Cómo usar Wireshark [Tutorial]

¿Qué hace Wireshark??

En los últimos años, Wireshark ha desarrollado una reputación como Uno de los analizadores de red más confiables disponibles en el mercado. Los usuarios de todo el mundo han estado utilizando esta aplicación de código abierto como una herramienta de análisis de red completa. A través de Wireshark, los usuarios pueden solucionar problemas de red, examinar problemas de seguridad, depurar protocolos y aprender procesos de red.

En este tutorial, descubrirá cómo funciona Wireshark. Le guiaremos a través de los pasos para localizar el programa Wireshark e instalarlo en su computadora. Descubrirá cómo iniciar una captura de paquetes y qué información puede esperar obtener de ella. El tutorial de Wireshark también le mostrará cómo aprovechar al máximo las funciones de manipulación de datos dentro de la interfaz. También aprenderá cómo puede obtener mejores funciones de análisis de datos que las que son nativas de Wireshark.

Cómo usar Wireshark

Como se mencionó anteriormente, Wireshark es una herramienta de análisis de red. En esencia, Wireshark fue diseñado para desglosar los paquetes de datos que se transfieren a través de diferentes redes. El usuario puede buscar y filtrar paquetes de datos específicos y analizar cómo se transfieren a través de su red. Estos paquetes se pueden usar para el análisis en tiempo real o sin conexión.

El usuario puede usar esta información para generar estadísticas y gráficos. Wireshark se conocía originalmente como Ethereal, pero desde entonces se ha establecido como una de las herramientas clave de análisis de redes en el mercado. Esta es la herramienta de acceso para usuarios que desean ver datos generados por diferentes redes y protocolos.

Wireshark es adecuado para usuarios novatos y expertos por igual. La interfaz de usuario es increíblemente simple de usar una vez que aprende los pasos iniciales para capturar paquetes. Los usuarios más avanzados también pueden usar las herramientas de descifrado de la plataforma para desglosar los paquetes cifrados..

Características principales de Wireshark

A continuación se muestra un desglose de las características principales de Wireshark:

•  Capture datos de paquetes en vivo
•  Importar paquetes desde archivos de texto
•  Ver información de paquetes de datos y protocolos
•  Guardar datos de paquetes capturados
•  Mostrar paquetes
•  Filtrar paquetes
•  Buscar paquetes
•  Colorear paquetes
•  Generar estadísticas

La mayoría de los usuarios usan Wireshark para detectar problemas de red y probar su software. Como proyecto de código abierto, Wireshark es mantenido por un equipo único que mantiene altos los estándares de servicio. En esta guía, desglosamos cómo usar Wireshark. Puede encontrar más información en la guía de usuario oficial de Wireshark.

Cómo descargar e instalar Wireshark

Antes de usar Wireshark, lo primero que debe hacer es descargar e instalar. Puede descargar Wireshark de forma gratuita desde el sitio web de la empresa. Para tener la experiencia de carrera más fluida, se recomienda que descargue la última versión disponible en su plataforma desde la sección “versión estable”.

Instalar en Windows

Una vez que haya descargado el programa, puede comenzar el proceso de configuración. Durante la instalación, se le puede solicitar que instale WinPcap. Es importante instalar WinPcap, ya que sin él no podrá capturar el tráfico de red en vivo. Sin WinPcap, solo podrá abrir archivos de captura guardados. Para instalar, simplemente verifique Instalar WinPcap caja.

Instalar en Mac

Para instalar Wireshark en Mac, primero debe descargar un instalador. Para hacer esto, descargue un instalador como exquartz. Una vez que hayas hecho esto, abre la Terminal e ingresa el siguiente comando:

<% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>

Luego espera a que comience Wireshark.

Instalar en Unix

Para ejecutar Wireshark en Unix, primero necesita instalar un par de otras herramientas en su sistema. Estos son:

• GTK+, El kit de herramientas GIMP y Glib, ambos de la misma fuente.
• También necesitarás Fácil. Puede familiarizarse con ambas herramientas en https://www.gtk.org/
• libpcap, que obtienes de http://www.tcpdump.org/.

Después de instalar el software de soporte anterior y descargar el software para Wireshark, debe extraerlo del archivo tar.

gzip -d wireshark-1.2-tar.gz
tar xvf wireshark-1.2-tar

Cambie al directorio Wireshark y luego emita los siguientes comandos:

./ configurar
hacer
hacer instalar

Ahora puede ejecutar el programa Wireshark en su computadora Unix.

