Cómo usar Wireshark para inspeccionar el tráfico de red

Wireshark es un analizador de paquetes gratuito y de código abierto. Se utiliza para la solución de problemas de red, el análisis, el software y el desarrollo de protocolos de comunicación. Le permite ver lo que está sucediendo en su red a un nivel microscópico y es el estándar de facto (y a menudo de jure) en muchas empresas comerciales y sin fines de lucro, agencias gubernamentales e instituciones educativas. Wireshark es una herramienta multiplataforma que funciona en Linux, Microsoft Windows, macOS, BSD, Solaris y otros sistemas operativos tipo Unix.

Tabla de contenidos

¿Cómo instalar Wireshark en Linux?

Para instalar Wireshark sólo tiene que introducir el siguiente comando en su terminal – sudo apt-get install Wireshark Wireshark será entonces instalado y disponible para su uso. Si ejecuta Wireshark como un usuario no root (que debería) en esta etapa se encontrará con un mensaje de error que dice.
«No se puede utilizar ninguna interfaz para capturar en este sistema con la configuración actual».Los siguientes pasos rectificarán esto.

Crear un grupo Wireshark.

sudo groupadd wireshark 

Añade tu nombre de usuario al grupo Wireshark –

sudo usermod -a -G wireshark USERNAME 

Cambia la propiedad del grupo del archivo dumpcap a wireshark –

sudo chgrp wireshark /usr/bin/dumpcap 

Cambia el modo del archivo dumpcap para permitir la ejecución por el grupo wireshark –

sudo chmod 750 /usr/bin/dumpcap 

Otorgar capacidades con setcap –

sudo setcap cap_net_raw,cap_net_admin=eip /usr/bin/dumpcap 

Verificar el cambio –

sudo getcap /usr/bin/dumpcap 

¿Para qué se usa Wireshark?

Wireshark tiene una aplicación o uso bastante amplio. Aquí hay algunos ejemplos de lo que la gente utiliza Wireshark para:

  • Los administradores de redes lo utilizan para solucionar problemas de red
  • Los ingenieros de seguridad de redes lo utilizan para examinar problemas de seguridad
  • Los desarrolladores lo utilizan para depurar implementaciones de protocolos
  • Otros lo utilizan para aprender las interioridades de los protocolos de red

Características de un vistazo

Las siguientes son algunas de las muchas características que ofrece Wireshark:

  • Captura de datos de paquetes en vivo desde una interfaz de red.
  • Abrir archivos que contengan datos de paquetes capturados con tcpdump/WinDump, Wireshark, y un número de otros programas de captura de paquetes.
  • Importar paquetes desde archivos de texto que contengan volcados hexadecimales de datos de paquetes.
  • Mostrar paquetes con información de protocolo muy detallada.
  • Guardar datos de paquetes capturados.
  • Exportar algunos o todos los paquetes en un número de formatos de archivos de captura.
  • Filtrar paquetes en muchos criterios.
  • Buscar paquetes en muchos criterios.
  • Colorear la visualización de paquetes en base a los filtros.
  • Crear varias estadísticas.

¿Cómo usar Wireshark para inspeccionar paquetes de red en Linux?

Captura de paquetes

Después de descargar e instalar Wireshark, puede lanzarlo y hacer clic en el nombre de una interfaz bajo la Lista de Interfaces para comenzar a capturar paquetes en esa interfaz. Por ejemplo, si desea capturar el tráfico en la red inalámbrica, haga clic en su interfaz inalámbrica. Puede configurar las funciones avanzadas haciendo clic en Opciones de captura.

Tan pronto como haga clic en el nombre de la interfaz, verá que los paquetes comienzan a aparecer en tiempo real. Wireshark captura cada paquete enviado a o desde su sistema. Si estás capturando en una interfaz inalámbrica y tienes activado el modo promiscuo en las opciones de captura, también verás otros paquetes de la red.

Codificación de colores

Probablemente verás paquetes resaltados en verde, azul y negro. Wireshark utiliza colores para ayudarle a identificar los tipos de tráfico de un vistazo. Por defecto, el verde es el tráfico TCP, el azul oscuro es el tráfico DNS, el azul claro es el tráfico UDP, y el negro identifica los paquetes TCP con problemas – por ejemplo, podrían haber sido entregados fuera de orden.

Conclusión

Como he mencionado antes, Wireshark está disponible en todas las plataformas, pero ninguna de estas otras plataformas tiene la paridad de características de Linux.

Wireshark es una herramienta extremadamente poderosa, y este tutorial sólo está arañando la superficie de lo que puedes hacer con ella. Los profesionales lo utilizan para depurar implementaciones de protocolos de red, examinar problemas de seguridad e inspeccionar las partes internas de los protocolos de red. Echa un vistazo a esta DOCUMENTACIÓN oficial para saber más de lo que puedes hacer con Wireshark.


El alojamiento de LinuxAndUbuntu está patrocinado por massiveGRID

Deja una respuesta

Tu dirección de correo electrónico no será publicada.