Cómo usar Wireshark: análisis de red, estilo 2020

Hace más de 20 años, Gerald Combs anunció Ethereal 0.2.0, la primera versión pública de lo que ahora conocemos como Wireshark. Desarrollado para Solaris y Linux, Wireshark es un analizador de paquetes y redes de código abierto. El proyecto comenzó como Ethereal en 1998, pero su nombre fue cambiado a Wireshark en 2006 debido a problemas de derechos de marca..


Hoy, Wireshark es el analizador de redes más importante del mundo, con más de 600 autores contribuyentes, múltiples premios y su propia conferencia de desarrolladores, SharkFest.

Esta guía lo ayudará a ponerse en marcha con Wireshark. Repasaremos los conceptos básicos, como cómo descargarlo y capturar, ver y filtrar paquetes. Wireshark tiene muchas características avanzadas que no se pueden cubrir dentro del alcance de este artículo, pero hay muchos tutoriales sobre ellos en wireshark.org.

Descargar y configurar Wireshark

Wireshark está disponible para descargar a través de su página de descarga. Para obtenerlo para Windows o macOS, haga clic en sus respectivos enlaces en la sección “versión estable”. Si necesita una fuente para Linux, desplácese hasta la parte inferior de la página y busque la descarga de su versión en “paquetes de terceros”.

Descarga de Wireshark

Una vez que haya descargado la aplicación, puede comenzar el proceso de configuración. Si es un usuario de Windows, necesitará instalar la biblioteca WinPcap, que es lo que le permite capturar el tráfico de red en vivo. Sin él, solo podrá ver los paquetes capturados que se han guardado. La última versión de Wireshark debería instalar WinPcap por defecto.

Del mismo modo, asegúrese de instalar USBPcap, que le permite a Wireshark capturar el tráfico de los dispositivos USB.

Cómo capturar paquetes con Wireshark

Wireshark se basa en su capacidad para capturar paquetes de red y mostrarlos en un formato que pueda ser interpretado por simples mortales. Si no está seguro de qué son los paquetes de red, los revisamos en nuestra guía IPv4 vs. IPv6.

Después de descargar e instalar, está listo para iniciar Wireshark y comenzar a capturar paquetes.

Lanzamiento de Wireshark

Para comenzar el proceso de captura, deberá seleccionar su interfaz de red. Al iniciar la aplicación, verá las conexiones de red disponibles en la pantalla de inicio. También puede ver funciones avanzadas haciendo clic en “capturar” y luego seleccionando “opciones”.

Opciones de captura

Seleccione una conexión para capturar por:

  • Hacer doble clic en su nombre.
  • Usando el atajo de teclado CTRL + E.
  • Al hacer clic en la aleta de tiburón en la barra de herramientas, ubicada en la esquina izquierda.

Una vez hecho esto, la conexión que se grabará estará sombreada en azul o gris y Wireshark comenzará a registrar el tráfico de red y a detallarlo. Para detener el proceso de grabación, presione el botón rojo de detención junto al botón de aleta de tiburón. Alternativamente, puede usar el atajo de teclado CTRL + E.

Al capturar con Wireshark, el modo promiscuo está habilitado de forma predeterminada. Permite la captura de todos los paquetes en una red, en lugar de solo aquellos dirigidos a su computadora o adaptador de red. Dicho esto, el modo promiscuo no es compatible con todo el hardware y las interfaces de red. Se puede cambiar haciendo clic en “editar”, luego en “preferencias …”.

Preferencias de Wireshark

Consulte las preguntas frecuentes de Wireshark para obtener más detalles sobre el modo promiscuo.

Ver paquetes capturados con Wireshark

Ahora que ha grabado datos, es hora de verlos. Al ver los paquetes, verá información repartida en tres paneles: la lista de paquetes, los detalles del paquete y los bytes del paquete. El panel de la lista de paquetes es el superior y muestra la hora, el origen, el destino, el protocolo y la información adicional..  

Wireshark-packet_pane1
 

El panel de detalles del paquete se encuentra en el medio. Como su nombre lo indica, muestra detalles sobre el paquete seleccionado. Muestra el tipo de protocolo, como IPv4 o IPv6, y las direcciones, como IP o MAC, en un formato de lista plegable.

Wireshark-packet-pane2

El panel de bytes del paquete está en la parte inferior. Contiene los datos sin procesar del paquete y los muestra en formato hexadecimal o de bits..

Wireshark-packet-pane3

Filtrado de paquetes con Wireshark

Cada vez que analice el tráfico de red, querrá cerrar las aplicaciones que envían paquetes que no desea ver para reducir el tráfico. Incluso entonces, es probable que te queden muchos paquetes residuales para examinar. Ahí es donde entran en juego los filtros de Wireshark. Ofrece filtros de captura y filtros de visualización, y ambos afectan el archivo de captura de manera diferente.

Los filtros de captura se aplican al archivo de captura antes de que comience el proceso de grabación, lo que le permite decidir qué paquetes capturará Wireshark. Los filtros de pantalla, por otro lado, se aplican a un archivo de captura después del hecho, lo que le permite ver solo los paquetes que cumplen con sus criterios específicos.

Para agregar un filtro de captura, haga clic en el campo de entrada sobre las interfaces que se muestran en la ventana de inicio. Puede escribir un filtro, como TDP, o hacer clic en el icono de marcador a la izquierda y elegir de una lista desplegable. Para obtener más opciones, después de hacer clic en el icono de marcador verde, seleccione “administrar filtros de captura”.

Wireshark-capture-filter

Sobre el campo de captura, verá otro campo de entrada que dice “aplicar un filtro de visualización …” donde puede aplicar filtros de visualización de la misma manera que se describe para aplicar filtros de captura.

Wireshark-display-filter

Codificación de colores con Wireshark

Las reglas de color de Wireshark le permiten separar e individualizar aún más los paquetes según su color resaltado. De esa manera, puede identificar ciertos tipos de tráfico o errores de un vistazo. La biblioteca de colores incorporada de Wireshark ofrece unos 20 tonos, todos los cuales se pueden editar, deshabilitar o eliminar..

Puede acceder a las opciones de coloración haciendo clic en “ver” en la barra de herramientas, y luego seleccionando “reglas de coloración”.

Wireshark-colors

La colorización de paquetes se puede deshabilitar haciendo clic en “ver” y alternando la opción “colorear lista de paquetes” en el menú desplegable.

Wireshark-colors2

Visualización de estadísticas de red en Wireshark

Wireshark ofrece una variedad de datos y métricas sobre su red, a los que se puede acceder a través del menú desplegable “estadísticas” en la barra de herramientas. Las métricas incluyen direcciones resueltas, estadísticas de IPv4, estadísticas de IPv6 y otros cuadros y gráficos. También puede usar filtros de visualización allí. Las estadísticas se pueden exportar en diferentes formatos de archivo, como .txt, .csv y .xml, también.

Estadísticas de Wireshark

Pensamientos finales

Wireshark es un analizador de red simple pero versátil y, lo mejor de todo, es gratis. Si bien esta guía tiene como objetivo mostrarle los conceptos básicos, solo hemos comenzado a rascar la superficie de lo que Wireshark puede hacer. Si está buscando dominar Wireshark y codificar sus propios disectores de protocolos, la guía oficial de usuario de Wireshark es la referencia autorizada.

El wiki de Wireshark es otro gran recurso para usar junto con el programa porque tiene tutoriales, capturas de muestra y herramientas y complementos.

Para obtener más software, consulte nuestros mejores antivirus, los mejores administradores de contraseñas y el mejor software de contabilidad. De lo contrario, gracias por leer, y háganos saber en un comentario o tweet si tiene consejos o trucos de Wireshark.

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map