Cómo capturar paquetes de datos

Una de las funciones principales de Wireshark como herramienta de análisis de red es capturar paquetes de datos. Aprender a configurar Wireshark para capturar paquetes es esencial para realizar un análisis detallado de la red. Sin embargo, es importante tener en cuenta que puede ser difícil capturar paquetes cuando eres nuevo en Wireshark. Antes de comenzar a capturar paquetes, hay tres cosas que debe hacer:

1. Asegúrese de tener los privilegios administrativos. para iniciar una captura en vivo en su dispositivo
2. Elija la interfaz de red correcta para capturar datos de paquetes de
3. Capturar de paquetes de datos desde la ubicación correcta en tu red

Una vez que haya hecho estas tres cosas, estará listo para comenzar el proceso de captura. Cuando utiliza Wireshark para capturar paquetes, se muestran en un formato legible para que el usuario pueda leerlos. Tú también puedes descomponga los paquetes con filtros y códigos de colores si deseas ver información más específica.

Cuando abra Wireshark por primera vez, se encontrará con la siguiente pantalla de inicio:

Lo primero que debe hacer es mirar las interfaces disponibles para capturar. Para hacer esto, seleccione Capturar > Opciones. El cuadro de diálogo “Interfaces de captura” se abrirá como se muestra a continuación:

Marque la casilla de la interfaz que desea capturar y presione el comienzo botón para comenzar. Puede seleccionar múltiples interfaces si desea capturar datos de múltiples fuentes simultáneamente.

En Unix o Linux, el cuadro de diálogo se muestra en un estilo similar al siguiente:

También puede iniciar Wireshark utilizando la siguiente línea de comando:

<¢ wireshark -i eth0 —k>

También puedes usar el botón de aleta de tiburón en la barra de herramientas como acceso directo para iniciar la captura de paquetes. Una vez que haga clic en este botón, Wireshark comenzará el proceso de captura en vivo.

Si desea detener la captura, haga clic en el botón rojo. detener botón al lado de la aleta de tiburón.

Modo promiscuo

Si desea desarrollar una vista general de sus transferencias de paquetes de red, debe activar el “modo promiscuo”. El modo promiscuo es un modo de interfaz donde Wireshark detalla cada paquete que ve. Cuando este modo está desactivado, pierde transparencia sobre su red y solo desarrolla una instantánea limitada de su red (esto hace que sea más difícil realizar cualquier análisis).

Para activar el modo promiscuo, haga clic en el Opciones de captura cuadro de diálogo y haga clic modo promiscuo. En teoría, esto debería mostrarle todo el tráfico activo en su red. El cuadro de modo promiscuo se muestra a continuación:

Sin embargo, esto a menudo no es el caso. Muchas interfaces de red son resistentes al modo promiscuo, por lo que debe consultar el sitio web de Wireshark para obtener información sobre su hardware específico.

En Windows, es útil abrir Administrador de dispositivos y verifique si tiene sus ajustes configurados para rechazar el modo promiscuo. Por ejemplo:

(Simplemente haga clic en la red y luego asegúrese de que su configuración de modo promiscuo esté establecida en Permitir todo).

Si tiene su configuración configurada para “rechazar” el modo promiscuo, entonces limitará la cantidad de paquetes que captura Wireshark. Por lo tanto, incluso si tiene habilitado el modo promiscuo en Wireshark, verifique su Administrador de dispositivos para asegurarse de que su interfaz no bloquee la entrada de datos. Tomarse el tiempo para verificar a través de su infraestructura de red asegurará que Wireshark reciba todos los paquetes de datos necesarios.

Cómo analizar paquetes capturados

Una vez que haya capturado los datos de su red, querrá ver sus paquetes capturados. En la captura de pantalla a continuación, verá tres paneles, el lista de paquetes panel, el bytes de paquete panel y el detalles del paquete cristal.

Si desea más información, puede hacer clic en cualquiera de los campos de cada paquete para ver más. Cuando haces clic en un paquete, se muestra un desglose de sus bytes internos en la sección de vista de bytes.

Lista de paquetes

El panel de la lista de paquetes se muestra en la parte superior de la captura de pantalla. Cada pieza se divide en un número con información de tiempo, origen, destino, protocolo e información de soporte..

Detalles del paquete

Los detalles del paquete se pueden encontrar en el medio, mostrando los protocolos del paquete elegido. Puede expandir cada sección haciendo clic en la flecha al lado de su fila de elección. También puede aplicar filtros adicionales haciendo clic derecho en el elemento elegido.

Bytes de paquete

El panel de bytes del paquete se muestra en la parte inferior de la página. Este panel muestra los datos internos de su paquete seleccionado. Si resalta parte de los datos en esta sección, su información correspondiente también se resalta en el panel de detalles del paquete. Por defecto, todos los datos se muestran en formato hexadecimal. Si desea cambiarlo a formato de bits, haga clic con el botón derecho en el panel y seleccione esta opción en el menú contextual.

Cómo usar Wireshark para analizar el rendimiento de la red

Si desea utilizar Wireshark para inspeccionar su red y analizar todo el tráfico activo, debe cerrar todas las aplicaciones activas en su red. Esto reducirá el tráfico al mínimo para que pueda ver lo que sucede en su red con mayor claridad. Sin embargo, incluso si desactiva todas sus aplicaciones, seguirá teniendo una gran cantidad de paquetes enviados y recibidos.

Usar Wireshark para filtrar estos paquetes es la mejor manera de hacer balance de los datos de su red. Cuando su conexión está activa, miles de paquetes se transfieren a través de su red cada segundo. Esto significa que es vital que filtre la información que no necesita para tener una idea clara de lo que está sucediendo..

Filtros de captura y filtros de visualización

Filtros de captura y Mostrar filtros Hay dos tipos de filtros distintos que se pueden utilizar en Wireshark. Los filtros de captura se utilizan para reducir el tamaño de la captura de paquetes entrantes, esencialmente filtrando otros paquetes durante la captura de paquetes en vivo. Como resultado, los filtros de captura se establecen antes de comenzar el proceso de captura en vivo.

Los filtros de captura no se pueden modificar una vez que se ha iniciado una captura. Por otra parte, Mostrar filtros se puede usar para filtrar datos que ya se han registrado. Los filtros de captura determinan los datos que captura de la supervisión de la red en vivo, y los filtros de visualización dictan los datos que ve cuando examina los paquetes capturados previamente.

Si desea comenzar a filtrar sus datos, una de las formas más fáciles de hacerlo es usar el cuadro de filtro debajo de la barra de herramientas. Por ejemplo, si escribe HTTP en el cuadro de filtro, se le proporcionará una lista de todos los paquetes HTTP capturados. Cuando comience a escribir, se encontrará con un campo de autocompletar. El cuadro de filtro se muestra a continuación:

Puede usar cientos de filtros diferentes para desglosar la información de su paquete, desde 104apci hasta zvt. Puede encontrar una extensa lista en el sitio web de Wireshark aquí. También puede elegir un filtro haciendo clic en el icono de marcador a la izquierda del campo de entrada. Esto abrirá un menú de filtros populares..

Si elige configurar un filtro de captura, sus cambios entrarán en vigencia una vez que comience a grabar el tráfico en vivo. Para activar un filtro de visualización, simplemente haga clic en la flecha a la derecha del campo de entrada. Alternativamente, puedes hacer clic Analizar > Mostrar filtros y elija un filtro de la lista de valores predeterminados.

Después de elegir un filtro, puede ver la conversación TCP detrás de un paquete. Para hacer esto, haga clic derecho en el paquete y haga clic en Seguir > Flujo TCP. Esto le mostrará el intercambio TCP entre el cliente y el servidor..

Si desea obtener más información sobre el filtrado de Wireshark, la guía de Wireshark para mostrar filtros es un buen punto de referencia.

Usando codificación de color

Además de filtrar qué paquetes se muestran o graban, la función de codificación de colores de Wireshark facilita al usuario la identificación de diferentes tipos de paquetes de acuerdo con su color. Por ejemplo, el tráfico TCP se denota en púrpura claro y el tráfico UDP se denota en azul claro. Es importante tener en cuenta que el negro se usa para resaltar paquetes con errores.

En la configuración predeterminada de Wireshark, hay alrededor de 20 colores entre los que puede elegir. Puede editar, deshabilitar o eliminar estos. Si desea desactivar la coloración, haga clic en el Ver menú y haga clic Colorear lista de paquetes campo para apagarlo. Si desea ver más información sobre la codificación de colores en Wireshark, haga clic en Ver >Reglas para colorear.

Visualización de estadísticas de red

Para ver más información en su red, el el menú desplegable de estadísticas es increíblemente útil. El menú de estadísticas se puede ubicar en la parte superior de la pantalla y le proporcionará una serie de métricas, desde información de tamaño y tiempo hasta tablas y gráficos trazados. También puede aplicar filtros de visualización a estas estadísticas para limitar información importante.

El menú de estadísticas de Wireshark se muestra a continuación:

En este menú hay una variedad de opciones para ayudarlo a desglosar la información de su red.

Selecciones de menú de estadísticas

Estas son algunas de las secciones principales:

• Jerarquía de protocolo – La opción Jerarquía de protocolos abre una ventana con una tabla completa de todos los protocolos capturados. Los filtros de visualización activos también se muestran en la parte inferior.
• Conversaciones – Revela la conversación de red entre dos puntos finales (por ejemplo, intercambio de tráfico de una dirección IP a otra).
• Puntos finales – Muestra una lista de puntos finales (un punto final de red es donde termina el tráfico de protocolo de una capa de protocolo específica).
• IO Graphs – Muestra gráficos específicos del usuario, visualizando la cantidad de paquetes a lo largo del intercambio de datos.
• RTP_statistics – Permite al usuario guardar el contenido de una transmisión de audio RTP directamente en un archivo Au.
• Servicio de tiempo de respuesta – Muestra el tiempo de respuesta entre una solicitud y la respuesta de la red.
• TcpPduTime – Muestra el tiempo necesario para transferir datos desde una Unidad de datos de protocolo. Se puede usar para encontrar retransmisiones TCP.
• VoIP_Calls – Muestra llamadas VoIP obtenidas de capturas en vivo.
• Flujo de multidifusión – Detecta flujos de multidifusión y mide el tamaño de las ráfagas y las memorias intermedias de salida de ciertas velocidades.

Visualización de paquetes de red con gráficos IO

Si desea crear una representación visual de sus paquetes de datos, debe abrir los gráficos IO. Simplemente haga clic en el Estadísticas menú y seleccione Gráficos IO. Luego se encontrará con una ventana gráfica:

Usted puede configurar gráficos IO con su propia configuración de acuerdo con los datos que desea mostrar. De forma predeterminada, solo el gráfico 1 está habilitado, por lo que si desea activar 2-5, debe hacer clic en ellos. Del mismo modo, si desea aplicar un filtro de visualización para un gráfico, haga clic en el icono de filtro junto al gráfico con el que desea interactuar. La columna de estilo le permite cambiar la estructura de su gráfico. Puedes elegir entre Línea, FBar, Punto, o Impulso.

También puede interactuar con las métricas de los ejes X e Y en su gráfico. En el eje X, las secciones de intervalo de tick le permiten determinar cuánto dura el intervalo, de minutos a segundos. También puedes consultar el ver como hora del día casilla de verificación para cambiar el tiempo del eje X.

En la sección del eje Y, puede cambiar la unidad de medida desde cualquiera de las siguientes opciones: Paquetes / Garrapata, Bytes / Tick, Bits / Tick, o Avanzado. La escala le permite elegir la escala de medición para el eje Y del gráfico.

Una vez que presione guardar, el gráfico se almacena en un formato de archivo de su elección

Cómo usar capturas de muestra

Si desea practicar el uso de Wireshark pero su propia red no está disponible por cualquier razón, usar “capturas de muestra” es una excelente alternativa. Las capturas de muestra le proporcionan los datos del paquete de otra red. Puede descargar una captura de muestra en el sitio web de Wireshark wiki.

El sitio web wiki de Wireshark presenta una variedad de archivos de captura de muestra que se pueden descargar en todo el sitio. Una vez que haya descargado una captura de muestra, puede usarla haciendo clic en Archivo > Abra y luego haga clic en su archivo.

Los archivos de captura también se pueden encontrar en las siguientes fuentes a continuación:

• ICIR
• Paquete abierto
• PacketLife

Expandiendo las capacidades de Wireshark

Aunque Wireshark es un excelente rastreador de paquetes, no es el todo y el final de todas las herramientas de análisis de red. Puede expandir Wireshark y apoyarlo con herramientas complementarias. Una amplia comunidad de complementos y plataformas compatibles puede mejorar las capacidades de Wireshark.

Pruebe estas adiciones de Wireshark para mejorar sus capacidades analíticas:

• Visor de tiempo de respuesta de SolarWinds para Wireshark permite a los usuarios calcular su aplicación y el tiempo de respuesta de la red. Esto se puede usar junto con Wireshark para mostrar datos y volumen de transacciones. Esto ayuda a evaluar el rendimiento de la red e identificar posibles mejoras..
• Tiburón Nubes es una herramienta analítica que fue escrita específicamente para trabajar fuera de las capturas de Wirehark. Sin embargo, también puede importar datos de otros rastreadores de paquetes. Un complemento de Cloudshark para Wireshark facilita la transferencia de datos a través de la herramienta analítica.
• NetworkMiner es otra herramienta analítica que actúa en los canales de Wireshark. Esta herramienta viene en versión gratuita y de pago..
• Mostrar tráfico muestra datos de tráfico en vivo, identificando paquetes por protocolo.

SolarWinds Response Time Viewer para WiresharkDescargar herramienta 100% GRATUITA

Una herramienta de análisis de red completa, como el monitor SolarWinds explicado a continuación, también sería una buena adición a su kit de herramientas de administración de TI.

SolarWinds Network Performance Monitor: gestión de red de 360 ​​grados – (PRUEBA GRATIS)

Como una de las soluciones de administración de red líderes en el mercado, SolarWinds Network Performance Monitor brinda al usuario amplias funciones de monitoreo de red para mantener su red segura. Desde el monitoreo del ancho de banda hasta la latencia en una red, el usuario puede rastrear todos los cambios en vivo a través del panel de análisis de rendimiento.

El panel de análisis de rendimiento en vivo proporciona una visión general de la infraestructura de red en tiempo real del usuario. Una pantalla visual muestra todas las conexiones y dispositivos de red activos. Esto facilita al usuario detectar dispositivos no autorizados..

La interfaz fácil de usar permite a los usuarios definir sus propias alertas para que puedan ser notificados cuando ocurran cambios inusuales en su red. Si un nuevo dispositivo intenta conectarse, el sistema puede marcarlo. Los datos en vivo generados en el panel de análisis también se pueden convertir en informes para generar más información.

• Monitoreo de redes de múltiples proveedores – Identificar y resolver problemas de rendimiento de múltiples proveedores.
• Monitoreo de red inalámbrica – Ver métricas de rendimiento desde puntos de acceso, dispositivos inalámbricos y clientes.
• Identificar zonas muertas de red – Vea el mapa de calor de la red inalámbrica e identifique áreas con señal débil.
• Panel de análisis de rendimiento – Vea el rendimiento de toda su red en una sola línea de tiempo. Arrastre y suelte datos de rendimiento de la red para crear una visualización de datos en vivo.
• Alertas inteligentes – Los usuarios definen cómo se generan las alertas. Elija qué condiciones de activación generarán una alerta en el tablero.

SolarWinds Network Performance MonitorDescargue una prueba GRATUITA de 30 días en SolarWinds.com

Wireshark: simple y versátil

Eso concluye nuestro desglose de cómo usar Wireshark. Ya sea que sea un nuevo usuario o un veterano de Wireshark, esta plataforma es una herramienta de análisis de red extremadamente versátil. Si está buscando sacar el máximo provecho de Wireshark, se recomienda que realice una investigación adicional en el sitio web de Wireshark.

Esto es aún más importante si desea utilizar funciones más avanzadas y crear sus propios disectores de protocolos. La guía de usuario oficial de Wireshark ofrece la guía más completa sobre el tema..

No olvide utilizar complementos externos y programas de soporte de SolarWinds, ya que pueden aumentar drásticamente la profundidad de sus futuros esfuerzos de análisis. Si desea obtener más información sobre cómo optimizar su red, consulte nuestra guía detallada sobre analizadores de redes.

Otros tutoriales:

• Hoja de trucos de Wireshark
• Cómo descifrar SSL con Wireshark
• Usando Wireshark para obtener la dirección IP de un host desconocido
• Ejecutar una captura remota con Wireshark y tcpdump
• Explicación del error de Wireshark “no se encontraron interfaces”
• Identifique el hardware con la búsqueda de OUI en Wireshark
• Las mejores alternativas de Wireshark