el comando ethereal -h y se mostrar la informacin de ayuda que semuestra en el Ejemplo 3-1.

Ejemplo 3-1. Informacin de ayuda disponible en Ethereal

Este es GNU ethereal 0.10.9, compilado con GTK+ 1.2.10, conGLib 1.2.10, con libpcap 0.6, con libz 1.1.3, con UCD SNMP4.2.1

ethereal [-vh] [-klpQS] [-b ] [-B ] [-c ] [-f ] [-i] [-m ] [-n] [-N ] [-o] ... [-P ] [-r ] [-R ] [-s] [-t ] [-T ] [-w ]

Examinaremos cada una de estas opciones de lnea de comandos por orden alfabtico:

-B Esta opcin establece la altura inicial del panel de vista de byte. Este panel es el panel inferiorde la pantalla de Ethereal.

-b Esta opcin establece el nombre de la fuente negrita que Ethereal utiliza para los datos en elpanel de vista de byte cuando est realzado (es decir, seleccionado en el panel de protocolo)

MANUAL DE ETHEREAL


-c Esta opcin especifica el nmero de paquetes a capturar cuando se capturan datos en vivo.

Se debera usar junto a la opcin -k.

-DEsta opcin cambia el modo con el que Ethereal trata con el campo TOS original del IPv4, demodo que en vez de considerarlo como el Campo Differentiated Services, lo trata como uncampo Type of Service.

-f Esta opcin establece la expresin inicial de filtro de captura que se usar cuando se capturenpaquetes.

-hLa opcin -h solicita a Ethereal que imprima su versin e instrucciones de uso y salga.

-i La opcin -i permite especificar, desde la lnea de comandos, por qu interface se deberancapturar los paquetes.

Un ejemplo sera: ethereal -i eth0.

Para obtener un listado de todos los interfaces en los que se puede capturar, use el comandoifconfig -a o netstat -i. Desafortunadamente, algunas versiones de UNIX no soportan ifconfig-a, por lo que habr que usar netstat -i en estos casos.

-kLa opcin -k especifica que Ethereal debera empezar a capturar paquetes inmediatamente.Esta opcin requiere el uso del parmetro -i para especificar el interface desde el que secapturarn los paquetes

-lEsta opcin activa el scrolling automtico del panel de lista paquetes si ste se actualizaautomticamente segn van llegando los paquetes durante una captura (como especifica laopcin -S).

-m Esta opcin establece el nombre de la fuente media que se utiliza para la mayor parte del textomostrado por Ethereal.

-nEsta opcin le indica a Ethereal que no realice la traduccin de direccin a nombre ni traduzcalos puertos TCP y UDP a nombres.

-N Activa la resolucin de nombres para tipos particulares de direcciones y nmeros de puerta; elargumento es una cadena que puede contener las letras m para habilitar la resolucin dedirecciones MAC, n para habilitar la resolucin de direcciones de red, y t para habilitar laresolucin de nmeros de puerta de nivel de transporte. Esta opcin invalida a la -n si ambasestn presentes.

MANUAL DE ETHEREAL


-o Establece un valor de preferencia, invalidando el valor por defecto y cualquier otro valor ledode un fichero de preferencia. El argumento es una cadena con la forma prefname:value, dondeprefname es el nombre de la preferencia (que es el mismo nombre que aparecera en el ficherode preferencia), y value es el valor que se le debera establecer. Se pueden dar mltiplesinstancias de -o en una nica lnea de comandos.

Un ejemplo de ajuste de una nica preferencia sera:

ethereal -o mgcp.display_dissect_tree:TRUE

Un ejemplo de ajuste de mltiples preferencias sera:

ethereal -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627

-pNo poner el interface en modo promiscuo. Tenga en cuenta que el interface podra estar enmodo promiscuo por alguna otra razn; por lo tanto, -p no se puede utilizar para asegurar queel nico trfico que se capture sea trfico enviado a desde la mquina en la que se estejecutando Ethereal is running, trfico broadcast, y trfico multicast a direcciones recibidaspor esa mquina.

-P Esta opcin establece la altura inicial del panel de la lista de paquetes, es decir, el panelsuperior.

-QEsta opcin fuerza a Ethereal a salir cuando la captura est completa. Se puede usar con laopcin -c. Se debe usar junto con las opciones -i y -w.

-r Esta opcin proporciona el nombre de un fichero de captura para que Ethereal lea y muestre.Este fichero de captura puede ser de uno de los formatos que Ethereal entiende, incluyendo:

libpcap

Net Mon

Snoop

NetXrayPara una lista completa, vea las pginas man de Ethereal (man ethereal).

-R Esta opcin especifica un filtro de captura para ser aplicado cuando se leen paquetes de unfichero de captura. La sintaxis de este filtro es la de los filtros de visualizacin discutidos enla seccin llamada Filtrando paquetes durante la visuelizacin. Los paquetes que no secumplan el filtro se descartan.

-s Esta opcin especifica la longitud de muestra usada cuando se capturan paquetes. Etherealslo capturar bytes de datos de cada paquete.

MANUAL DE ETHEREAL


-SEsta opcin indica que Ethereal mostrar los paquetes segn los capture. Esto se hacecapturando en un proceso y mostrndolos en un proceso aparte.

-t Esta opcin establece el formato de marcas de tiempo de paquetes que se muestra en laventana de lista de paquetes. El formato puede ser uno de:

r, que especifica que las marcas de tiempo se muestran relativas al primer paquetecapturado.

a, que especifica que se muestra la fecha y hora real para todos los paquetes.

d, que especifica que las marcas de tiempo son relativas al paquete anterior.-T

Esta opcin establece la altura inicial del panel de vista de rbol.

-vLa - opcin v solicita a Ethereal que imprima su informacin de versin y salga.

-w Esta opcin establece el nombre del fichero a utilizar cuando se guarde un fichero de captura.

3.3 Los menus de EtherealEl men de Ethereal descansa a lo largo de la parte superior de la ventana de Ethereal, como se

muestra en el ejemplo de la Figura 3-2.Figura 3-2. El Men de Ethereal

Contiene los siguientes elementos:

FileEste men contiene elementos de men para abrir y releer ficheros de captura, guardarficheros de captura, exportar bytes, imprimir ficheros de captura, y salir de Ethereal.

EditEste men contiene elementos de men para encontrar una trama, marcar una o ms tramas,establecer referencias de tiempo y establecer las preferencias (cortar, copiar y pegar no estnactualmente implementados).

ViewEste men contiene elementos de men para modificar opciones de visualizacin,ampliar/reducir la fuente de los paneles, colorear tramas, expandir todas las tramas, colapsartodas las tramas, mostrar un paquete en una ventana aparte, y recargar el fichero de capturaactual.

GoEste men contiene elementos de men para desplazarse entre las tramas.

MANUAL DE ETHEREAL


CaptureThis menu permite iniciar y detener capturas, y crear filtros de captura.

AnalyzeEste men contiene elementos de men para seleccionar y filtrar paquetes coincidentes, seguiruna sesin TCP, crear filtros de visualizacin, habilitar o deshabilitar la diseccin deprotocolos, y configurar decodificadores especificados por el usuario.

StatisticsEste men contiene elementos de men para obtener un resumen de los paquetes que han sidocapturados, mostrar estadsticas de jerarqua de protocolos, grficos de entrada/salida, listasde conversaciones y hosts, tiempos de respuestas y distintos anlisis de protocolosparticulares.

HelpEste men permite mostrar los plugins cargados, contiene el elemento de men AboutEthereal... y acceso a alguna Ayuda bsica.

Cada uno de ellos se describen con ms detalle en las secciones que siguen.

3.4 El men File de EtherealEl men File (Archivo) de Ethereal contiene los campos que se muestran en la Tabla 3-1.

Figura 3-3. Men File de Ethereal

MANUAL DE ETHEREAL


Tabla 3-1. Men File

Elemento Acelerador Descripcin

Open... Ctrl-O Este elemento abre el cuadro de dilogo abrir archivo que permitecargar un fichero de captura para su visualizacin. Se discute en msdetalle en la seccin llamada El cuadro de dilogo Abrir Archivo.

Open Recent Permite volver a abrir los ltimos archivos abiertos

Merge Este elemento permite anexar un archivo de captura al actual

Close Ctrl-W Este elemento cierra la captura actual. Si no se ha guardado la captura,se pierde.

Save Ctrl-S Este elemento guarda la captura actual. Si no se ha establecido unnombre de fichero de captura por defecto (quizs con la opcin -w), Ethereal lanza el cuadro de dilogo Guardar Fichero decaptura Como (que se describe ms adelante en la seccin El cuadro dedilogo Guardar Fichero de captura Como).

Nota!: Si ya ha guardado la captura actual, este men estardeshabilitado.

Nota!: No se puede guardar una captura mientras est en progreso.Hay que detener la captura para poder guardarla.

Save As... Mays-Ctrl-S

Este elemento permite guardar el fichero de captura actual a cualquierfichero que se desee. Lanza el cuadro de dilogo Guardar Fichero decaptura Como (que se describe ms adelante en la seccin El cuadro dedilogo Guardar Fichero de captura Como)

Export Este elemento permite exportar los bytes seleccionados de un paquete aun archivo binario de su eleccin

Print... Este elemento permite imprimir todos o una seleccin de los paquetesdel fichero de captura. Lanza el cuadro de dilogo Imprimir deEthereal (que se describe ms adelante en la seccin Imprimiendopaquetes).

Quit Ctrl-Q Este elemento permite salir de Ethereal. Si no se ha guardado elfichero de captura actual, pregunta si se desea hacerlo antes de salir.

MANUAL DE ETHEREAL


3.5 El men Edit de EtherealEl men Edit (Editar) de Ethereal contiene los campos que se muestran en la Tabla 3-2.

Figura 3-4. Men Edit de Ethereal

Tabla 3-2. Men Edit


Find Packet... Ctrl-F Este elemento muestra un cuadro de dilogo que permite encontraruna trama introduciendo un filtro de visualizacin de Ethereal. Hayms informacin sobre encontrar tramas en la seccin Encontrandopaquetes.

Find Next Ctrl-N Contina la ltima bsqueda hacia delante

Find Previous Ctrl-B Contina la ltima bsqueda hacia atrs

Time Reference Esta opcin permite fijar referencias de tiempo en la captura actual(opcin Set Time Referente (toggle)). En estas referencias se ponea 0 el contador de tiempos del formato Segundos desde elcomienzo de la captura (ver la seccin El men View). Tambinpermite desplazarse entre referencias de tiempo (con las opcionesFind Next y Find Previous)

Mark Packet Ctrl-M Este elemento "marca" la trama actualmente seleccionada. Vea laseccin El cuadro de dilogo Guardar Fichero de captura Como

MANUAL DE ETHEREAL


Elemento Acelerador Descripcinpara ms informacin sobre guardar tramas marcadas.

Mark AllPackets

Este elemento "marca" todas las tramas. Vea la seccin El cuadrode dilogo Guardar Fichero de captura Como para ms informacinsobre guardar tramas marcadas.

Unmark AllPackets

Este elemento "desmarca" todas las tramas marcadas.

Preferences... Mays-Ctrl-P

Este elemento muestra un cuadro de dilogo que permite establecerlas preferencias para muchos parmetros que controlan Ethereal.Tambin se pueden guardar las preferencias de modo que Ethereallas use la prxima vez que se inicie. Ms detalles en la seccinPreferencias de Ethereal

3.6 El men View de EtherealEl men View (Ver) de Ethereal contiene los campos que se muestran en la Tabla 3-3.

Figura 3-5. Men View de Ethereal

Tabla 3-5. Men View


Main Toolbar Permite mostrar u ocultar la barra de herramientas principal.

Filter Toolbar Permite mostrar u ocultar la barra de herramientas de filtros.

Statusbar Este elemento permite mostrar u ocultar la barra de estado.

Packet List Este elemento permite mostrar u ocultar el panel de lista de paquetes.

MANUAL DE ETHEREAL



Packet Details Permite mostrar u ocultar el panel de detalles de paquete.

Packet Bytes Este elemento permite mostrar u ocultar el panel de bytes de paquete.

Time DisplayFormat

Este elemento controla el modo en que Ethereal muestra las marcas detiempo. Ofrece la siguientes opciones:

Time of daySeleccionando este botn de radio se indica a Ethereal quemuestre las marcas de tiempo en formato Hora del da. Estecampo, "Date and time of day", "Seconds since beginning ofcapture" y "Seconds since previous frame" son mutuamenteexclusivos.

Date and time of daySeleccionando este botn de radio se indica a Ethereal quemuestre las marcas de tiempo tiempo en formato Fecha y hora."Time of day", este campo, "Seconds since beginning ofcapture" y "Seconds since previous frame" son mutuamenteexclusivos.

Seconds since beginning of captureSeleccionando este botn de radio se indica a Ethereal quemuestre las marcas de tiempo en formato Segundos desde elcomienzo de la captura. "Time of day", "Date and time of day",este campo y "Seconds since previous frame" son mutuamenteexclusivos.

Seconds since previous packetEste botn de radio indica a Ethereal que muestre marcas detiempo tiempo en formato Segundos desde la trama anterior."Time of day", "Date and time of day", "Seconds sincebeginning of capture" y este campo son mutuamente exclusivos.

NameResolution

Este elemento controla el modo en que Ethereal muestra algunainformacin sobre los paquetes. En concreto, si las direcciones y otrosnmeros son traducidos. Ofrece la siguientes opciones:

Resolve NameEste campo activa la resolucin de nombres mientras sevisualizan paquetes.

Enable for MAC LayerEste campo, cuando se selecciona, le indica a Ethereal quetraduzca los primeros tres octetos de las direcciones MAC (elidentificador de fabricante) a nombres (cuando pueda).

Enable for Network LayerEste campo, cuando se selecciona, le indica a Ethereal quetraduzca direcciones IP a nombres de dominio (cuando pueda).

MANUAL DE ETHEREAL


Elemento Acelerador DescripcinNota: Si se selecciona esta opcin y el servidor DNS no estdisponible ethereal ser muy lento ya que espera a que venza eltemporizador para respuestas del servidor DNS.

Enable for Transport LayerCuando se selecciona, le indica a Ethereal que traduzca lasdirecciones del nivel de transporte (nmeros de puertaTCP/UDP) a nombres de servicios well-known (donde pueda).

Auto Scroll inLive Capture

Este elemento, cuando se selecciona, le indica a Ethereal que hagascrolling del panel de lista de paquetes cuando se capturen nuevospaquetes.

