En este artículo revisaremos varias funciones de Wireshark que permiten analizar de forma más eficiente las capturas de tráfico de red; descubriremos cómo obtener archivos de captura de tráfico de red y cuáles son los requisitos básicos; y, por último, veremos si es posible automatizar la captura y el análisis del tráfico en subestaciones digitales.

Tres funciones de Wireshark para mejorar la eficiencia del análisis de tráfico

Wireshark es uno de los instrumentos más populares para la captura y el análisis del tráfico de red. Dispone de múltiples funciones que permiten un análisis fácil y detallado de los datos de red. Compartiremos algunas funciones de Wireshark que aumentarán significativamente su productividad en el análisis del tráfico capturado.

Filtros de visualización en la barra de herramientas

Una de las funciones más conocidas y útiles de Wireshark es el Display filter (filtro de visualización). Con él, el usuario puede indicar a Wireshark que muestre únicamente los fotogramas que coincidan con la expresión del filtro. Al usar el Display filter, los demás datos de captura se ocultan pero no se eliminan; el usuario puede volver a la captura original borrando la expresión del filtro.

Por ejemplo, al analizar una captura de red de una subestación digital, el usuario puede hacer que Wireshark muestre solo los mensajes GOOSE —excluyendo el tráfico Sampled Values— o únicamente las comunicaciones cliente-servidor (MMS).

Campo de texto del filtro de visualización en Wireshark

Si utiliza algunos filtros con frecuencia, puede añadir botones de filtro a la barra de menú. Para ello, introduzca la expresión del filtro en el campo de texto y haga clic en el botón más (+) a la derecha. Aparecerá una nueva barra donde podrá especificar la etiqueta del botón y un comentario de usuario.

Añadir un botón de filtro en Wireshark

Al hacer clic en OK, verá el botón del filtro en la barra de menú. Al hacer clic en él, se aplicará el filtro.

Botones de filtro en la barra de herramientas de Wireshark

Usando estas funciones no tendrá que introducir manualmente las expresiones de filtro de uso frecuente. Cree filtros específicos para GOOSE, Sampled Values, MMS y PTP, indicando los campos y valores específicos de estos protocolos.

Marcado y comentario de fotogramas

Cuando el usuario encuentra fotogramas de interés, puede marcarlos. Los fotogramas marcados se muestran con fondo negro para identificarlos fácilmente. Una de las funciones útiles con fotogramas marcados es crear un nuevo archivo de captura basado en el original que incluya solo los fotogramas marcados (Archivo → Exportar paquetes especificados).

Para marcar un fotograma, haga clic en él en el panel Packet List y pulse Ctrl+M. Para desmarcar, repita la operación.

Fotogramas marcados en Wireshark mostrados con fondo negro

El único inconveniente del marcado es que no se almacena en archivos pcap/pcapng. Cuando cierre y vuelva a abrir el archivo, los fotogramas marcados no aparecerán.

Para transmitir los resultados de la investigación a los colegas, puede usar la función de comentarios de paquetes. Haga clic derecho en el fotograma específico, elija Packet Comment e introduzca el texto de su nota. Guarde el archivo como pcapng. Sus colegas pueden usar el filtro frame.comment para mostrar todos los fotogramas con comentarios.

Comentarios de usuario en fotogramas de Wireshark

Mostrar nombres definidos por el usuario en lugar de direcciones MAC e IP

¿Es posible hacer que Wireshark utilice reglas personalizadas para reemplazar direcciones MAC específicas con nombres definidos por el usuario? Por ejemplo, mostrar en lugar de 00:26:57:01:34:6eProtection_IED, y en lugar de 64:60:38:d0:34:6eEth.switch_SW22. La respuesta es sí.

En Windows: Ayuda → Acerca de; en macOS: Wireshark → Acerca de Wireshark. En el cuadro de diálogo, elija la pestaña Carpetas y haga clic en el enlace junto a Configuración personal. En la carpeta que se abra, cree un archivo de texto llamado ethers. Especifique las direcciones MAC y los nombres definidos por el usuario (separados por un espacio). Guarde los cambios.

00.26.57.01.25.9f Protection_W1E
64:60:38:d0:b8:18 Eth.switch_SW1

Del mismo modo, cree o edite un archivo de texto llamado hosts con las direcciones IP y nombres definidos por el usuario.

192.168.1.210 Time_server_Main
192.168.161.74 DFR

En Preferencias → Resolución de nombres, asegúrese de que estén marcadas las opciones Resolver direcciones MAC y Resolver direcciones de red (IP). Reinicie Wireshark.

Nombres de IED definidos por el usuario en lugar de direcciones MAC e IP en Wireshark

Exportación a CSV/JSON y otros formatos

Wireshark proporciona una función de exportación a varios formatos: CSV, JSON, texto plano, XML, etc.

Para exportar datos, expanda el fotograma, seleccione el campo de interés, haga clic derecho y elija Aplicar como columna. Luego, seleccione Archivo → Exportar disecciones de paquetes y elija el formato requerido.

Exportación a CSV/JSON y otros formatos en Wireshark

¿De dónde obtener archivos de captura de tráfico?

Para una pequeña subestación de 110 kV con 22 flujos Sampled Values y 120 mensajes GOOSE, necesitará aproximadamente 100 TB/mes de almacenamiento. Almacenar datos durante 6 meses requeriría 600 TB. El costo es comparable al de varios paneles de protección y control.

La alternativa es realizar la captura de tráfico de forma similar a los registradores de faltas — iniciar la grabación basándose en eventos de comunicación (pérdida de mensajes, cambios en la calidad de sincronización de tiempo, etc.). Con este enfoque se pueden almacenar y procesar archivos PCAP durante varios años.

Esta funcionalidad está disponible en el sistema de gestión del ciclo de vida de subestaciones digitales Tekvel Park, que tiene una estructura modular: un servidor y dispositivos de monitoreo de red llamados Live View Box.

Sistema de gestión del ciclo de vida de subestaciones digitales Tekvel Park

Dispositivo de monitoreo de red Tekvel Park Live View Box

¿Es posible automatizar el análisis del tráfico de la subestación digital?

Sí. Para eso se creó Tekvel Park. En comparación con Wireshark, ofrece:

  • Monitoreo en línea y automático del tráfico IEC 61850 contra el archivo SCD. El usuario obtiene información detallada sobre los parámetros de mensajes que no coinciden con la configuración del archivo SCD.
  • Detección automática de fallos de comunicación IEC 61850 (fallos de contadores de mensajes, cambios en el estado de sincronización de tiempo, pérdida de mensajes, etc.).
  • Detección automática de cambios de datos en mensajes GOOSE/Sampled Values.
  • Grabación de tráfico iniciada por eventos identificados por Tekvel Park, con captura de tráfico antes y después del evento como un único archivo PCAP.

Perfil de evento en Tekvel Park con descarga de archivo PCAP

  • Visualización de formas de onda basadas en datos GOOSE y Sampled Values con descripción de señales en su idioma nativo.

Visualización de formas de onda basada en datos GOOSE y Sampled Values en Tekvel Park

¡No se pierda en las redes de subestaciones digitales!

Fuentes

  1. Cómo analizar el tráfico de subestaciones digitales de forma eficiente y si podemos automatizarlo — Tekvel Blog