Wireshark es el analizador de protocolos de red líder utilizado por profesionales de la seguridad en todo el mundo. Le permite detectar anomalías en las redes informáticas y encontrar las causas subyacentes. Demostraremos cómo usar Wireshark en las siguientes secciones.
¿Entonces, cómo funciona? ¿Y cómo se usa Wireshark para capturar paquetes de datos?
¿Cómo funciona Wireshark?
El sólido conjunto de funciones de Wireshark lo ha convertido en uno de los las mejores herramientas para solucionar problemas de red. Mucha gente usa Wireshark, incluidos administradores de red, auditores de seguridad, analistas de malware e incluso atacantes.
¿Tiene un problema de red? ¿O simplemente quiere saber más sobre su red doméstica? Estas siete herramientas pueden ayudarlo a analizar y solucionar problemas de su red.
Le permite realizar inspecciones profundas de paquetes de red en vivo o almacenados. Cuando empiece a utilizar Wireshark, quedará fascinado por la cantidad de información que puede ofrecer. Sin embargo, demasiada información a menudo dificulta mantener el rumbo.
Afortunadamente, podemos mitigar esto a través de las capacidades de filtrado avanzadas de Wireshark. Los discutiremos en detalle más adelante. El flujo de trabajo consiste en capturar paquetes de red y filtrar la información requerida.
Cómo utilizar Wireshark para la captura de paquetes
Una vez que inicie Wireshark, mostrará las interfaces de red conectadas a su sistema. Debería notar las curvas que representan la comunicación de red al lado de cada interfaz.
Ahora, debe elegir una interfaz específica antes de poder comenzar a capturar paquetes. Para hacer esto, seleccione el nombre de la interfaz y haga clic en el azul aleta de tiburón icono. También puede hacer esto haciendo doble clic en el nombre de la interfaz.
Wireshark comenzará a capturar los paquetes entrantes y salientes para la interfaz seleccionada. Haga clic en el rojo pausa icono para detener la captura. Debería ver una lista de los paquetes de red tomados durante este proceso.
Wireshark mostrará el origen y el destino de cada paquete junto con el protocolo. Sin embargo, la mayoría de las veces, estará interesado en el contenido del campo de información.
Puede inspeccionar paquetes individuales haciendo clic en ellos. De esta forma, puede ver el paquete de datos completo.
Cómo guardar paquetes capturados en Wireshark
Dado que Wireshark captura una gran cantidad de tráfico, a veces es posible que desee guardarlos para una inspección posterior. Afortunadamente, guardar los paquetes capturados con Wireshark es muy sencillo.
Para guardar paquetes, detenga la sesión activa. Luego haga clic en el expediente icono ubicado en el menú superior. También puedes usar Ctrl + S para hacer esto.
Wireshark puede guardar paquetes en varios formatos, incluidos pcapng, pcap y dmp. También puede guardar los paquetes capturados en un formato que otros herramientas de análisis de red puede usar más tarde.
Cómo analizar paquetes capturados
Puede analizar los paquetes capturados previamente abriendo el archivo de captura. Una vez en la ventana principal, haga clic en Archivo> Abrir y luego seleccione el archivo guardado correspondiente.
También puedes usar Ctrl + O para hacer esto rápidamente. Una vez que haya analizado los paquetes, salga de la ventana de inspección yendo a Archivo> Cerrar.
Cómo utilizar filtros de Wireshark
Wireshark ofrece una gran cantidad de sólidas capacidades de filtrado. Los filtros son de dos tipos: filtros de visualización y filtros de captura.
Uso de filtros de visualización de Wireshark
Los filtros de visualización se utilizan para ver paquetes específicos de todos los paquetes capturados. Por ejemplo, podemos usar el filtro de visualización icmp para ver todos los paquetes de datos ICMP.
Puede elegir entre una gran cantidad de filtros. Además, también puede definir reglas de filtrado personalizadas para tareas triviales. Para agregar filtros personalizados, vaya a Analizar> Mostrar filtros. Clickea en el + icono para agregar un nuevo filtro.