Zoom In Ctrl-+ Agranda la fuente en la que se visualizan los datos de los distintospaneles.

Zoom Out Ctrl-- Disminuye la fuente en la que se visualizan los datos de los distintospaneles.

Normal Size Ctrl-= Reestablece la fuente en la que se visualizan los datos de los distintospaneles a su tamao original establecido en las Preferencias deEthereal. Ms detalles en la seccin Preferencias de Ethereal.

Collapse All Ethereal mantiene un lista de todos los subrboles de protocolo que seexpanden, y la utiliza para asegurar que los subrboles correctos seexpanden cuando se muestra un paquete. Este elemento contrae lavista de rbol de todos los paquetes en la lista de captura.

Expand All Este elemento expande todos los subrboles de todos los paquetes dela captura.

Expand Tree Este elemento expande el rbol actualmente seleccionado.

ColoringRules

Este elemento muestra un cuadro de dilogo que permite colorearpaquetes en el panel de lista de paquetes en funcin de las expresionesde filtro que se escojan. Puede ser muy til para distinguir ciertos tiposde paquetes.

Show Packetin NewWindow

Este elemento muestra el paquete seleccionado en una ventana aparte.Esta ventana slo muestra los paneles de vista de rbo y de vista debyte.

Reload Ctrl-R Este elemento permite recargar el fichero de captura actual. Esteelemento ya no es necesario, y puede ser eliminado en futurasversiones de Ethereal

MANUAL DE ETHEREAL


3.7 El men Go de EtherealEl men Go (Ir) de Ethereal contiene los campos que se muestran en la Tabla 3-2.

Figura 3-4. Men Go de Ethereal

Tabla 3-2. Men Go


Back Alt-Left Va a la trama anterior

Forward Alt-Right Va a la siguiente trama

Go to FirstPacket

Va al primer paquete de la lista

Go to LastPacket

Va al ltimo paquete de la lista

Go to Packet Ctrl-G Este elemento muestra un cuadro de dilogo que permiteespecificar una trama a la que ir por nmero de trama.

MANUAL DE ETHEREAL


3.8 El men Capture de EtherealEl men Capture (Capturar) de Ethereal contiene los campos que se muestran en la Tabla 3-4.

Figura 3-6. Men Capture de Ethereal

Tabla 3-4. Men Capture


Start... Ctrl-K Este elemento muestra el cuadro de dilogo Preferencias de Captura(descrito ms adelante en la seccin Capturando paquetes con Ethereal) ypermite empezar a capturar paquetes.

Stop Ctrl-E Este elemento detiene la captura actualmente en curso.

Interfaces Muestra los interfaces de captura disponibles y su trfico actual.

CaptureFilters...

Este elemento muestra un cuadro de dilogo que permite crear y editarfiltros de captura. Se puede dar nombre a los filtros, y se pueden guardarpara uso futuro. Hay ms detalles sobre este tema en la seccin Definiendoy guardando filtros

MANUAL DE ETHEREAL


3.9 El men Analyze de EtherealEl men Analyze (Analizar) de Ethereal contiene los campos que se muestran en la Tabla 3-5.

Figura 3-7. Men Analyze de Ethereal

Tabla 3-5. Men Analyze


DisplayFilters...

Este elemento muestra un cuadro de dilogo que permite crear yeditar filtros de visualizacin. Se puede dar nombre a los filtros, y sepueden guardar para uso futuro. Hay ms detalles sobre este tema enla seccin Definiendo y guardando filtros

Apply as Filter Este elemento permite seleccionar todos los paquetes que tienen unvalor coincidente en el campo seleccionado en el panel de vista derbol (panel central), componer la expresin de filtro para ellos yhacerla, aadirla o excluirla de la expresin de filtro actual. Estaopcin aplica el filtro resultante inmediatamente

Prepare a Filter Este elemento es igual al anterior, slo que no aplica

EnabledProtocols...

Mays-Ctrl-R

Este elemento muestra un cuadro de dilogo que permite habilitar odeshabilitar la diseccin de protocolos individuales.

Decode As... Permite forzar a Ethereal a decodificar o no los protocolos indicadosen el nivel de enlace (ethertype), de red (protocolo IP) o de transporte

MANUAL DE ETHEREAL


Elemento Acelerador Descripcin(puerta origen, destino o ambas) como un protocolo particular

User SpecifiedDecodes...

Este elemento permite al usuario ver la lista de asociaciones deprotocolos definidas por el usuario con el elemento anterior.

Follow TCPStream

Este elemento abre una ventana aparte (ver Figura 3.8) y muestratodos los segmentos TCP capturados que estn en la misma conexinTCP que el paquete seleccionado. Los datos en el flujo TCP seordena, y los segmentos duplicados se borran, y es entoncesmostrado en ascii. Se puede cambiar el formato si se desea o mostrarslo un sentido de la conversacin, as como guardar, imprimir ofiltrar el flujo TCP.

Figura 3.8. Ventana Follow TCP Stream

MANUAL DE ETHEREAL


3.10 El men Statistics de EtherealEl men Statistics (Estadsticas) de Ethereal contiene los campos mostrados en la Tabla 3-6.

Figura 3-9. Men Statistics de Ethereal

Tabla 3-6. Men Statistics

Elemento Descripcin

Summary Este elemento muestra una ventana de estadsticas con informacin sobre lospaquetes capturados. Vea la Figura 3-10.

ProtocolHierarchyStatistics

Este elemento muestra un rbol jerrquico de estadsticas de paquetes Vea laFigura 3-11.

Conversations Este elemento muestra un resumen de todas las conversaciones existentes. Losprootcolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 yIPv6), Token Ring o UDP (IPv4 y IPv6).

Endpoints Este elemento muestra un resumen de todos los nodos (hosts) existentes. Losprotocolos pueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 yIPv6), Token Ring o UDP (IPv4 y IPv6).

IO Graphs Este elemento muestra una grfica de las tramas capturadas en funcin deltiempo. Vea la Figura 3-12.

MANUAL DE ETHEREAL


Elemento Descripcin

ConversationList

Este elemento muestra una lista de todas las conversaciones existentes y eltrfico en uno y otro sentido segn un protocolo concreto. Los prootcolospueden ser Ethernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6),Token Ring o UDP(IPv4 y IPv6).

Endpoint List Este elemento muestra una lista de todos los nodos (hosts) existentes y el trficoentrante y saliente segn un protocolo concreto. Los protocolos pueden serEthernet, FDDI, Fibre Channel, IPX, IPv4, TCP (IPv4 y IPv6), Token Ring oUDP(IPv4 y IPv6).

ServiceResponse Time

Este elemento muestra estadsticas de tiempos de respuesta ante distintosservicios. Los servicios pueden ser DCE-RPC, Fibre Channel, ITU-T H.225RAS, LDAP, ONE-RPC o SMB.

ANSI Este elemento lleva la cuenta de las llamadas a las distintas funciones dedistintos protocolos ANSI. Incluye A-Interface BSMAP, A-Interface DTAP y laoperacin MAP.

BOOTP-DHCP Este elemento lleva la cuenta de los distintos tipos de mensajes DHCP.

GSM Este elemento lleva la cuenta de las llamadas a las distintas funciones delprotocolo GSM. Incluye A-Interface BSSMAP, A-Interface DTAP (incluyendoel control de llamada; la gestin de la movilidad GPRS, de la sesin GPRS, de lamovilidad y de los recursos de radio; el servicio de mensajes cortos; y losservicios suplementarios) y la operacin MAP.

