====== Wireshark ======

Analizador de protocolos de redes de comunicaciones.

  * [[https://www.wireshark.org/|Web oficial]]

===== Interfaz =====

En la sección central, bajo "Frame" está:

  - Frame (capa 2). Por ejemplo, Ethernet II
  - Paquete (capa 3). Por ejemplo, IPv4
  - Segmento (capa 4). Por ejemplo, TCP
  - Protocolo de aplicación (capas 7, 6 y 5 combinadas). Por ejemplo, HTTP.
===== Conceptos básicos =====

Al usar Wireshark estamos poniendo la tarjeta de red en modo **promiscuo**, es decir, recibiremos el tráfico de todos los dispositivos de la red en lugar de capturar los dirigidos e enviados desde el equipo que tiene Wireshark.
==== Frame ====

En redes, una trama (//frame//) es una unidad de envío de datos. Es una serie sucesiva de bits, organizados en forma cíclica, que transportan información y que permiten en la recepción extraer esta información. Viene a ser el equivalente de paquete de datos o Paquete de red, en el Nivel de red del modelo OSI. 

El tipo de frame más habitual es Ethernet II

Si nos referimos al modelo OSI, utilizamos la siguiente terminología:

  * **Frame** en capa 2 (enlace)
  * **Paquete** en capa 3 (red)
  * **Segmento** en capa 4 (transporte)

La capa 1 del modelo OSI (capa física) no se muestra en Wireshark.

===== Filtros =====

==== IP ====

<code>
ip.src==192.168.0.20
</code>

==== Protocolo ====

Ping: 

<code>
icmp
</code>

ARP:

<code>
arp
</code>

DNS:

<code>
dns
</code>

HTTP:

<code>
http
</code>
==== Combinación de filtros ====

<code>
ip.src==192.168.0.20 and ip.dst==192.168.0.1
</code>

===== Exportar =====

Con una herramienta como [[https://www.netresec.com/?page=networkminer1NetworkMiner]] podemos tratar de forma más cómoda un fichero ''.pcap'' obtenido mediante Wireshark.