Gráficas con Wireshark (II Parte). Tcptrace.

Publicado el 1 diciembre, 2008 por Alfon

Después del primer artículo referido a las heramientas gráficas de Wireshark: Análisis de red con Wireshark. Interpretando Las graficas. (I Parte), seguimos estudiando, de momento de forma básica, otras de estas herramintas herramientas, en este caso, tcptrace.

Graficas wireshark Tcptrace

Gráficas tcptrace.

Dentro del menu Statistics > TCP Stream Graphs, nos encontramos con un tipo de gráficas basado en el número de secuencia respecto al tiempo. Este tipo de gráfica es el Time-Secuence Graph (tcptrace).

Una vez seleccionado un segmento cualquiera de la conexión TCP que nos interese en el campo de edición de las capturas,podemos activart ya en el menú más arriba mencionado nuestra gráfica tcptrace.

En una conexión TCP entre dos hosts, existen dos sentidos de la comunicación: Host A hacia Host B y Host B hacia Host A, por eso, hay que seleccionar antes uno de los segmento para que la gráfica nos muestre uno de ellos.

Se nos presentarán dos ventanas, una con la grafica y otra con una serie de opciones para el mejor manejo y tratamiento de la gráfica:

Opciones graficas wireshark tcptrace

Como la ventana de la gráfica nos presenta esta al completo, disponemos de una serie de controles y opciones.

Los ejes presentados en la gráfica son:

  • Eje X: Información de Tiempo en segundos.
  • Eje Y: Información de Números de Secuencia.

Volvamos, a las opciones y controles.

Veamos primero la ventana de opciones (captura de arriba).

  • Pestaña Zoom: Seleccionado in u out, realizamos el tipo de zoom y lo aplicamos con el botón izquierdo del ratón en la pantalla de la gráfica. La información del zoom aplicado se muestra en Horizontal y Vertical. En Horizontal y Vertical Step indicamos el número de divisiones de los intervalos en ambos ejes. Podemos bloquear el zoom tanto en un eje como en el otro en Zoom Lock.
  • Pestaña Magnify: Se trata de una ventana de zoom como si de una lupa se tratase. En esta pestaña podemos indicar el tamaño de esta, el zoom aplicado.
  • Origin: Como vamos a mostrar la gráfica dependiendo del origen de los datos, es decir, desde el principio de la conexión TCP o desde el principio de la captura, y el origen del número de secuencia: 0 (absoluto) o número de secuencia inicial.
  • Cross: Como se nos muestra el puntero del ratón. De la forma típica o en forma de cruz de ejes (guias).
  • Graph type: Tipo de grafico mostrado, en este caso Time/Secuence o tipo tcptrace. Estudiaremos los demás tipos en otros artículos.

Tenemos también una serie de controles con el ratón y teclado para ejecutar sobre la ventana gráfica:

  • Seleccionar paquete de la pantalla de edición dese la gráfica. Nos situamos en uno de los segmentos de la gráfica, pulsamos Contro+botón izquierdo ratón. Con esta acción de resaltará el paquete en la pantalla de edidión de la captura. Es muy útil para saber en que parte y paquete de la captura nos encontramos dentro de la gráfica.
  • Zoom. In Boton derecho ratón Out May+botón derecho ratón.
  • Desplazamiento. Nos desplazaremos por la pantalla con el botón derecho pulsado y arrastrando.
  • Mostrar guias. Lo mismo que la opción Cross de la ventana de opciones. Lo realizaremos pulsando la barra de espacio.

Vamos ahora a mentiendo en la gráfica e ir viendo que significa cada cosa.

0_tcptrace03.png

Tenemos la captura de arriba, nos posicionamos en el paquete 18 y activamos la gráfica. En la ventana de opciones indicamos las que nos interesen. Por ejemplo, activamos Cross, tiempo de origen desde el principio de la captura. Los pasos o intervalos tanto en horizontal como vertical en 1.2, etc. para dejar la gráfica de esta manera:

wireshark tcptrace

Voy a dar unas páutas para ir comprendiendo este tipo de gráficas. Más a delante usaremos escenerarios más complejos y profundizar más.

Indico con el circulo rojo el paquete 18. Casi no se ve, pero es una pequeña traza de color negro que indica que en el segundo 11.81 un paquete (http) tiene el flag ACK activado y con un número de secuencia 1. En el segundo 12.18 vemos un segmento TCP (línea vertical negra) con número secuencia 1 y una longitud (Len = 365) que corresponde con la longitud que tiene la línea color negro, le sigue una línea horizontal gris claro, se trata de un ACKs recibidos, la línea vertical gris claro sugiere la ventana anunciada por el otro extremo de la conexión. En el paquete 20 recibimos un ACK (hay que hacer bastante zoom o usar Mangnify) y en el 21 volvemos a tener en el segundo 12.327 otro segmento TCP pero ya con un número de secuencia 366 una longitud (Len = 349). Vemos otra pequeña traza (corresponde a http) en el segundo 12.51. Más adelante vemos otro segmento TCP en el segundo 12.62, paquete 28 con un número de secuencia 715 u una longitud (Len = 364).

Esta es, a grandes rasgos la manera de leer la grafica.

¿ Qué problemas podemos detectar con tcptrace. ?

TCP ACK Retrasmission. Todos tienen el mismo número de secuencia, mismo ack pero son trasmitidos en diferentes instantes en el tiempo:

wireshark tshark tcp retransmission

Son retransmisiones del mismo paquete que denotan problemas de conentividad.

ACKs Duplicados:

ACKs duplicados que son también un síntoma de problemas en la red debido a desorden de paquetes, pérdida de datos, etc.

ACK duplicado tshark wireshark

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , , , . Guarda el enlace permanente.

2 respuestas a Gráficas con Wireshark (II Parte). Tcptrace.

  1. Andy dijo:
    12 marzo, 2010 en 9:12 am

    Hola que tal, parece que eres una persona con mucha experiencia en la parte de analisis de red, tengo una duda y ojala puedas ayudarme.
    Tengo problemas para entender la frase «problemas en la red», ya que el paquete como tal se forma de origen bajo la norma que lo regula (voltaje, velocidad, códigos, etc etc etc), estos valores se mantienen en el medio, si no fuera asi, no habria comunicacion, es decir por ejp; si modificamos el valor del voltaje pues ya no estamos bajo estandard de operacion y adios a toda la comunicacion.
    Por lo tanto, mi deduccion es que no hay problemas en el medio, son problemas de origen de capa 7 a capa 5 porque la capa 4 ya tiene tráfico encapsulado y es ahi donde se arroja al medio.
    Este razonamiento es apoyado cuando tienes n-servicios cursando el medio y observas problemas en solo un servicio.
    saludos.

    Responder
  2. Alfon dijo:
    12 marzo, 2010 en 11:59 am

    Efectivamente Andy. Cuando hablamos / hablo de problemas de red me refiero al significado más común que se le suele dar a esa frase por los administradores de red, es decir, como bien dices, de 7 a 5 y diría que la 4. Pero, el detectar problemas ebn estas capaz, muchas veces pueden indicar errores en el resto.

    Responder

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s