Introducción
Wireshark es un analizador de protocolos open-source, se suele utilizar para realizar análisis en redes de comunicaciones y solucionar posibles problemas, wireshark incluye un completo lenguaje para filtrar lo que deseamos ver. Se le conocía antes como Etherel. Es una aplicación didáctica para el estudio de las comunicaciones. Wireshark se ejecuta sobre la mayoría de sistemas operativos Unix y también en Windows.
Instalación
Si queremos instalar wireshark en Windows, tendremos que descargarlo desde aquí:
Si queremos instalarlo en Ubuntu abriremos la terminal y escribiremos:
sudo add-apt-repository ppa:wireshark-dev/stable sudo apt-get update sudo apt-get install wireshark sudo wireshark
Si queremos desinstalarlo:
sudo apt-get remove --autoremove wireshark*
Capturar paquetes con Wireshark
Cuando iniciemos wireshark tendremos que seleccionar la interfaz con que queremos capturar los paquetes.
En mi caso voy a elegir “Ethernet”. Cuando hagamos doble-clic sobre la interfaz, veremos como comienza a capturar paquetes.
También podemos comenzar a capturar paquetes dándole al símbolo azul de arriba a la izquierda o mediante el atajo de teclado Ctrl + e.
Si hacemos Clic en el botón rojo (que está en la esquina superior izquierda) detendremos la captura de tráfico. También con el atajo de teclado Ctrl + e.
Estructura de Wireshark
Wireshark está organizado en 4 bloques o partes.
Parte 1, es la parte en la que definimos los filtros, esto nos va a permitir visualizar solo aquellos paquetes o protocolos que deseamos.
Parte 2, en esta parte es donde visualizamos todos los paquetes que se están capturando en tiempo real. En ciertas ocasiones, saber comprender de una manera correcta la información que esta parte nos proporciona (números de secuencia, marcas de tiempo, puertos…) nos puede permitir deducir el problema.
Parte 3, nos permite separar por capas todas las cabeceras de los paquetes que seleccionamos en la parte 2.
Parte 4, en esta parte veremos en formato hexadecimal el paquete en crudo (raw) tal y como fue capturado, sin ningún tipo de decodificación.
Lista de paquetes
El panel de lista de paquetes, ubicado en la parte superior de la ventana, muestra todos los paquetes que se encuentran en el archivo de captura activo. Cada paquete tiene su propia fila y el número correspondiente asignado, junto con cada paquete encontramos:
Tiempo: En esta columna se muestra la marca de tiempo de cuando el paquete fue capturado. El formato predeterminado es el número de segundos desde que se creó este archivo de captura. Para modificar este formato a algo que puede ser un poco más útil, como la hora real del día, seleccione la opción Formato de visualización de la hora en el menú Ver de Wireshark ubicado en la parte superior de la interfaz principal.
Fuente: Esta columna contiene la dirección (IP u otra) donde se originó el paquete.
Destino: Esta columna contiene la dirección a la que se está enviando el paquete.
Protocolo: El nombre del protocolo del paquete, como TCP, UDP, SSDP…
Longitud: En esta columna se muestra la longitud del paquete, en bytes
Info: Aquí se muestran detalles e información adicional sobre el paquete. El contenido de esta columna puede variar mucho dependiendo del contenido del paquete.
Detalles de los paquetes
El panel de detalles, que se encuentra en el centro, en la parte 3 que os marqué con colores, aquí se muestran los protocolos y los campos de protocolo del paquete seleccionado además se pueden aplicar filtros y seguir flujos de datos basados en el tipo de protocolo a través del menú contextual de detalles, al que se puede acceder haciendo clic con el botón derecho del ratón en el elemento deseado de este panel.
En la parte inferior (la parte 4) se encuentra el panel de bytes de paquete, que muestra los datos brutos del paquete seleccionado en una vista hexadecimal. Este volcado hexadecimal contiene 16 bytes hexadecimales y 16 bytes ASCII junto con el desplazamiento de datos.
Al seleccionar una parte específica de estos datos, se resalta automáticamente su sección correspondiente en el panel de detalles del paquete y viceversa. Los bytes que no se pueden imprimir se representan con un punto.
Puede elegir mostrar estos datos en formato de bits en lugar de en formato hexadecimal haciendo clic con el botón derecho en cualquier parte del panel y seleccionando la opción apropiada del menú contextual.
Filtros en Wireshark
Una de las características más importantes de Wireshark es la capacidad que tiene de filtrado, sobre todo cuando se trata de archivos de tamaño significativo. Los filtros de captura te permiten que Wireshark solo registre los paquetes que cumplen con los requisitos especificados.
Los filtros también se pueden aplicar a un archivo de captura que ya ha sido creado para que sólo se muestren ciertos paquetes. Estos se denominan filtros de visualización.
Wireshark proporciona un gran número de filtros predefinidos por defecto, permitiendo reducir el número de paquetes visibles con sólo unas pocas pulsaciones de teclas o clics del ratón. Para utilizar uno de estos filtros existentes, solo tenemos que colocar el nombre en la parte 1.
Si ya conocemos el nombre del filtro, tenemos que escribirlo en la parte 1. Por ejemplo, si sólo deseamos mostrar paquetes TCP, escribimos tcp. La función de auto completado de Wireshark muestra los nombres sugeridos a medida que empiezas a escribir, haciendo más fácil encontrar el nombre correcto para el filtro que estás buscando.
Otra forma de elegir un filtro es hacer clic en el icono de marcador situado a la izquierda del campo de entrada. Esto presenta un menú que contiene algunos de los filtros más utilizados
Así como una opción para Administrar filtros de captura o Administrar filtros de visualización. Si elige administrar cualquiera de los dos tipos, aparece una interfaz que le permite agregar, quitar o editar filtros.
También puede acceder a los filtros utilizados anteriormente seleccionando la flecha hacia abajo en el lado derecho del campo de entrada para mostrar una lista desplegable de historial.
Mientras que los filtros de captura y visualización de Wireshark nos permiten limitar qué paquetes se graban o se muestran en la pantalla, la funcionalidad de coloración lleva las cosas un paso más allá al facilitar la distinción entre diferentes tipos de paquetes en función de su color. Esta característica nos va a permitir localizar rápidamente ciertos paquetes.
Wireshark viene con unas 20 reglas de coloración incorporadas por defecto, cada una de las cuales puede ser editada, desactivada o eliminada si lo desea. También se pueden añadir nuevos filtros a través de la interfaz de reglas de coloración, accesible desde el menú Ver. Además de definir un nombre y criterios de filtro para cada regla, también te pide que asocies un color de fondo y un color de texto.
La coloración de paquetes se puede activar y desactivar a través de la opción Colorear lista de paquetes, que también se encuentra en el menú Ver.
Conclusión
Bueno, con esto terminamos una pequeña introducción a Wireshark, ya veis que es un programa muy potente, el cual nos permite tener un control absoluto sobre el tráfico que hay en nuestra red. En próximos post, veremos opciones más avanzadas de Wireshark.
Un saludo
DiegoAltF4
Inicio
Saludos. Me encanto este tutorial y queria saber si aun estas haciendo otra parte. Hay un documento en linea de Javier Matanza y no entiendo nada de lo que esta preguntando. Se que el programa no es una herramienta simple para usar aunque si se pudoera explicar con calma sin aburrir a uno, seria ideal. Gracias por tu tiempo.
Muchas gracias por tu comentario Roman. Me alegro que le haya gustado el artículo. Tengo en mente hacer una segunda parte.
Un saludo
DiegoAltF4
bookmarked!!, I love your blog!