Uso de filtros de captura de Wireshark
Los filtros de captura se utilizan para especificar qué paquetes capturar durante una sesión de Wireshark. Produce significativamente menos paquetes que las capturas estándar. Puede utilizarlos en situaciones en las que necesite información específica sobre determinados paquetes.
Ingrese su filtro de captura en el campo justo encima de la lista de interfaces en la ventana principal. Seleccione el nombre de la interfaz de la lista y escriba el nombre del filtro en el campo anterior.
Haga clic en el azul aleta de tiburón icono para comenzar a capturar paquetes. El siguiente ejemplo utiliza el arpa filtro para capturar solo transacciones ARP.
Uso de las reglas para colorear de Wireshark
Wireshark proporciona varias reglas de coloración, que anteriormente se denominaban filtros de color. Es una gran característica para analizar el tráfico de red extenso. También puede personalizarlos según sus preferencias.
Para mostrar las reglas de coloración actuales, vaya a Ver> Reglas de coloración. Aquí puede encontrar las reglas de coloración predeterminadas para su instalación.
Puede modificarlos como desee. Además, también puede utilizar las reglas de coloración de otras personas importando el archivo de configuración.
Descargue el archivo que contiene las reglas personalizadas y luego impórtelo seleccionando Ver> Reglas de coloración> Importar. Puede exportar reglas de manera similar.
Wireshark en acción
Hasta ahora, hemos discutido algunas de las características principales de Wireshark. Realicemos algunas operaciones prácticas para demostrar cómo se integran.
Hemos creado un servidor Go básico para esta demostración. Devuelve un mensaje de texto simple para cada solicitud. Una vez que el servidor se esté ejecutando, haremos algunas solicitudes HTTP y capturaremos el tráfico en vivo. Tenga en cuenta que estamos ejecutando el servidor en el localhost.
Primero, iniciamos la captura de paquetes haciendo doble clic en la interfaz Loopback (localhost). El siguiente paso es iniciar nuestro servidor local y enviar una solicitud GET. Estamos usando curl para hacer esto.
Wireshark capturará todos los paquetes entrantes y salientes durante esta conversación. Queremos ver los datos enviados por nuestro servidor, así que usaremos el http.response filtro de pantalla para ver los paquetes de respuesta.
Ahora, Wireshark ocultará todos los demás paquetes capturados y mostrará solo los paquetes de respuesta. Si observa detenidamente los detalles del paquete, debería notar los datos de texto sin formato enviados por nuestro servidor.
Comandos útiles de Wireshark
También puede utilizar varios comandos de Wireshark para controlar el software desde su terminal Linux. A continuación, se muestran algunos comandos básicos de Wireshark:
- Wirehark inicia Wireshark en modo gráfico.
- wirehark -h muestra las opciones de línea de comandos disponibles.
- wirehark -i INTERFAZ selecciona INTERFACE como interfaz de captura.
Tshark es la alternativa de línea de comandos para Wireshark. Es compatible con todas las funciones esenciales y es extremadamente eficiente.
Analice la seguridad de la red con Wireshark
El rico conjunto de funciones de Wireshark y las reglas de filtrado avanzadas hacen que el análisis de paquetes sea productivo y sencillo. Puede usarlo para encontrar todo tipo de información sobre su red. Pruebe sus funcionalidades más básicas para aprender a usar Wireshark para el análisis de paquetes.
Wireshark está disponible para descargar en dispositivos que ejecutan Windows, macOS y Linux.
¿Quiere monitorear su red o dispositivos remotos? Aquí le mostramos cómo convertir su Raspberry Pi en una herramienta de monitoreo de red usando Nagios.
- Linux
- Mac
- Ventanas
- Seguridad
- Seguridad en línea
Rubaiat es un licenciado en informática con una gran pasión por el código abierto. Además de ser un veterano de Unix, también se dedica a la seguridad de redes, la criptografía y la programación funcional. Es un ávido coleccionista de libros de segunda mano y tiene una admiración interminable por el rock clásico.
Suscríbete a nuestro boletín
¡Únase a nuestro boletín de noticias para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!
Un paso más…!
Confirme su dirección de correo electrónico en el correo electrónico que le acabamos de enviar.