Tópicos Especiales Wireshark
Tópicos Especiales Wireshark
Tópicos Especiales Wireshark
WireShark
Una herramienta de captura de
paquetes de código abierto
En este trabajo se explorará el uso de Wireshark como herramienta de análisis de redes. Wireshark
es ampliamente utilizado por profesionales de redes y seguridad informática para capturar y
examinar el tráfico de red en tiempo real. A lo largo de este documento, se presentarán ejemplos
prácticos y una guía detallada sobre cómo aprovechar al máximo las capacidades de Wireshark
para solucionar problemas, detectar vulnerabilidades y optimizar el rendimiento de los sistemas de
red.
¿Qué es Wireshark?
ETHEREAL es una herramienta gráfica utilizada por los profesionales y/o administradores de la red
para identificar y analizar el tipo tráfico en un momento determinado. En el argo IT se denominan
analizadores de protocolos de red, analizadores de paquetes, packet sniffer o sniffer. Ethereal
permite analizar los paquetes de datos en una red activa como también desde un archivo de
lectura previamente generado, un caso particular es generar un archivo con TCPDUMP y luego
analizarlo con Ethereal.
A partir del año 2006 Ethereal es conocido como WireShark1 y hoy en día está categorizado como
uno de los TOP 10 como sniffer junto a Nessus y Snort ocupando el segundo lugar entre estos.
Características:
La herramienta es muy fácil de usar. En primer lugar, independientemente del sistema operativo
que tengas, empieza descargando Wireshark desde el sitio web oficial (¡es gratis!).
Ahora, veamos los pasos que debes seguir según tu sistema operativo.
Con homebrew te aseguras de que la instalación de Wireshark se realiza sin problemas. Pero
primero necesitas instalar Homebrew, luego abre la terminal en tu sistema y ejecuta este
comando:
Para empezar, elige las redes que quieres reunir. A continuación, sólo tienes que hacer clic en el
botón similar al logotipo de Wireshark (marcado como "Empezar a capturar paquetes") o ir al
menú de captura y oprimir "Empezar".
Puedes utilizar el botón rojo de la esquina superior izquierda para detener la captura. Para guardar
los paquetes capturados, debes optar por "Archivo" - "Guardar como".
Filtros Wireshark
Hay dos tipos de filtros Wireshark: captura y visualización.
Los filtros de captura de Wireshark impiden que se guarden los paquetes de red. Para utilizarlos,
basta con añadir los filtros en la sección situada justo encima de la lista de conexiones al abrir
Wireshark.
Por ejemplo, puedes usar el filtro para capturar paquetes sólo desde y hacia una dirección
específica IP. En primer lugar, introduce la dirección IP del host de comandos. Por ejemplo:
host 172.18.5.4
La sintaxis de estos filtros es bastante fácil de entender. Si sólo quieres tráfico a través de un puerto
o dirección IP específicos, menciónalos en el filtro de captura. Por ejemplo, para obtener sólo el
tráfico del puerto 53, simplemente escribes puerto 53.
Los filtros de visualización, por su parte, están disponibles para analizar o encontrar los paquetes
más relevantes para ti. Pueden configurarse antes, durante o después de capturar los paquetes. No
se mostrarán. Wireshark te permite añadir estos filtros en el espacio de la parte superior de la
pantalla principal.
Y una vez que hayas detenido la captura de paquetes, es posible filtrar los paquetes yendo a
"Analizar - Mostrar filtros" y eligiendo los filtros:
Codificación por colores de Wireshark
Solución de problemas de red con Wireshark
Wireshark identifica la pérdida de paquetes o en caso de que muchos inundan la red. Por ejemplo,
puedes utilizar el menú Estadísticas para determinar dónde se genera el tráfico más significativo o
anormal.
Por ejemplo, tal vez tus servidores no procesan peticiones legítimas: esto lo puedes identificar con
Wireshark.
Seguridad de la red
Si una herramienta de monitoreo hace sonar una alarma, puedes utilizar Wireshark para confirmar
los problemas de seguridad.
Por ejemplo, una red inundada por repetidas peticiones durante un ataque DOS. El usuario captura
los paquetes de red y utiliza Wireshark para determinar de dónde proceden estas solicitudes.
También es posible usar Wireshark para observar cómo funcionan tus configuraciones de
seguridad después de haberlas ajustado.
Wireshark soporta más de cien protocolos y es capaz de capturar y diseccionar paquetes de red de
cualquiera de estos protocolos.
Interfaz de usuario
En esta captura de pantalla se muestra toda la interfaz de usuario de Wireshark, donde tenemos
los típicos menús de aplicaciones de trabajo como archivo, editar, visualización.
El resto de los menús son herramientas funcionales para el análisis de paquetes y entre otras
opciones.
Así de esta manera la barra de herramientas principal permite el acceso rápido a las funciones más
utilizadas.
La barra de herramientas para filtros, aquí se especifica el filtro que se desea aplicar a los paquetes
que están siendo capturados.
Panel de paquetes capturados nos muestra toda la lista de esos paquetes y al hacer doble click
sobre algunos de estos se despliega cierta información.
Toda la información aparece en este panel de manera detallada mostrando el número, el tiempo,
de donde sale el paquete, a donde viaja, el protocolo que utiliza, su longitud en bytes y su
información.
En esta sección podemos ver a más detalles desde especificaciones de nuestro equipo hasta la de
los paquetes enviados y recibidos.
Al darle doble click podemos ver la información de los paneles inferiores de manera extendida.
Así de esta manera podemos visualizar el rendimiento de una red para poder auditar y monitorear
todo el tráfico que pasa por medio de ella de diferentes dispositivos.
Conclusión