H.225 Lleva la cuenta de los distintos tipos o razones de mensajes ITU-T H.225.

H.223Conversations

Lleva la cuenta y analiza las conversaciones ITU-T H.223.

HTTP Este elemento lleva la cuenta de las solicitudes HTTP y las distintas respuestasobtenidas (informativas, xito, etc.).

ISUP MessageTypes

Este elemento lleva la cuenta de los distintos tipos de mensajes ISUP.

MTP3 Este elemento analiza el trfico MTP3.

ONC-RPCPrograms

Este elemento lleva la cuenta de las llamadas a los distintos programas ONE-RPC y sus tiempos de respuesta.

RTP Este elemento muestra las estadsticas de los flujos RTP de la captura o analizaun flujo RTP concreto.

SIP Este elemento lleva la cuenta de los distintos tipos de mensajes SIP.

TCP StreamGraph

Este Elemento Analiza Grficamente Flujos TCP. Permite representar el RTT,el throughput o la secuencia de tiempos (estilo Stevens o tcptrace). Vea unejemplo en la Figura 3-13.

WAP-WSP Este elemento lleva la cuenta de los distintos tipos de PDU y cdigos de estado.

MANUAL DE ETHEREAL


Figura 3-10. Ventana Summary

Figura 3-11. Ventana Protocol Hierarchy Statistics

MANUAL DE ETHEREAL


Figura 3-12. Ventana IO Graphs

Figura 3-13. Grficos TCP

MANUAL DE ETHEREAL


3.11 El men Help de EtherealEl men Help (Herramientas) de Ethereal contiene los campos que se muestran en la Tabla 3-7.

Figura 3-13. Men Help de Ethereal

Tabla 3-7. Men Help


Contents Este elemento muestra un sistema de ayuda bsico.

SupportedProtocols

Este elemento muestra una lista de los protocolos soportados porEthereal y los campos disponibles para crear filtros de visualizacin.

Manual Pages Este elemento muestra la ayuda HTML de Ethereal.Ethereal online Este elemento conecta con el web de Ethereal.

AboutEthereal...

Este elemento muestra una ventana con informacin simple sobreEthereal.

3.12 Capturando paquetes con EtherealHay dos mtodos que se pueden usar para capturar paquetes con Ethereal:

1. Desde la lnea de comandos introduciendo:

ethereal -i eth0 -k

MANUAL DE ETHEREAL


2. Iniciando Ethereal y seleccionando Start... desde el men Capture. Esta muestra el cuadro dedilogo Preferencias de Captura y se tratar en ms detalle en la seccin Cuadro de dilogoPreferencias de Captura.

Cuadro de dilogo Preferencias de CapturaCuando se selecciona Start... desde el men Capture, Ethereal muestra cuadro de dilogo

Preferencias de Captura como muestra la Figura 3-14.Figura 3-14. El cuadro de dilogo Preferencias de Captura

Se pueden establecer los siguientes campos en este cuadro de dilogo:

InterfaceEste campo especifica el interface sobre el que se desea capturar. Slo se puede capturar enun interface, y slo se puede capturar en los interfaces que Ethereal ha encontrado en elsistema. Es una lista desplegable, por tanto slo hay que pulsar el botn del lado derecho yseleccionar el interface que se desee. Por defecto es el primer interface no loopback quesoporta capturas, y si no hay ninguno, el primer. En algunos sistemas, los interfaces loopbackno se pueden utilizar para capturas. Este campo realiza la misma funcin que la opcin delnea de comandos -i .

Capture limitsAqu se especifica el nmero de paquetes que se quieren capturar. Se puede poner el lmite dela captura por nmero de paquetes, por volumen de datos o por tiempo transcurrido.

MANUAL DE ETHEREAL


FilterEste campo permite especificar un filtro de captura. Los filtros de captura se discuten en msdetalle en la seccin Filtrando mientras se Captura. Por defecto est vaco, o sin filtro.

Tambin se puede pulsar el botn/etiqueta Filter, y Ethereal mostrar el cuadro de dilogoFiltros y permitir crear o seleccionar un filtro. Vea la seccin Definiendo y guardando filtros

FileEste campo permite especificar el nombre de archivo que se usar para la captura cuando mstarde se escoja Save... o Save As... del men File de Ethereal. No hay valor por defecto paraeste campo.

Capture lengthEste campo permite especificar la cantidad mxima de datos que se capturarn para cadapaquete, y es a lo que algunas veces se llama snaplen. Por defecto es 65535, que sersuficiente para la mayora de los protocolos. Debera ser al menos la MTU del interface en elque se est capturando.

Capture packets in promiscuous modeEste botn de radio permite especificar que Ethereal debera poner el interface en modopromiscuo durante la captura. Si no se especifica, Ethereal slo capturar los paquetes quevan desde y hacia su ordenador (no todos los paquetes que pasan por el interface).

Nota: Si algn otro proceso ha puesto el interface en modo promiscuo se puede estar capturando en modopromiscuo incluso si se desmarca esta opcin

Update list of packets in real timeThis botn de radio permite especificar que Ethereal debera actualizar el panel de lista depaquetes en tiempo real. Si no se especifica, Ethereal no muestra ningn paquete hasta que secancele la captura. Cuando se pulsa este botn de radio, Ethereal captura en un proceso apartey enva las capturas al proceso de visualizacin.

Nota: A veces esta opcin no funciona correctamente en Windows

Automatic scrolling in live captureThis botn de radio permite especificar que Ethereal debera hacer scrolling del panel de listade paquetes segn llegan nuevos paquetes, de modo que siempre se vea el ltimo paquete. Sino se especifica, Ethereal simplemente aade nuevos paquetes al final de la lista, pero no hacescrolling del panel de lista de paquetes.

Enable MAC name resolutionThis botn de radio permite controlar si Ethereal traduce o no los primeros tres octetos de lasdirecciones MAC al nombre del fabricante al que le ha asignado ese prefijo el IETF.

Enable network name resolutionThis botn de radio permite controlar si Ethereal traduce o no las direcciones IP a nombres dedominio DNS. Pulsando este botn de radio, el panel de lista de paquetes tendr msinformacin til, pero tambin ocasionar que se produzcan solicitudes de bsqueda denombres, lo que podra interferir con la captura.

Nota: Si no se puede alcanzar el servidor de nombres, puede suceder que Ethereal tarde mucho tiempo enactualizar el panel de lista de paquetes ya que espera a que venza el tiempo de traduccin del nombre.

MANUAL DE ETHEREAL


Enable transport name resolutionThis botn de radio permite controlar si Ethereal traduce o no los nmeros de puerta aprotocolos.

Una vez que se han establecido los valores deseados y seleccionado los botones de radio que senecesitan, pulse simplemente en OK para comenzar la captura, o Cancel para cancelarla. Si seinicia una captura, Ethereal abre un cuadro de dilogo que muestra el progreso de la captura ypermite detener la captura cuando se tienen suficientes paquetes capturados.

3.13 Filtrando mientras se capturaEthereal utiliza el lenguaje de filtros libpcap para los filtros de captura. Este se explica en la

pgina man de tcpdump.

Se introduce el filtro de captura en el campo Filter field del seccin Cuadro de dilogoPreferencias de Captura de Ethereal, como se muestra en la Figura 3-14. A continuacin hay unresumen de la sintaxis del lenguaje de filtros de captura de tcpdump.

Un filtro de captura toma la forma de una serie de primitivas de expresin conectadas porconjunciones y opcionalmente precedidas por not:

[not] primitiva [and|or [not] primitiva ...]Se muestra un ejemplo en el Ejemplo 3-2.

Ejemplo 3-2. Un filtro de captura para telnet que captura trfico hacia y desde un host en particular

tcp port 23 and host 10.0.0.5

Este ejemplo captura trfico telnet hacia y desde el host 10.0.0.5, y muestra cmo utilizar dosprimitivas y la conjuncin and. Otro ejemplo se muestra en el Ejemplo 3-3, y muestra cmocapturar todo el trfico telnet excepto el que viene de 10.0.0.5.

Ejemplo 3-3. Capturando todo el trfico telnet que no viene de 10.0.0.5

tcp port 23 and not host 10.0.0.5

Una primitiva es simplemente una de las siguientes:

[src|dst] host Esta primitiva permite filtrar por una direccin IP o nombre de host. Opcionalmente se puedepreceder la primitiva con la palabra clave src|dst para especificar que slo se est interesadoen direcciones origen o destino. Si no estn presentes, se selecionaran los paquetes donde ladireccin especificada aparezca como direccin tanto origen como destino.

ether [src|dst] host Esta primitiva permite filtrar por direcciones de host Ethernet. Opcionalmente se puedeincluir la palabra clave src|dst entre las palabras clave ether y host para especificar que slose est interesado en direcciones origen o destino. Si no estn presentes, se selecionaran lospaquetes donde la direccin especificada aparezca como direccin tanto origen como destino.

gateway host Esta primitiva permite filtrar los paquetes que utilizan host como un gateway. Es decir, dondeel origen o destino Ethernet es host pero ni la direccin IP origen ni destino son host.

MANUAL DE ETHEREAL


[src|dst] net [{mask }|{len }]Esta primitiva permite filtrar por nmeros de red. Opcionalmente se puede preceder laprimitiva con la palabra clave src|dst para especificar que slo se est interesado en redesorigen o destino. Si no estn presentes, se selecionaran los paquetes que tengan la redespecificada en la direccin tanto origen como destino. Adems, se puede especificar tanto lamscara de red como el prefijo CIDR para la red si son diferentes de los propios.

[tcp|udp] [src|dst] port This primitiva permite filtrar por nmeros de puerta TCP y UDP. . Opcionalmente se puedepreceder la primitiva con las palabras clave src|dst y tcp|udp para especificar que slo se estinteresado en puertas origen o destino y en paquetes TCP o UDP respectivamente. laspalabras clave tcp|udp deben aparecer antes que src|dst.Si no se especifican, se selecionaran los paquetes para ambos protocolos TCP y UDP, y dondela puerta especificada aparezca en elcampo puerta tanto origen como destino.

less|greater Esta primitiva permite filtrar paquetes cuya longitud sea menor o igual que la longitudespecificada, o mayor o igual que la longitud especificada, respectivamente.

ip|ether proto Esta primitiva permite filtrar por el protocolo especificado tanto en el nivel Ethernet como enel nivel IP.

ether|ip broadcast|multicastEsta primitiva permite filtrar broadcasts o multicasts tanto Ethernet como IP.

relop Esta primitiva permite crear expresiones de filtro complejas que seleccionen bytes o rangos debytes en los paquetes. Cea las pginas man de tcpdump para ms detalles.

3.14 Viendo los paquetes que se han capturadoUna vez que se han capturado algunos paquetes, o se ha abierto un fichero de captura

previamente guardado, se pueden ver los paquetes que se muestran en el panel de lista de paquetessimplemente pulsando en ese paquete en el panel de lista de paquetes, lo que llevar el paqueteseleccionado a los paneles de vista de rbol y de vista de byte.

Se puede entonces expandir cualquier parte de la vista de rbol pulsando en el signo ms a laizquierda de esa parte del paquete, y se pueden seleccionar campos individuales pulsando en ellosen el panel de vista de rbol. Se muestra un ejemplo con un segmento TCP seleccionado en laFigura 3-15. Tambin tiene el nmero de Acknowledgment en el cabecero TCP seleccionado, quese muestra en la vista de byte como bytes seleccionados.

MANUAL DE ETHEREAL


Figura 3-15. Ethereal con un segmento TCP seleccionado para visualizacin

Tambin se pueden seleccionar y ver paquetes cuando Ethereal est capturando si se seleccion"Actualizar lista of paquetes en tiempo real" en el cuadro de dilogo Preferencias de Captura deEthereal.

Adems, se pueden ver paquetes individuales en una ventana aparte como se muestra en laFigura 3-16. Esto se hace seleccionando el paquete en el que se est interestado en el panel de listade paquetes, y a continuacin "Show Packet in New Window" en el men View. Esto permitecomparar fcilmente dos o ms paquetes.

Figura 3-16. Viendo un paquete en una ventana aparte

Finalmente, se puede abrir un men contextual tanto en el panel de lista de paquetes como en elpanel de vista de rbol pulsando el botn derecho del ratn. Los menus que aparecen contienen,entre otros, los siguientes elementos:

MANUAL DE ETHEREAL


Figura 3-17. Men contextual del Panel de Paquetes

Follow TCP StreamEste elemento es el mismo que el elemento del men View del mismo nombre. Permite vertodos los datos en un flujo TCP entre una pareja de nodos.

Decode As...Este elemento es el mismo que el elemento del men View del mismo nombre.

Display filters...Este elemento es el mismo que el elemento del men Edit del mismo nombre. Permiteespecificar y gestionar filtros.

Mark PacketEste elemento es el mismo que el elemento del men Edit del mismo nombre.

Time ReferenceEste elemento es el mismo que el elemento del men Edit del mismo nombre.

MatchEste elemento es el mismo que el elemento del men Analyze del mismo nombre.

PrepareEste elemento es el mismo que el elemento del men Analyze del mismo nombre.

MANUAL DE ETHEREAL


Coloring Rules...Este elemento es el mismo que el elemento del men View del mismo nombre. Permitecolorear paquetes en el panel de lista de paquetes.

Print...Este elemento es el mismo que el elemento del men File del mismo nombre. Permiteimprimir paquetes.

Show Packet in New WindowEste elemento es el mismo que el elemento del men View del mismo nombre. Permitemostrar el paquete seleccionado en otra ventana.

Figura 3-18. Men contextual del Panel de Vista de rbol

Follow TCP StreamEste elemento es el mismo que el elemento del men View del mismo nombre. Permite vertodos los datos en un flujo TCP entre una pareja de nodos.

Decode As...Este elemento es el mismo que el elemento del men View del mismo nombre.

Display filters...Este elemento es el mismo que el elemento del men Edit del mismo nombre. Permiteespecificar y gestionar filtros.

MANUAL DE ETHEREAL


Resolve NameEste elemento hace que se realice la resolucin de nombre para el paquete seleccionado, peroNO para cada paquete dela captura.

Export Selected Packet Bytes...Este elemento exporta los bytes seleccionados del paquete actual a un fichero binario. Hace lomismo que la opcin Export del men File.

