SID3B WireShark Informe Completo Electiva
SID3B WireShark Informe Completo Electiva
SID3B WireShark Informe Completo Electiva
Electiva
Integrantes:
PNF: INFORMATICA
Octubre de 2022
Introducción
Inicialmente más de una vez un administrador de redes ha tenido que enfrentarse alguna vez a
una pérdida del rendimiento de la red que está su cargo, más allá de un tráfico de red constante,
puede volverse problemático el desconocer qué trafica por nuestra red más allá de los intercambios
Generalmente estos tipos de casos se deben a la mala configuración de la red o también puede
ocurrir por ataque de terceros o personas externas, para observar la red, etc.
En cualquiera de estos distintos casos, lo primero que debe hacerse es ver la fuente de este
problema para poder conseguir una correcta protección hacia la red. Lo recomendado es utilizar
En este informe se verá la definición, utilización y demás información importante acerca de este
Cabe destacar que Wireshark tiene como objetivo a ayudar a los administradores y técnicos a
escuchar la red con un analizador de tráfico y repararlo, ya que actualmente siguen siendo uno de
2
Índice
Contenido Pág.
Características…………………………………………………………………………….. 4
Ventajas y desventajas……………………………………………………………………. 5
Cómo funciona…………………………………………………………………………… 6
Requisitos de la herramienta……………………………………………………………... 7
Conclusión………………………………………………………………………………... 21
Referencias Bibliográficas………………………………………………………………... 23
3
¿Qué es?
Wireshark (antes conocido como Ethereal) es un analizador de protocolos utilizado para realizar
y como una herramienta didáctica. Cuenta con todas las características estándar de un analizador
Su autor fue Gerald Combs, Desarrollado por The Wireshark team en un Modelo de desarrollo
de Software libre realizando su Lanzamiento inicial en 1998 con una Licencia GPLv2. Permite
capturada, a través de los detalles y sumarios por cada paquete. Wireshark incluye un completo
lenguaje para filtrar lo que se quiere ver y la habilidad de mostrar el flujo reconstruido de una
sesión de TCP.
compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y macOS, así
Características Wireshark
Permite seguir el rastro a los paquetes TCP stream, podemos ver todo lo relacionado con
objetos.
4
Permite ver estadísticas de los paquetes capturados incluyendo un resumen, jerarquía de
Análisis fácil e informativo mediante resolución de nombres por mac, por red, etc… y re
ensamblaje de paquetes.
Cuenta con una herramienta de líneas de comandos para ejecutar funcionalidades llamada
TShark, similar al terminal de Linux. Entre los comandos más destacados, podemos
Whireshark al ser software analizador red y paquetes robustos, es casi evidente que tiene más
ventajas que desventajas. Es lo que hace que sea un software tan usado y conocido.
Entre sus ventajas más destacadas encontramos que tiene un soporte con mucho personal a cargo
de nuevas funciones, parches y solucionando errores que la comunidad detecta y esto también incluye
su documentación extensa y no muy laboriosa de leer y aplicar, aparte también cuenta con una
comunidad enorme, que ayuda a la mínima de un cambio cuando alguien necesita buscar algo muy
Por otra parte, Captura también todo tipo de paquetes al analizar la red. Muestra errores y
problemas en niveles por debajo del protocolo HTTP. Guardar y restaura los datos empaquetados
Entre sus desventajas, que también las tiene, cabe destacar que al analizar la red no se pueden
modificar datos de los paquetes, solo mediante ficheros de red1. Y su interfaz es poco intuitiva, para
5
¿Cómo funciona?
Wireshark nos posibilita capturar el tráfico de cualquier tarjeta de red, así sea física o virtual,
sencillamente poseemos que tener claro cuál es la tarjeta de red que en la actualidad está en uso, y
de la cual deseamos capturar tráfico de red. Por lo cual sencillamente hacemos doble click sobre
la tarjeta. En la situación de que se quiera usar una tarjeta de red WiFi además se tendráa la
posibilidad de realizarlo sin inconvenientes, todo el tráfico entrante y saliente de la tarjeta WiFi va
a ser capturado por WireShark, empero un detalle bastante fundamental es que WireShark no
pondrá la tarjeta en modo monitor para ver además los paquetes de otros consumidores
inalámbricos, únicamente capturará y mostrará los paquetes propios. Al hacer doble click, de
manera automática empezará a capturar todo el tráfico de red, tanto entrante como saliente.
