Wireshark, una herramienta de análisis de red antes conocida como Ethereal, captura paquetes en tiempo real y los muestra en un formato legible por humanos. Wireshark incluye filtros, codificación de colores y otras características que le permiten profundizar en el tráfico de la red e inspeccionar paquetes individuales.
Este tutorial lo familiarizará con los conceptos básicos de la captura, el filtrado y la inspección de paquetes. Puede utilizar Wireshark para inspeccionar el tráfico de la red en busca de un programa sospechoso, analizar el flujo de tráfico en su red o solucionar problemas de la red.
Obtener Wireshark
Puede descargar Wireshark para Windows o macOS desde su sitio web oficial. Si está utilizando Linux u otro sistema similar a UNIX, probablemente encontrará Wireshark en sus repositorios de paquetes. Por ejemplo, si está utilizando Ubuntu, encontrará Wireshark en el Centro de software de Ubuntu.
Solo una pequeña advertencia: muchas organizaciones no permiten Wireshark y herramientas similares en sus redes. No use esta herramienta en el trabajo a menos que tenga permiso.
Captura de paquetes
Después de descargar e instalar Wireshark, puede iniciarlo y hacer doble clic en el nombre de una interfaz de red en Capturar para comenzar a capturar paquetes en esa interfaz. Por ejemplo, si desea capturar el tráfico en su red inalámbrica, haga clic en su interfaz inalámbrica. Puede configurar funciones avanzadas haciendo clic en Capturar> Opciones, pero esto no es necesario en este momento.
Tan pronto como haga clic en el nombre de la interfaz, verá que los paquetes comienzan a aparecer en tiempo real. Wireshark captura todos los paquetes enviados hacia o desde su sistema.
Si ha habilitado el modo promiscuo (está habilitado de forma predeterminada), también verá todos los demás paquetes en la red en lugar de solo los paquetes dirigidos a su adaptador de red. Para comprobar si el modo promiscuo está habilitado, haga clic en Capturar> Opciones y verifique que la casilla «Habilitar el modo promiscuo en todas las interfaces» esté marcada en la parte inferior de esta ventana.
Haga clic en el botón rojo «Detener» cerca de la esquina superior izquierda de la ventana cuando desee detener la captura de tráfico.
Codigo de color
Probablemente verá paquetes resaltados en una variedad de colores diferentes. Wireshark utiliza colores para ayudarlo a identificar los tipos de tráfico de un vistazo. De forma predeterminada, el violeta claro es el tráfico de TCP, el azul claro es el tráfico de UDP y el negro identifica los paquetes con errores, por ejemplo, es posible que se hayan entregado fuera de servicio.
Para ver exactamente lo que significan los códigos de color, haga clic en Ver> Reglas de colores. También puede personalizar y cambiar las reglas de coloración desde aquí, si lo desea.
Ejemplos de capturas
Si no hay nada interesante que inspeccionar en su propia red, la wiki de Wireshark lo tiene cubierto. La wiki contiene un página de archivos de captura de muestra que puede cargar e inspeccionar. Haga clic en Archivo> Abrir en Wireshark y busque el archivo descargado para abrir uno.
También puede guardar sus propias capturas en Wireshark y abrirlas más tarde. Haga clic en Archivo> Guardar para guardar sus paquetes capturados.
Filtrado de paquetes
Si está tratando de inspeccionar algo específico, como el tráfico que envía un programa cuando llama a casa, ayuda a cerrar todas las demás aplicaciones que utilizan la red para que pueda reducir el tráfico. Aún así, es probable que tenga que examinar una gran cantidad de paquetes. Aquí es donde entran los filtros Wireshark.
La forma más sencilla de aplicar un filtro es escribirlo en el cuadro de filtro en la parte superior de la ventana y hacer clic en Aplicar (o presionar Entrar). Por ejemplo, escriba «DNS» y solo verá los paquetes DNS. Cuando comience a escribir, Wireshark lo ayudará a completar automáticamente su filtro.
También puede hacer clic en Analizar> Mostrar filtros para elegir un filtro de los filtros predeterminados incluidos en Wireshark. Desde allí, puede agregar sus propios filtros personalizados y guardarlos para acceder fácilmente en el futuro.
Para obtener más información sobre el idioma de filtrado de pantalla de Wireshark, lea el Crear expresiones de filtro de visualización página en la documentación oficial de Wireshark.
Otra cosa interesante que puede hacer es hacer clic derecho en un paquete y seleccionar Track> TCP Streams.
Verá la conversación TCP completa entre el cliente y el servidor. También puede hacer clic en otros protocolos en el menú Seguimiento para ver las conversaciones completas para otros protocolos, si corresponde.
Cierre la ventana y verá que se ha aplicado un filtro automáticamente. Wireshark te muestra los paquetes que componen la conversación.
Inspección de paquetes
Haga clic en un paquete para seleccionarlo y podrá excavar para ver sus detalles.
También puede crear filtros desde aquí: simplemente haga clic con el botón derecho en cualquiera de los detalles y use el submenú Aplicar como filtro para crear un filtro basado en él.
Wireshark es una herramienta extremadamente poderosa, y este tutorial solo rasca la superficie de lo que puede hacer con él. Los profesionales lo utilizan para depurar implementaciones de protocolos de red, investigar problemas de seguridad e inspeccionar componentes de protocolos de red internos.
Puedes encontrar información más detallada en el oficial Guía del usuario de Wireshark y el otras páginas de documentación en el sitio web de Wireshark.