Protocol Preferences...Este elemento lleva al cuadro de dilogo de preferencias de protocolo si hay propiedadesasociadas con los campos resaltados. Se puede encontrar ms informacin sobre laspreferencias en la Figura 3-33.

Apply as filterEste elemento es el mismo que el elemento del men Analyze del mismo nombre.

Prepare a filterEste elemento es el mismo que el elemento del men Analyze del mismo nombre.

Collapse AllEthereal mantiene un lista de todos los subrboles de protocolo que se expanden, y la utilizapara asegurar que los subrboles correctos se expanden cuando se muestra un paquete. Esteelemento contrae la vista de rbol de todos los paquetes en la lista de captura.

Expand AllEste elemento expande todos los subrboles de todos los paquetes de la captura.

Expand TreeEste elemento expande el rbol actual.

3.15 Guardando los paquetes capturadosSe pueden guardar los paquetes capturados simplemente usando el elemento de men Save As...

del men File de Ethereal. Se puede elegir guardar todos los paquetes capturados o slo lospaquetes que estn visualizndose.

Cuadro de dilogo Guardar Fichero de captura ComoEl cuadro de dilogo Guardar Fichero de captura Como permite guardar la captura actual a un

fichero. La Figura 3-19 muestra un ejemplo de ste cuadro de dilogo.

MANUAL DE ETHEREAL


Figura 3-19. El cuadro de dilogo Guardar Fichero de captura Como

Con este cuadro de dilogo, se pueden realizar las siguientes acciones:

1. Seleccionar ficheros y directorios con las listas "Name" y "Save in folder" y la listadesplegable "Browse for other folders".

2. Guardar slo los paquetes que estn siendo actualmente visualizados (en contraposicin atodos los paquetes capturados) pulsando en el botn de radio "Save only packets currentlybeing displayed".

3. Guardar slo los paquetes marcados (en contraposicin a todos los paquetes capturados)pulsando en el botn de radio "Save only marked packets". Se puede encontrar msinformacin sobre Marcar paquetes en la seccin El men Edit de Ethereal.

4. Especificar el formato del fichero de captura guardado pulsando en la lista desplegable"File type". Se puede escoger entre los siguientes tipos:

a. libpcap (tcpdump, Ethereal, etc.)b. libpcap modificado (tcpdump)c. RedHat Linux libpcap (tcpdump)d. Network Associates Sniffer (basado en DOS)e. Sun Snoopf. Microsoft Network Monitor 1.xg. Network Associates Sniffer (basado en Windows) 1.1Nota!: Algunos formatos de captura pueden no estar disponibles, dependiendo de los tipos de tramacapturados.

MANUAL DE ETHEREAL


Nota!: Se pueden convertir ficheros de captura de un formato a otro leyendo un fichero de captura yguardndolo con otro nombre usando un formato diferente.

5. Teclear el nombre del fichero en el que se desean guardar los paquetes capturados, comoun nombre de fichero estndar del sistema de ficheros.

6. Pulsar OK para aceptar el fichero seleccionado y guardarlo. Si Ethereal tiene algnproblema guardando los paquetes capturados al fichero que se especific, se mostrar uncuadro de dilogo de error. Despus de pulsar OK, se puede probar con otro fichero.

7. Pulsar Cancel para volver a Ethereal sin guardar los paquetes capturados.

3.16 Leyendo ficheros de capturaEthereal puede leer ficheros de captura guardados previamente, y adems, debido a que est

compilado con una librera de subrutinas llamada libwiretap, puede leer ficheros de captura de otrosvariosr programas de captura paquetes tambin. A continuacin est la lista de formatos de capturaque entiende:

tcpdump y Ethereal

snoop (incluyendo Shomiti) y atmsnoop

LanAlyzer

Sniffer (comprimido o no comprimido) y Sniffer Pro para DOS o Windows

Microsoft Network Monitor

NetXray

El analizador WAN/LAN de RADCOM

La salida dump de los routers ISDN de Toshiba

Cinco Networks NetXRay

iptrace de AIX

AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek

Productos de acceso Lucent/Ascend

nettl de HP-UX

Salida en formato IPLog del Cisco Secure Intrusion Detection System

Logs pppd (formato pppdump)

Utilidad TCPIPtrace de VMS

Salida de texto de la utilidad DBS Etherwatch VMS

Ficheros de capura de trfico de Visual UpTime de Visual Networks

Salida debug de CoSine L2

Utilidad i4btrace de ISDN4BSDSlo se necesita tener estos ficheros en el sistema y Ethereal podr leerlos. Para leerlos,

simplemente selecciona el elemento de men Open del men File. Ethereal lanzar el cuadro dedilogo Abrir Fichero, que se discute en ms detalle en la seccin el cuadro de dilogo AbrirFichero

MANUAL DE ETHEREAL


El cuadro de dilogo Abrir FicheroEl cuadro de dilogo Abrir Fichero de Ethereal permite buscar un fichero de captura que

contenga paquetes previamente capturados para visualizarlo en Ethereal. La Figura 3-20 muestra unejemplo del cuadro de dilogo Abrir Fichero de Ethereal.

Figura 3-20. El cuadro de dilogo Abrir Fichero

Con este cuadro de dilogo, se pueden realizar las siguientes acciones:

1. Seleccionar ficheros y directorios con las listas de unidads, directorios y ficheros.2. Especificar un filtro de visualizacin con el botn "Filter" y el campo "filter". Al pulsar el

botn "Filter" Ethereal lanza el cuadro de dilogo Filtros (que se discute ms adelante enla seccin Filtrando paquetes mientras se ven).

3. Especificar que se realice la resolucin de nombres MAC para todas las direcciones MACen paquetes marcando la casilla de verificacin "Enable MAC name resolution".

4. Especificar que se realice la resolucin de nombres DNS para todas las direcciones IP enpaquetes marcando la casilla de verificacin "Enable network name resolution".

Nota: Enabling network name resolution when your DNS server is unavailable may significantly slowethereal while it waits for all of the DNS requests to time out

5. Especificar que se realice la resolucin de nombres de transporte para todas lasdirecciones de transporte (puertas TCP/UDP) en paquetes marcando la casilla deverificacin "Enable transport name resolution".

MANUAL DE ETHEREAL


6. Pulsar OK para aceptar el fichero seleccionado y abrirlo. Si Ethereal reconoce el formatode captura, mostrar los paquetes ledos del fichero de captura en el panel de lista depaquetes. Si no reconoce el formato de captura, mostrar un cuadro de dilogo de error.Despus de pulsar OK, se puede probar con otro fichero.

7. Pulsar Cancel para volver a Ethereal sin cargar un fichero de captura.

3.17 Filtrando paquetes mientras se venEthereal tiene dos lenguajes de filtrado: Uno utilizado cuando se capturan paquetes, y el otro

cuando se visualizan paquetes. En esta seccin se explora este segundo tipo de filtros: los filtros devisualizacin. El primer tipo ya ha sido tratado en la seccin Filtrando mientras se captura.

Los filtros de visualizacin permiten concentrarse en los paquetes en que se est interesado.Permiten seleccionar paquetes por:

Protocolo

La presencia de un campo

Los valores de campos

Una comparacin entre camposPara seleccionar paquetes basndose en el tipo de protocolo, simplemente hay que teclear el

protocolo en que se est interesado en el campo Filter: de la esquina inferior izquierda d la ventanade Ethereal y presionar enter para iniciar el filtro. La Figura 3-21 muestra un ejemplo de lo quesucede cuando se teclea smb en el campo filtro.

Nota!: Todas las expresiones de filtro se introducen en minsculas. Adems, no hay que olvidarpresionar enter despus de introducir la expresin de filtro.

MANUAL DE ETHEREAL


Figura 3-21. Filtrando por el protocolo SMB

Nota!: Los paquetes seleccionados en la Figura 3-21 aparecen todos como paquetes BROWSER peroson transportados en paquetes SMB.

Se puede filtrar por cualquier protocolo que Ethereal entienda. Sin embargo, tambin se puedefiltrar por cualquier campo que un disector aada a la vista de rbol, pero slo si el disector haaadido una abreviatura para el campo. Una lista de estos campos est disponible en Ethereal en elcuadro de dilogo Aadir Expresin.... Se puede encontrar ms informacin sobre el cuadro dedilogo Aadir Expresin... en la seccin El Dilogo Aadir Expresin.

Por ejemplo, para reducer la lista de paquetes slo a aquellos paquetes que vaya desde o hacia10.0.0.5, use ip.addr==10.0.0.5.

Nota!: Para borrar el filtro, pulse en el botn Reset a la derecha del campo filtro.

Construyendo expresiones de filtroEthereal proporciona un lenguaje de filtros de visualizacin sencillo con el que se pueden

construir expresiones de filtrado bastante complejas. Se pueden comparar valores en paquetes ascomo combinar expresiones en expresiones ms especficas. Las siguientes secciones proporcionanms informacin sobre como hacer esto.

Comparando valoresSe pueden construir filtros de visualizacin que comparen valores usando varios operadores de

comparacin diferentes. Estos se muestran en la Tabla 3-8.

MANUAL DE ETHEREAL


Tabla 3-8. Operadores de comparacin de filtros de visualizacin

Ingls Tipo C Descripcin y ejemplo

eq == Igualip.addr==10.0.0.5

ne != Distintoip.addr!=10.0.0.5

gt > Mayor que.pkt_len > 10

lt < Menor queframe.pkt_len < 128

ge >= Mayor o igual queframe.pkt_len ge 0x100

le

MANUAL DE ETHEREAL


Tipo Ejemplo

Direccin IPv4

Direccin IPv6

Nmero de Red IPX

String (texto)

Nmero de comaflotante de dobleprecisin

Combinando expresionesSe pueden combinar expresiones de filtro en Ethereal usando los operadores lgicos mostrados

en la Tabla 3-10Tabla 3-10. Operaciones lgicas de filtros de visualizacin

Ingls Tipo C Descripcin y ejemplo

and && Y lgicoip.addr==10.0.0.5 and tcp.flags.fin

or || O lgicoip.addr==10.0.0.5 or ip.addr==192.1.1.1

xor ^^ XOR (O exclusivo) lgicotr.dst[0:3] == 0.6.29 xor tr.src[0:3] == 0.6.30

not ! NO lgiconot llc

[...] Operador de subcadenaEthereal permite seleccionar subsecuencias de una secuencia de formas bastanteelaboradas. Despus de una etiqueta se pueden colocar un par de corchetes []conteniendo una lista separada por comas de especificadotes de rango.

eth.src[0:3] == 00:00:83

El ejemplo anterior usa el formato n:m para especificar un rango sencillo. En estecaso n es el offset inicial y m es la longitud del rango que est sendo especificado.

eth.src[1-2] == 00:83

El ejemplo anterior usa el formato n-m para especificar un rango sencillo. En estecaso n es el offset inicial y m es el offset final.

eth.src[:4] == 00:00:83:00

El ejemplo anterior usa el formato:m, que toma todo desde el comienzo de unasecuencia hasta el offset m. Es equivalente a 0:m

eth.src[4:] == 20:20

El ejemplo anterior usa el formato n:, que toma todo desde el offset n hasta el fin

MANUAL DE ETHEREAL


Ingls Tipo C Descripcin y ejemplode la secuencia.

eth.src[2] == 83

El ejemplo anterior usa el formato n para especificar un rango sencillo. En estecaso se selecciona el elemento de la secuence con el offset n. Es equivalente a n:1.

eth.src[0:3,1-2,:4,4:,2] == 00:00:83:00:83:00:00:83:00:20:20:83

Este ltimo ejemplo muestra como concatenar varios rangos separando la lista derangos con comas

3.18 Coloreado de paquetesUn mecanismo muy til disponible en Ethereal e el coloreado de paquetes. Se puede configurar

Ethereal de modo que coloree paquetes de acuerdo con un filtro. Esto permite emfatizar lospaquetes en que se est interesado.

Para colorear paquetes, seleccione el elemento de men Coloring Rules... del men View, yEthereal lanzar el cuadro de dilogo Aadir Color a Protocolos como se muestra en la Figura 3-22.

Figura 3-22. El cuadro de dilogo Aadir Color a Protocolos de Ethereal

Una vez que el cuadro de dilogo Aadir Color a Protocolos aparece, hay varios botones que sepueden utilizar, dependiendo de si ya se han instalado o no filtros de color. Si es la primera vez quese utiliza Aadir Color a Protocolos, pulse en New para mostrar el cuadro de dilogo Editar filtrode color como se muestra en la Figura 3-23.

MANUAL DE ETHEREAL


Figura 3-23. El cuadro de dilogo Editar filtro de color de Ethereal

En el cuadro de dilogo Editar filtro de color, simplemente introduzca un nombre para el filtrode color, e introduzaca una expresin de filtro en el campote texto Filter. La Figura 3-23 muestralos valores smb y smb lo que significa que el nombre del filtro de color es smb y el filtroseleccionar protocolos de tipo smb.

Una vez que se han introducido estos valores, se pueden elegir un color de texto y un color defondo para los paquetes que cumplan la expresin de filtro. Pulse en Choose background color oChoose foreground color para conseguir esto y Ethereal lanzar el cuadro de dilogo Elegir colorde texto/fondo para protocolo como se muestra en la Figura 3-24.

Figura 3-24. El cuadro de dilogo Elegir color de Ethereal

Seleccione el color deseado para los paquetes seleccionados y pulse OK.Nota!: Se debe seleccionar un color en la barra de color prxima a la rueda de color para cargar valoresen los deslizadores RGB. Como alternativa, se pueden usar los deslizadores para seleccionar el color quese desea.

Es necesario seleccionar cuidadosamente el orden en que se listan los filtros (y por lo tanto seaplican) ya que stos se aplican en orden. Por lo tanto, los filtros ms especficos se deben listarantes que los filtros ms generales. Por ejemplo, si se tiene un filtro de color para UDP antes queuno para DNS, el filtro de color para DNS nunca se aplicar.

MANUAL DE ETHEREAL


La Figura 3-25 muestra un ejemplo de varios filtros de color siendo usados en Ethereal.Figura 3-25. Usando filtros de color con Ethereal

3.19 Encontrando paquetesSe pueden encontrar tramas fcilmente una vez que se han capturado algunos paquetes o se ha

ledo un fichero de captura previamente guardado. Simplemente seleccione el elemento de menFind Packet... del men Edit. Ethereal lanzar el cuadro de dilogo mostrado en la Figura 3-26.

Figura 3-26. El cuadro de dilogo Find Packet de Ethereal

Simplemente introduzca una expresin de filtro de visualizacin en el campo Filter:, seleccioneuna direccin, y pulse OK.

MANUAL DE ETHEREAL


Por ejemplo, para encontrar el three way handshake para una conexin desde el host 10.0.0.5,use la siguiente expresin de filtro:

ip.addr==10.0.0.5 and tcp.flags.syn

Para ms detalles sobre filtros de visualizacin, vea la seccin Filtrando paquetes mientras svisualizan.

3.20 Siguiendo flujos TCPHabr ocasiones en las que se deseen ver los datos de una sesin TCP en el orden en que el nivel

de aplicacin los vera. Quiz se estn buscando passwords en un flujo Telnet, o quiz se estintentando dar sentido a un flujo de datos. Si es as, la habilidad de Ethereal de seguir un flujo TCPser til para conseguirlo.

Simplemente seleccione un segmento TCP del flujo/conexin que le interese y seleccione elelemento de men Follow TCP Stream del men Analyze de Ethereal. Ethereal lanzar una ventanaaparte con todos los datos del flujo TCP clasificados en orden, como muestra la Figura 3-27.

Figura 3-27. Siguiendo un Flujo TCP

Se pueden elegir cuatro formatos para ver los datos:

1. ASCII. En esta vista se ven los datos de cada extremo en ASCII, pero alternados enfuncin de cuando envi los datos cada extremo. Desafortunadamente, los caracteres noimprimibles no se imprimen.

2. EBCDIC. Antiguo sistema de codificacin de caracteres ya en desuso.

MANUAL DE ETHEREAL


3. HEX Dump. Permite ver todos los datos, pero se pierde la capacidad de leerlos en ASCII.4. C Arrays. Permite ver los datos en formato de vectores C.

Nota!: Merece la pena destacar que Follow TCP Stream instala un filtro para seleccionar todos lospaquetes del flujo TCP que se ha seleccionado.

Tambin permite optar por mostrar slo un sentido de la conversacin (lista Entireconversation), as como guardar (botn Save As), imprimir (botn Print) o filtrar el flujo TCP(botn Filter out this stream).

3.21 Definiendo y guardando filtrosSe pueden definir filtros con Ethereal y darles etiquetas para su uso posterior. Esto puede ahorrar

tiempo para recordar y volver a teclear algunos de los filtros ms complejos que se utilicen.

Para definir un nuevo filtro o editar uno existente, seleccione el elemento de men Filters... delmen Edit. Ethereal lanzar entonces el cuadro de dilogo Filtros como muestra la Figura 3-28.

Figura 3-28. El cuadro de dilogo Filtros de Ethereal

Se debe introducir un nombre de filtro en el campo Filter name, y una expresin de filtro en elcampo Filter string. Sin embargo, para la mayora de las otras acciones, hay que seleccionar unfiltro del cuadro de lista (que rellenar el nombre y la expresin en los campos de la parte inferiordel cuadro de dilogo), y hacer cualquier cambio que se desee. Entonces se debera elegir uno delos botones de la parte izquierda del cuadro de dilogo. Los botones tienen los siguientessignificados:

NewEste botn aade la expresin de filtro introducida en el campo Filter string con el nombreproporcionado en el campo Filter name.

MANUAL DE ETHEREAL


Nota!: Se pueden aadir mltiples filtros con el mismo nombre. Esto no es muy til.

DeleteEste botn borra el filtro seleccionado.

ApplyEste botn aplica el filtro seleccionado a la vista actual.

Add Expression...Este botn lanza el cuadro de dilogo Aadir Expresin que asiste en la construccin deexpresiones de filtro. Se puede encontrar ms informacin sobre el cuadro de dilogo AadirExpresin en la seccin El cuadro de dilogo Aadir Expresin.

3.22 El cuadro de dilogo Aadir ExpresinCuando se est acostumbrado al sistema de filtrado de Ethereal y se conocen las etiquetas que se

desean utilizar en los filtros puede ser muy rpido teclear simplemente una expresin de filtro. Sinembargo, si se es nuevo en Ethereal o se est trabajando con un protocolo ligeramente poco familiarpuede ser muy confuso intentar averiguar que teclear. El cuadro de dilogo Aadir Expresin ayudaa hacerlo.

Figura 3-29. El cuadro de dilogo Aadir Expresin

Cuando se abre por primera vez el cuadro de dilogo Aadir Expresin se muestra una lista derbol de nombres de campo, organizados por protocolo, y un cuadro para seleccionar una relacin.

Field NameSeleccione un campo de protocolo del rbol de campos de protocolos. Cada protocolo concampos filtrables se lista en el nivel mximo. Pulsando en el "+" prximo al nombre de

MANUAL DE ETHEREAL


protocolo se puede obtener una lista de los nombres de campo disponibles para filtrado paraese protocolo.

RelationSeleccione una relacin de la lista de relaciones disponibles. is present es una relacin unariaque es cierta si el campo seleccionado est presente en un paquete. Todas las demsrelaciones listadas son relaciones binarias y requieren datos adicionales (es decir, un valor acumplir) para completarlas.

Cuando se selecciona un campo de la lista field name y una relacin binaria (como la relacin deigualdad ==) se dar la oportunidad de introducir un valor, y posiblemente alguna informacin derango.

ValueSe puede introducir un valor apropiado en el cuadro de texto Value. Value tambin indicarel tipo de valor para el nombre de campo que se ha seleccionado (como cadena de caracteres).

AcceptCuando se ha compuesto una expresin satisfactoria pulse Accept y la expresin de filtro seconstruir para usted.

CloseSe puede dejar el cuadro de dilogo Add Expression... sin ningn efecto pulsando el botnClose

Figura 3-31. Resultado de contruir una expresin de filtro usando el cuadro de dilogo Aadir Expresin.

MANUAL DE ETHEREAL


El cuadro de dilogo Aadir Expresin es un modo excelente de aprender a escribir expresionesde filtro de visualizacin en Ethereal.

3.23 Imprimiendo paquetesPara imprimir paquetes de una captura, seleccione el elemento de men Print... del men File.

Cuando se hace esto, Ethereal lanza el cuadro de dilogo Imprimir como muestra la Figura 3-32.Figura 3-32. El cuadro de dilogo Imprimir de Ethereal

Los siguientes campos estn disponibles en el cuadro de dilogo Imprimir:

PrinterEste campo contiene un par de botones de radio mutuamente excluyentes:

Plain Text, que especifica que la impresin del paquete debera ser en texto plano.

PostScript, que especifica que el proceso de impresin del paquete debera usarPostscript para generar una mejor impresin.

Output to FileEste campo especifica la impresin se redirija al fichero especificado en el cuadro de texto asu derecha. Pulse Browse para elegir el directorio y archivo deseado

Packet rangeAqu se especifica si se desean imprimir todos los paquetes, slo el seleccionado, slo losmarcados, del primer al ltimo paquete marcado, o un rango de paquetes especificado. Sepueden elegir estas opciones tanto para la captura total como para los paquetes que estnsiendo visualizados en el momento.

MANUAL DE ETHEREAL


Packet detailsEsta casilla de verificacin selecciona si Ethereal imprime o no un resumen o los detalles paracada paquete impreso.

All dissections co

manual de instalación y uso ethereal

Documents

preferencias de ethereal

mantenimiento de ethereal

menus de ethereal

estado de ethereal

lleagada de ethereal

men view de ethereal

men statistics de ethereal

men edit de ethereal