Algunas recomendaciones ANTES de realizar una captura de tráfico, son las siguientes: 1)
Cerrar todos los programas que generen tráfico de red, el cual no queremos capturar.2) Asegurar
de que el firewall se encuentra desactivado, ya que podría bloquear cierto tráfico y no aparecerá
en Wireshark, o solamente aparecerá parte del tráfico generado. 3) Si se quiere capturar un cierto
tráfico de datos que genere una aplicación, es recomendable esperar 1 segundo antes de iniciarlo
y que capture tráfico de red del equipo, a continuación, ejecutamos esa aplicación, y por último,
cerramos la aplicación y esperamos 1 segundo antes de detener la captura de tráfico. En las capturas
de tráfico, se puede ver tráfico de diferentes protocolos, tanto tráfico del protocolo Spanning-Tree
Protocol de la red, como también tráfico TCP y tráfico TLSv1.2 de diferentes aplicaciones que se
tengan abiertas. Con WireShark se va a poder capturar en detalle todos los paquetes de la conexión
adicional, de esta forma, se podra ordenar fácilmente toda la captura de datos por protocolo,
dirección IP de origen o destino. Con cada ingreso de datos, se tendra la posibilidad de desplegar
6
y ver en detalle todo el paquete de datos, tanto a grado de aplicación, transporte, a grado de red,
enlace y además a grado físico, o sea, Wireshark proporcionará la información por capas, para
descubrir más de forma sencilla la información que nosotros mismos requerimos saber. Por
supuesto, también nos indicará cuáles son los puertos de origen y destino si usamos TCP o UDP,
e incluso se podra ver de manera avanzada los números de secuencia, y si ha habido un RST en la
que nos permite conocer mucha información sobre los paquetes que transcurren por la red. Esto
puede ser de mucho beneficio tanto con fines legales o ilegales. En el caso de los legales, puede
ser una gran herramienta para administradores de redes. Entre las funciones que se pueden
desempeñar con este programa podemos encontrar: 1) Capturar tramas directamente desde la red.
2) Mostrar y filtrar las tramas capturadas. 3) Editar las tramas y transmitirlas por la red.4) Realizar
capturas de tramas usando un equipo remoto.5) Llevar a cabo análisis y estadísticas.6) Filtrar todo
tipo de datos.7) Exportar las capturas en diferentes formatos.8) Seguir flujos, parámetros y
patrones de tráfico.
La cantidad de recursos que necesita Wireshark depende de su entorno y del tamaño del archivo de captura
que está analizando. Los valores que se indican a continuación deberían ser adecuados para archivos de
captura de tamaño pequeño o medio, de no más de unos cientos de MB. Los archivos de captura más grandes
Una red con mucho tráfico puede producir archivos de captura enormes. La captura, incluso en
una red de 100 megabits, puede producir cientos de megabytes de datos de captura en poco tiempo.
Un ordenador con un procesador rápido y mucha memoria y espacio en disco es siempre una buena
7
Aunque Wireshark utiliza un proceso separado para capturar paquetes, el análisis de paquetes
Wireshark debería ser compatible con cualquier versión de Windows que todavía esté dentro
de su vida útil de soporte extendido. En el momento de escribir esto incluye Windows 10, 8.1,
Server 2019, Server 2016, Server 2012 R2 y Server 2012. También requiere lo siguiente:
está activado.
500 MB de RAM disponible. Los archivos de captura más grandes requieren más memoria
RAM.
adicional en el disco.
Las versiones antiguas de Windows que están fuera de la ventana de soporte del ciclo de vida
ampliado de Microsoft ya no reciben soporte. A menudo es difícil o imposible dar soporte a estos
sistemas debido a circunstancias que escapan a nuestro control, como las bibliotecas de terceros
de las que dependemos o debido a características necesarias que solo están presentes en versiones
8
Wireshark es compatible con macOS 10.14 y posteriores. Al igual que en Windows, las
Apple. El hardware Silicón de Apple es compatible de forma nativa a partir de la versión 4.0.
Los requisitos del sistema deben ser comparables a las especificaciones indicadas anteriormente
para Windows.
Linux y la mayoría de las variantes de BSD. Los requisitos del sistema deberían ser comparables
Hay paquetes binarios disponibles para la mayoría de las distribuciones de UNIX y Linux.
Descargar Wireshark
Puede descargar Wireshark para Windows o Mac OS X desde su sitio web oficial. Escoge según
9
Si está utilizando Linux u otro sistema similar a UNIX, probablemente encontrarás Wireshark
en sus repositorios de paquetes. Por ejemplo, si está utilizando Ubuntu, encontrarás Wireshark en
herramientas similares en sus redes. No utilice esta herramienta en el trabajo a menos que tengas
permiso.
Después de descargar e instalar Wireshark, puedes iniciarlo y hacer clic en el nombre de una
interfaz, en Lista de interfaces, para comenzar a capturar paquetes en esa interfaz. Por ejemplo, si
deseas capturar el tráfico en la red inalámbrica, haz doble clic en la interfaz Conexión de red
inalámbrica.
10
Tan pronto como hagas clic en el nombre de la interfaz, verás que los paquetes empiezan a
aparecer en tiempo real. Wireshark captura cada paquete enviado hacia o desde tu sistema. Si estás
haciendo capturas en una interfaz inalámbrica y tienes el modo promiscuo activado en sus opciones
de captura (el cual está habilitado por defecto), también verá los paquetes de los otros paquetes de
la red.
11
Haz clic en el botón detener captura (Botón Rojo cuadrado #2) cerca de la esquina superior
12
Dejamos una pequeña guía de los controles de Wireshark, enumerando desde abajo hacia arriba
del 1 al 15.
Probablemente verá paquetes resaltados en verde, azul y negro. Wireshark utiliza colores para
tráfico TCP, el azul es el tráfico DNS, el azul claro es el tráfico UDP y el negro identifica los
paquetes TCP con problemas; por ejemplo, podrían haber sido entregados dañados.
13
Para ver exactamente lo que significan los códigos de color, haga clic en View> Coloring rules.
También puede personalizar y modificar las reglas de coloración de aquí, si lo desea (solo debe
hacer doble clic sobre alguno de ellos y escoge el color que quiera).
Capturas de ejemplo:
Luego de que haya presionado el botón Detener captura usted puede guardar esa captura para
presiona Guardar.
14
Si no hay nada interesante en tu propia red para inspeccionar, Wireshark te tiene la solución.
La página web de Wireshark contiene una página de archivos de captura que puede cargar e
inspeccionar.
Abrir un archivo de captura es fácil; Simplemente, después de que tengas guardado cualquier
paquete, cierre wireshark y vuélvalo a abrir, aparecerá de inmediato el paquete que capturo
anteriormente, haz doble clic en el archivo y este se abrirá en la pantalla principal de Wireshark
automáticamente, sino también puedes desde el menú de Wireshark File -> Open. También puedes
Si está intentando inspeccionar algo específico, como el tráfico que envía un programa al llamar
a casa, ayude a cerrar todas las demás aplicaciones que utilizan la red para reducir el tráfico. Sin
15
embargo, es probable que tenga una gran cantidad de paquetes para filtrar. Ahí es donde entran los
filtros de Wireshark.
La forma más básica de aplicar un filtro es escribiéndola en el cuadro de filtro en la parte superior
de la ventana y haciendo clic en Aplicar (o presionando Enter). Por ejemplo, escriba dns y verá
sólo paquetes DNS. Cuando comience a escribir, Wireshark te ayudará a completar tu filtro
automáticamente, luego también puedes darle clic en la flecha azul de la imagen de abajo para
16
También puede hacer clic en el menú Analizar y seleccionar Mostrar filtros para crear un nuevo
filtro.
Otra cosa interesante que puedes hacer es hacer clic con el botón derecho del ratón en un paquete
17
Verá la conversación completa entre el cliente y el servidor.
18
Cómo usar Wireshark para analizar paquetes:
Haz clic en un paquete para seleccionarlo y puedes bajar para ver sus detalles.
También puedes crear filtros desde aquí: haz clic derecho en uno de los detalles y usa el
19
Este tutorial de Wireshark sólo toca una parte superficial de lo que puede hacer con esta
poderosa herramienta. Los profesionales lo usan para depurar las implementaciones del protocolo
de red, examinar problemas de seguridad e inspeccionar cómo funcionan los protocolos en redes
privadas.
20
Conclusión:
Puede capturar datos de la red o leer datos almacenados en un archivo (de una captura
previa).
Con ello se concluye que Wireshark es un analizador de paquetes de red, una utilidad que
captura todo tipo de información que pasa a través de una conexión, es gratis y de código abierto,
y se puede usar para diagnosticar problemas de red, efectuar auditorías de seguridad y aprender
más sobre redes informáticas. Permite examinar datos de una red viva o de un archivo de captura
salvado en disco. Se puede analizar la información capturada, a través de los detalles y sumarios
21
por cada paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la
habilidad de mostrar el flujo reconstruido de una sesión de TCP. Wireshark es software libre, y se
ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, incluyendo Linux, Solaris,
22
Referencias Bibliográficas:
https://es.m.wikipedia.org/wiki/Wireshark#:~:text=Wireshark%20(antes%20conocido%2
0como%20Ethereal,y%20como%20una%20herramienta%20did%C3%A1ctica.
2022 de https://openwebinars.net/amp/blog/wireshark-que-es-y-ejemplos-de-uso/
que-es-y-ejemplos-de-uso/
De Luz, S. Redes Zone – Aprende a usar Wireshark para capturar y analizar el tráfico de
cable/wireshark-capturar-analizar-trafico-red/amp/
Septiembre de 2022 de
https://www.wireshark.org/docs/wsug_html_chunked/ChIntroPlatforms.html
COMOFRIKI. Cómo usar Wireshark para capturar, filtrar y analizar paquetes. Recuperado
analizar-paquetes/
23