¿Es nuevo en las capturas de paquetes Wireshark?
Estuve allí, recibí mis primeras capturas de paquetes y se me pidió que las analizara.
¡Confía en mí! Tener esta habilidad: ser capaz de saber dónde está el problema leyendo una captura de paquetes es una ventaja para usted. Ahora y en el futuro!
Después de un tiempo, te haces una idea de los primeros pasos que debes dar con Wireshark y cómo dar un primer feedback.
Use un perfil Wireshark personalizado
Cuando era nuevo en Wireshark y nunca antes había analizado capturas de paquetes, estaba perdido.
Recuerdo el tiempo porque el análisis de paquetes se convirtió en un papel importante como «Ingeniero de Confiabilidad del Sitio». Y no estaba lista.
Wireshark abre su archivo con el perfil «Predeterminado» que tiene las columnas básicas Número de paquete, Hora, Origen, Destino, Protocolo, Longitud e Información.
Con el tiempo entendí que tener más columnas disponibles desde el principio ahorrará tiempo y también ayudará a solucionar problemas.
Como puedes ver en la captura de pantalla, he agregado varias columnas. Algunos de ellos son muy importantes:
- Tiempo Delta = > Muestra el tiempo delta del paquete capturado anterior
- Bytes en Vuelo = > Datos que se han enviado pero aún no se han reconocido
- Número de secuencia
- Número de reconocimiento
- Número de secuencia siguiente
Agregar esas columnas me ayudó a ahorrar tiempo en el análisis.
Obtenga la primera información del Apretón de manos de 3 Vías
El apretón de manos de 3 vías es el paso más importante en TCP para establecer una comunicación entre el cliente y el servidor.
Aquí un breve resumen de cómo se ve el apretón de manos:
- El Cliente envía un paquete SYN con su Número de Secuencia Inicial al Servidor
- El Servidor reconoce (ACK) el paquete SYN (desde el Cliente) y envía su propio paquete SYN con su Número de Secuencia Inicial
- El Cliente reconoce (ACK) el paquete SYN (desde el Servidor)
- Ahora la comunicación TCP está establecida y es capaz de intercambiar datos
Durante el Apretón de Manos de 3 vías hay mucha información útil intercambiada entre el Cliente y el Servidor.
Además de IP de origen, IP de destino, Puerto de Origen, Puerto de Destino, MAC de Origen, MAC de destino, también puede obtener:
- RTT = > Tiempo de ida y vuelta entre Cliente y Servidor
- TTL => Tiempo de vida: Con ese valor puede calcular el número de saltos entre Cliente y Servidor
- Tamaño de ventana calculado => El tamaño de los datos que se pueden recibir antes de que sea necesario reconocerlos
Con solo 3 paquetes puede obtener una visión general de su comunicación TCP.
Filtre sus capturas de paquetes a su dirección de destino (para los filtros necesarios, use mi Introducción a Wireshark-Parte 2) y comience a analizar.
A partir de ahora utilizo como ejemplo una comunicación TCP entre mi cliente en mi red privada y el tcpdump-it.com servidor (173.212.216.192).
Compruebe cuántos paquetes se han perdido
Ya que estoy trabajando en el lado de la infraestructura, mi primer objetivo es comprender si la red se está comportando como debería ser.
Cuando se me pide que analice una captura de paquetes de red, es un paso obligatorio comprender el porcentaje de pérdida de paquetes (retransmisiones TCP).
Para hacer eso estoy usando el filtro de pantalla » ip.addr = = 173.212.216.192 y tcp.análisis.retransmisión». Muestra todos los paquetes que se retransmitieron.
El siguiente paso es abrir las «Propiedades del archivo de captura» en la pestaña «Estadísticas».
En la sección de Estadísticas puede ver las columnas » Capturado «y»Mostrado».
La columna » Visualizada «se basa en su filtro de visualización y muestra las estadísticas en comparación con los datos» Capturados».
Usé este ejemplo para mostrarles un caso extremo. Se puede ver que hay 10,4% de paquetes retransmitidos.
Depende de muchos factores el porcentaje de pérdida de paquetes que es crítico. Hay diferentes opiniones.
Probablemente ninguna respuesta sea correcta, pero cuando la pérdida de paquetes es superior al 1% y está causando un alto retraso en la comunicación, debería comenzar a verificar mejor.
Abra la Información de experto
Wiresharks La información de experto es muy útil y le da una idea de qué verificar en la captura de paquetes.
En la documentación de Wireshark encontrará la siguiente declaración: «Tome información de expertos como una pista de lo que vale la pena mirar, pero no más»
Esto es exactamente lo que debe hacer. Cuando analicé por primera vez una captura de paquetes, la Información de los expertos fue muy útil y me dio pistas en qué dirección analizar.
Vaya a la pestaña «Experto «y seleccione»Información de experto». Se abrirá una nueva ventana:
En versiones anteriores de Wireshark (v1), la descripción general sobre «Advertencias», «Notas», «Chats» era más clara.
Acostúmbrate a abrir la Información de experto. ¡Te ayudará absolutamente!
Abra el gráfico de Tiempo de ida y vuelta
Un breve resumen sobre lo que significa el tiempo de ida y vuelta:
RTT significa el tiempo entre el envío de un paquete y la respuesta.
Para nuestro análisis de captura de paquetes es importante entender si hay paquetes con un RTT alto.
Eso significaría que sufrimos de una comunicación lenta.
Para abrir el Gráfico de Tiempo de ida y vuelta, vaya a» Estadísticas «> > «Gráficos de flujo TCP» > > «Tiempo de ida y vuelta».
El gráfico muestra en el eje Y el RTT en ms, mientras que el eje X muestra el tiempo de ejecución de la captura de paquetes en segundos.
Este gráfico RTT en mi captura de pantalla no es significativo, pero se ve bien con un RTT de aproximadamente 60 ms.
¡Busque picos en el eje Y para identificar paquetes lentos!
Resumen
Quiero repetir la frase que escribí al principio del post:
Tener esta habilidad: ser capaz de saber dónde está el problema leyendo una captura de paquetes es una ventaja para usted.
Si considera algunas partes de este post, ¡tendrá más éxito en el análisis de capturas de paquetes con Wireshark!
Si quieres saber más al respecto, únete a mi espacio de trabajo de Slack o envíame un correo electrónico.
¡Manténgase al día y suscríbase a mi boletín de noticias!