Cómo usar Wireshark para capturar y analizar paquetes de red

Seleccionar dispositivo de captura

Wireshark (anteriormente Ethereal) es un FOSS (software gratuito y de código abierto) para el analizador de protocolos de red. Uno puede usarlo para solucionar problemas de red, analizar protocolos de comunicación como TCP, DNS, HTTP, etc. Hay muchas características que hacen que Wireshark se destaque de muchas de sus contrapartes:

  1. Captura de paquetes en tiempo real y análisis fuera de línea.
  2. Detalles del paquete en un formato legible por humanos.
  3. Reglas de coloración para paquetes.

¬ŅQu√© cubriremos?

En esta gu√≠a, aprenderemos ¬ęC√≥mo usar Wireshark para capturar y analizar paquetes¬Ľ. Estamos utilizando Kali Linux como sistema operativo base para esta gu√≠a. Comencemos ahora.

Captura de paquetes con Wireshark

Después de iniciar Wireshark, verá una lista de dispositivos desde los que capturar paquetes.

Seleccionar dispositivo de captura
Seleccione un dispositivo para comenzar a capturar paquetes haciendo doble clic en su nombre. Seleccionemos la interfaz ‘eth01’ en nuestro caso. Como puede ver despu√©s de seleccionar el dispositivo, algunos paquetes comienzan a aparecer en la pantalla.

Paquetes iniciales de 'eth0'
En modo promiscuo, Wireshark tambi√©n mostrar√° paquetes distintos a los dirigidos a nuestra interfaz de red. Este modo viene habilitado de forma predeterminada, de lo contrario, puede ir a ‘Capturar> Opciones’ y marcar la casilla de verificaci√≥n ¬ęHabilitar el modo promiscuo en todas las interfaces¬Ľ (en la parte inferior de la ventana).

Habilitación del modo promiscuo
Para dejar de capturar el tr√°fico, presione el icono del cuadrado rojo en la parte superior izquierda de la ventana. Si desea inspeccionar sus capturas m√°s tarde, simplemente puede guardarlas haciendo clic en ‘Archivo> Guardar’. Del mismo modo, puede descargar archivos de captura y abrirlos para inspeccionarlos haciendo clic en ‘Archivo > Abrir’. Localice su archivo y √°bralo.

Codificación de colores de Wireshark

Wireshark usa diferentes esquemas de color para indicar diferentes tipos de tr√°fico. Por ejemplo, el color azul claro se usa para UDP, el violeta para TCP y el negro para paquetes con errores. Para ver el significado y modificar estos colores, vaya a ‘Ver > Reglas de coloraci√≥n’.

Filtrado de paquetes con Wireshark

Wireshark tiene una funci√≥n de filtrado para filtrar el tr√°fico espec√≠fico de su inter√©s. La forma m√°s f√°cil de usar esta funci√≥n es usar la barra de b√ļsqueda ubicada al principio de la lista de paquetes o la tabla que muestra el resumen del tr√°fico como se muestra a continuaci√≥n. Por ejemplo, si desea filtrar el tr√°fico ‘TCP’, ingrese TCP en la barra de b√ļsqueda. Veremos este proceso m√°s adelante en este tutorial.

Wireshark tambi√©n incluye filtros predeterminados en la secci√≥n ‘Analizar > Mostrar filtros’. Puede elegir uno desde aqu√≠ y tambi√©n puede guardar sus filtros personalizados aqu√≠ para el futuro.

Aplicar filtros de visualización
Adem√°s de filtrar el tr√°fico, tambi√©n puede ver las conversaciones TCP completas entre el cliente y el servidor. Para esto, haga clic derecho en un paquete y presione la opci√≥n ‘Seguir> Flujo TCP’. Cuando cierre esta ventana, aparecer√° autom√°ticamente un filtro en la barra de b√ļsqueda de filtros.

Inspección de paquetes con Wireshark

En la tabla que muestra el resumen del tr√°fico, haga clic en un paquete para ver sus diversos detalles. Esta es otra forma de crear un filtro personalizado. Cuando haga clic con el bot√≥n derecho en cualquier detalle, ver√° la opci√≥n ‘Aplicar como filtro’ y su submen√ļ. Seleccione cualquier submen√ļ para crear ese filtro:

Creación de filtros personalizados 1

Prueba de manejo de Wireshark

Tomemos ahora un ejemplo pr√°ctico para capturar e inspeccionar el tr√°fico en una interfaz de red usando Wireshark. En nuestro caso, hemos instalado Wireshark en Kali Linux y estamos interactuando con la interfaz ethernet ‘eth0’. Ahora haz los siguientes pasos:

1. Después de iniciar Wireshark, seleccione la interfaz de la lista de dispositivos en la página de inicio. Haga clic en el icono azul en la barra superior izquierda o haga doble clic en el nombre de la interfaz para iniciar la captura.

2. Ahora inicie un navegador web y abra una p√°gina web como ‘www.howtoforge.com’. Una vez que se carga la p√°gina, detenga la captura presionando el icono rojo cerca del bot√≥n de inicio.

3. La ventana de captura ahora tiene todos los paquetes que se transfirieron desde y hacia su sistema. Los diferentes tipos de tráfico se muestran en diferentes códigos de color como azul, negro, amarillo claro, etc.

Ventana de captura para 'eth0' después de abrir una página web

4. Si está buscando paquetes de un protocolo específico como TCP, use la barra de filtro para filtrar esas conexiones. Hay muchos procesos en segundo plano que se ejecutan en un sistema que utiliza el acceso a la red y, por lo tanto, intercambia paquetes con una red externa. Podemos filtrar los paquetes que están destinados a nuestro sistema utilizando la función de filtrado de Wireshark. Por ejemplo, para filtrar los paquetes TCP destinados a nuestro sistema, utilice el filtro:Publicidad

ip.dst == ‘su_sistema_ip’ && tcp

Uso de la función de filtrado de Wireshark
Reemplace la etiqueta ‘your_system_ip’ con la IP de su sistema. En nuestro caso es 192.168.18.161. Veamos ahora el contenido de estos paquetes, haga clic con el bot√≥n derecho en cualquier paquete y, desde la lista de opciones, vaya a: ‘Seguir -> Seguir flujo TCP’. Una nueva ventana deber√≠a verse similar a la ventana que se muestra a continuaci√≥n:

buscando en el contenido de un paquete usando la opción Seguir flujo TCP
Si no puede usar Wireshark para la conexión de red en tiempo real, también puede usar un archivo de seguimiento de paquetes descargado.

Conclusión

Wireshark es una herramienta muy importante para analizar lo que sucede en su red. Tiene una amplia aceptación entre varios sectores de TI, como agencias gubernamentales, organizaciones comerciales e instituciones educativas. Al solucionar problemas de red, la inspección de paquetes es un paso muy importante y Wireshark juega un papel vital aquí. Se ha convertido en un estándar de la industria para analizar el tráfico de red.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *