Cómo usar Wireshark: un tutorial completo

Tabla de contenido:

Cómo usar Wireshark: un tutorial completo
Cómo usar Wireshark: un tutorial completo
Anonim

Qué saber

  • Wireshark es una aplicación de código abierto que captura y muestra datos que viajan de un lado a otro en una red.
  • Debido a que puede profundizar y leer el contenido de cada paquete, se utiliza para solucionar problemas de red y probar el software.

Las instrucciones de este artículo se aplican a Wireshark 3.0.3 para Windows y Mac.

Conclusión

Conocido originalmente como Ethereal, Wireshark muestra datos de cientos de protocolos diferentes en todos los tipos de redes principales. Los paquetes de datos se pueden ver en tiempo real o analizar sin conexión. Wireshark admite docenas de formatos de archivo de captura/rastreo, incluidos CAP y ERF. Las herramientas de descifrado integradas muestran los paquetes cifrados para varios protocolos comunes, incluidos WEP y WPA/WPA2.

Cómo descargar e instalar Wireshark

Wireshark se puede descargar sin costo desde el sitio web de la Fundación Wireshark para macOS y Windows. Verá la versión estable más reciente y la versión de desarrollo actual. A menos que sea un usuario avanzado, descargue la versión estable.

Image
Image

Durante el proceso de configuración de Windows, elija instalar WinPcap o Npcap si se le solicita, ya que incluyen bibliotecas necesarias para la captura de datos en vivo.

Image
Image

Debe iniciar sesión en el dispositivo como administrador para usar Wireshark. En Windows 10, busque Wireshark y seleccione Ejecutar como administrador En macOS, haga clic con el botón derecho en el icono de la aplicación y seleccione Obtener informaciónEn la configuración de Compartir y permisos, otorgue al administrador Lectura y escritura privilegios.

Image
Image

La aplicación también está disponible para Linux y otras plataformas similares a UNIX, incluidas Red Hat, Solaris y FreeBSD. Los archivos binarios necesarios para estos sistemas operativos se pueden encontrar en la parte inferior de la página de descarga de Wireshark en la sección Third-Party Packages. También puede descargar el código fuente de Wireshark desde esta página.

Cómo capturar paquetes de datos con Wireshark

Cuando inicia Wireshark, una pantalla de bienvenida enumera las conexiones de red disponibles en su dispositivo actual. A la derecha de cada uno se muestra un gráfico de líneas de estilo EKG que representa el tráfico en vivo en esa red.

Para comenzar a capturar paquetes con Wireshark:

  1. Seleccione una o más redes, vaya a la barra de menú, luego seleccione Capturar.

    Para seleccionar varias redes, mantenga presionada la tecla Shift mientras realiza su selección.

    Image
    Image
  2. En la ventana Wireshark Capture Interfaces, seleccione Iniciar.

    Hay otras formas de iniciar la captura de paquetes. Seleccione la aleta de tiburón en el lado izquierdo de la barra de herramientas de Wireshark, presione Ctrl+E o haga doble clic en la red.

    Image
    Image
  3. Seleccione Archivo > Guardar como o elija una opción Exportar para grabar la captura.

    Image
    Image
  4. Para detener la captura, presione Ctrl+E. O vaya a la barra de herramientas de Wireshark y seleccione el botón rojo Stop que se encuentra junto a la aleta de tiburón.

    Image
    Image

Cómo ver y analizar el contenido de los paquetes

La interfaz de datos capturados contiene tres secciones principales:

  • El panel de la lista de paquetes (la sección superior)
  • El panel de detalles del paquete (la sección central)
  • El panel de bytes del paquete (la sección inferior)
Image
Image

Lista de paquetes

El panel de la lista de paquetes, ubicado en la parte superior de la ventana, muestra todos los paquetes encontrados en el archivo de captura activo. Cada paquete tiene su propia fila y el número correspondiente asignado, junto con cada uno de estos puntos de datos:

  • No: Este campo indica qué paquetes forman parte de la misma conversación. Permanece en blanco hasta que seleccione un paquete.
  • Tiempo: La marca de tiempo de cuando se capturó el paquete se muestra en esta columna. El formato predeterminado es el número de segundos o segundos parciales desde que se creó por primera vez este archivo de captura específico.
  • Fuente: Esta columna contiene la dirección (IP u otra) donde se originó el paquete.
  • Destino: Esta columna contiene la dirección a la que se envía el paquete.
  • Protocolo: El nombre del protocolo del paquete, como TCP, se puede encontrar en esta columna.
  • Longitud: La longitud del paquete, en bytes, se muestra en esta columna.
  • Info: Aquí se presentan detalles adicionales sobre el paquete. El contenido de esta columna puede variar mucho según el contenido del paquete.

Para cambiar el formato de la hora a algo más útil (como la hora real del día), seleccione Ver > Formato de visualización de la hora.

Image
Image

Cuando se selecciona un paquete en el panel superior, es posible que observe que aparecen uno o más símbolos en la columna Núm.. Los corchetes abiertos o cerrados y una línea recta horizontal indican si un paquete o grupo de paquetes son parte de la misma conversación de ida y vuelta en la red. Una línea horizontal discontinua significa que un paquete no forma parte de la conversación.

Image
Image

Detalles del paquete

El panel de detalles, que se encuentra en el medio, presenta los protocolos y los campos de protocolo del paquete seleccionado en un formato plegable. Además de expandir cada selección, puede aplicar filtros individuales de Wireshark según detalles específicos y seguir flujos de datos según el tipo de protocolo haciendo clic con el botón derecho en el elemento deseado.

Image
Image

Bytes de paquetes

En la parte inferior está el panel de bytes del paquete, que muestra los datos sin procesar del paquete seleccionado en una vista hexadecimal. Este volcado hexadecimal contiene 16 bytes hexadecimales y 16 bytes ASCII junto con el desplazamiento de datos.

Al seleccionar una parte específica de estos datos, se res alta automáticamente su sección correspondiente en el panel de detalles del paquete y viceversa. Los bytes que no se pueden imprimir se representan con un punto.

Image
Image

Para mostrar estos datos en formato de bits en lugar de hexadecimal, haga clic derecho en cualquier lugar dentro del panel y seleccione como bits.

Image
Image

Cómo utilizar los filtros Wireshark

Los filtros de captura indican a Wireshark que solo registre paquetes que cumplan con los criterios especificados. Los filtros también se pueden aplicar a un archivo de captura que se ha creado para que solo se muestren ciertos paquetes. Estos se denominan filtros de visualización.

Wireshark proporciona una gran cantidad de filtros predefinidos de forma predeterminada. Para usar uno de estos filtros existentes, ingrese su nombre en el campo de entrada Aplicar un filtro de visualización ubicado debajo de la barra de herramientas de Wireshark o en Ingrese un filtro de capturacampo ubicado en el centro de la pantalla de bienvenida.

Por ejemplo, si desea mostrar los paquetes TCP, escriba tcp. La función de autocompletar de Wireshark muestra nombres sugeridos a medida que comienza a escribir, lo que facilita encontrar el nombre correcto para el filtro que está buscando.

Image
Image

Otra forma de elegir un filtro es seleccionar el marcador en el lado izquierdo del campo de entrada. Elija Administrar expresiones de filtro o Administrar filtros de visualización para agregar, eliminar o editar filtros.

Image
Image

También puede acceder a los filtros utilizados anteriormente seleccionando la flecha hacia abajo en el lado derecho del campo de entrada para mostrar una lista desplegable del historial.

Image
Image

Los filtros de captura se aplican tan pronto como comienza a registrar el tráfico de la red. Para aplicar un filtro de visualización, seleccione la flecha derecha en el lado derecho del campo de entrada.

Reglas de color de Wireshark

Si bien los filtros de captura y visualización de Wireshark limitan los paquetes que se graban o muestran en la pantalla, su función de colorización va un paso más allá: puede distinguir entre diferentes tipos de paquetes en función de su tono individual. Esto localiza rápidamente ciertos paquetes dentro de un conjunto guardado por su color de fila en el panel de la lista de paquetes.

Image
Image

Wireshark viene con unas 20 reglas de coloreo predeterminadas, cada una de las cuales se puede editar, deshabilitar o eliminar. Seleccione Ver > Reglas para colorear para obtener una descripción general de lo que significa cada color. También puede agregar sus propios filtros basados en colores.

Image
Image

Seleccione Ver > Colorear lista de paquetes para activar y desactivar la coloración de paquetes.

Estadísticas en Wireshark

Otras métricas útiles están disponibles a través del menú desplegable Estadísticas. Estos incluyen información de tamaño y tiempo sobre el archivo de captura, junto con docenas de tablas y gráficos que varían en temas desde desgloses de conversaciones de paquetes hasta distribución de carga de solicitudes

Image
Image

Los filtros de visualización se pueden aplicar a muchas de estas estadísticas a través de sus interfaces, y los resultados se pueden exportar a formatos de archivo comunes, incluidos CSV, XML y TXT.

Funciones avanzadas de Wireshark

Wireshark también admite funciones avanzadas, incluida la capacidad de escribir disectores de protocolo en el lenguaje de programación Lua.

Recomendado: