¿Cómo utilizar Wireshark para la supervisión de la red?

Posted on
  • ¿Qué es Wireshark?
  • ¿Cuáles son las características principales de Wireshark?
  • ¿Cómo instalar o descargar Wireshark?
  • ¿Cómo capturar y analizar paquetes de datos con Wireshark?
  • ¿Cómo analizar los paquetes de red capturados?
  • ¿Cómo ayuda Wireshark a supervisar el rendimiento de la red?
  • ¿Cuál es el papel de los filtros en Wireshark?
  • ¿Cómo utilizar el código de colores en Wireshark?
  • ¿Cómo ver las estadísticas de la red en Wireshark?
  • ¿Cómo visualizar los paquetes de red con gráficos IO?
  • ¿Cómo ampliar las capacidades de Wireshark?

Con el aumento de la demanda de servicios y aplicaciones accesibles, una buena red se ha vuelto más importante que nunca. Problemas como la pérdida de paquetes, la latencia, el tiempo de inactividad de la red, los errores frecuentes y las sacudidas pueden obstaculizar la experiencia general del usuario. La supervisión de la red se ha convertido en un requisito crucial y fundamental para las pequeñas, medianas y grandes empresas. Se considera la primera línea de defensa cuando el rendimiento del servidor de red empieza a deteriorarse. Las herramientas de monitorización de red ayudan a los equipos a evaluar la disponibilidad de los dispositivos de red, a comprobar el estado general de la red y a solucionar problemas de rendimiento como el consumo/utilización del ancho de banda y el tiempo de inactividad de la red.

Como el mercado está inundado de una gran variedad de herramientas de monitorización de red, resulta difícil tomar la decisión de elegir una solución de monitorización fiable. Las diferentes herramientas de monitorización de red ofrecen diferentes grados de rendimiento y capacidades de integración. Algunas ofrecen una arquitectura totalmente integrada, mientras que otras incluyen múltiples componentes como bases de datos, motores de sondeo, consolas de gestión, etc. Puede resultar confuso para los administradores de red elegir la mejor solución con funciones de supervisión fiables y eficaces. Por lo tanto, antes de hacer una selección, las organizaciones deben considerar hacer las siguientes preguntas a los administradores.

  • ¿Qué dispositivos necesitan ser monitoreados?
  • ¿Es necesario monitorear toda la red de la organización o múltiples redes?
  • ¿Cómo se integrará la herramienta de monitorización de red con el sistema existente?
  • ¿Qué tipo de funcionalidades básicas debe tener una herramienta?

Hay que investigar a fondo para determinar qué herramienta ofrece las características más beneficiosas para la organización a largo plazo. Este post cubre uno de los analizadores de red más fiables disponibles en el mercado, conocido como Wireshark. Echemos un vistazo a lo que es Wireshark, cómo ayuda en la detección de problemas de seguridad, la solución de errores de red, la depuración de protocolos, y cómo las capacidades de Wireshark pueden ser mejoradas para el monitoreo avanzado de la red.

¿Qué es Wireshark?

Wireshark es conocido como el analizador de tráfico de red líder en el mundo. Es la mejor herramienta para los administradores de sistemas y profesionales de TI para la solución de errores de red en tiempo real. Wireshark detecta rápidamente los problemas de la red, como la latencia, la actividad sospechosa y los paquetes perdidos. Puede profundizar en el tráfico y encontrar la causa raíz de un problema. Normalmente, los administradores de red utilizan Wireshark para resolver los problemas de latencia causados por los equipos utilizados para enrutar el tráfico en todo el mundo y para supervisar los intentos de exfiltración de datos contra las operaciones de la empresa. Wireshark es una herramienta potente pero gratuita que requiere amplios conocimientos de los fundamentos de las redes. Para hacer el mejor uso de la herramienta, los administradores necesitan tener una sólida comprensión de protocolos como TCP/IP y DHCP.

¿Cómo funciona?

Wireshark es una popular herramienta de código abierto para capturar paquetes de red y convertirlos en un formato binario legible para el ser humano. Proporciona todos los detalles de la infraestructura de red de la organización. Consta de dispositivos diseñados para ayudar a medir los entresijos de la red. La información recopilada a través de Wireshark puede utilizarse para diversos fines, como el análisis de la red en tiempo real o fuera de línea, la identificación del tráfico que entra en la red, su frecuencia y su latencia entre saltos específicos. Esto ayuda a los administradores de la red a generar estadísticas basadas en datos en tiempo real.

Además de la monitorización de la red, las organizaciones utilizan Wireshark para depurar programas, examinar problemas de seguridad y aprender los aspectos internos del protocolo de red. Wireshark está diseñado para realizar eficazmente funciones relacionadas con los paquetes y analizar y mostrar las métricas de la red a través de la consola de gestión.

  • Muestra información de paquetes en forma de gráficos, tablas y mucho más
  • Captura, exporta, busca, guarda e importar paquetes de datos en vivo
  • Construir informes basados en datos estadísticos en tiempo real
  • Filtrar paquetes basados en la prioridad

Wireshark también ofrece una gran interfaz de usuario ya que es fácil de usar una vez que los equipos se familiarizan con los fundamentos de la captura de paquetes.

¿Cuáles son las características principales de Wireshark?

Wireshark consta de un rico conjunto de características que incluyen lo siguiente:

  • Captura en vivo y análisis fuera de línea
  • Análisis de VoIP
  • Lectura/escritura de muchos formatos diferentes de archivos de captura
  • Captura de archivos comprimidos (gzip) y descompresión sobre la marcha
  • Inspección profunda de cientos de protocolos
  • Estándar de tresde tres paneles
  • Los paquetes de red capturados pueden ser examinados a través de una GUI o de la utilidad TShark
  • Multiplataforma que se ejecuta fácilmente en Linux, Windows, OS X y FreeBSD
  • Potentes filtros de visualización
  • La salida se puede exportar a XML, CSV, PostScript o como texto plano
  • La lista de paquetes puede utilizar reglas de coloración para un análisis rápido e intuitivo

¿Cómo instalar o descargar Wireshark?

Para utilizar Wireshark, lo primero que deben hacer los usuarios es descargar e instalar Wireshark en el sistema. Asegúrese de descargar la última versión de la herramienta directamente desde el sitio web de la compañía para una mejor experiencia de funcionamiento. A continuación se presentan algunos pasos después de que Wireshark puede ser fácilmente descargado e instalado.

  1. Instalar en Mac

    Para instalar con éxito Wireshark en Mac, los usuarios tienen que descargar un instalador como xquartz. Una vez descargado el instalador, hay que abrir el Terminal e introducir el siguiente comando:
    <% /Applications/Wireshark.app/Contents/Mac0S/Wireshark>
    Sólo hay que esperar a que Wireshark se inicie.

  2. Instalar en Windows

    Para ejecutar Wireshark en Windows, hay que visitar la página web de la compañía (Wireshark) y descargar el programa. Una vez hecho esto, simplemente inicie el proceso de instalación. Instala también WinPcap cuando te lo pida durante el proceso de instalación. Es importante instalar WInPcap ya que ayuda a capturar el tráfico de red en directo, y sin él, los usuarios sólo pueden acceder a los archivos de captura ya guardados. Para instalar WinPcap, seleccione la casilla Instalar WinPcap.

  3. Instalar en Unix

    La instalación de Wireshark en Unix implica la descarga de un par de herramientas como Glib, GTK+ y libcap. Tanto Glib como GTK+ pueden instalarse desde el mismo conjunto de herramientas. Una vez descargadas estas tres herramientas de apoyo, junto con Wireshark, se puede extraer Wireshark del archivo tar.
    gzip -d wireshark-1.2-tar.gz
    tar xvf wireshark-1.2-tar
    Cambia el archivo tar al directorio de Wireshark e introduce los siguientes comandos:
    ./configure
    make
    make install
    Inicia Wireshark en el sistema Unix.

¿Cómo capturar y analizar paquetes de datos con Wireshark?

Una de las principales funciones de Wireshark es capturar paquetes de datos para realizar análisis detallados de la red. Sin embargo, puede ser complicado para los principiantes que no están familiarizados con los pasos involucrados. Hay principalmente tres pasos importantes:

  • Acceder a los privilegios administrativos para empezar a capturar los datos en tiempo real directamente el dispositivo
  • Elegir la interfaz de red correcta para capturar los datos de los paquetes
  • Elegir la ubicación correcta dentro de la red para capturar los datos de los paquetes

Después de seguir los pasos anteriores, el Wireshark está listo para capturar paquetes. Normalmente, hay dos modos de captura: promiscuo y monitor. El modo promiscuo hace que la interfaz de red capture sólo los paquetes para los que está asignada. El modo monitor es utilizado por los sistemas Unix/Linux y configura la interfaz de red para capturar toda la red que pueda. Los datos recogidos durante la captura de paquetes se muestran en un formato legible para el ser humano, por lo que es más fácil de entender. Como Wireshark descompone los paquetes capturados en un formato legible, los usuarios pueden realizar otras tareas, como seleccionar filtros para encontrar información precisa y codificar por colores la información crucial. Con Wireshark, los administradores también pueden supervisar varias redes simultáneamente.

Los administradores de sistemas suelen utilizar el modo promiscuo para obtener una vista de pájaro de la transferencia de paquetes de red. Al desactivar este modo, sólo se proporciona una pequeña instantánea de la red, que no es suficiente para realizar un análisis de calidad. El modo promiscuo puede activarse fácilmente haciendo clic en las opciones de captura proporcionadas en el cuadro de diálogo. Sin embargo, el modo promiscuo no está disponible en todos los programas o sistemas operativos. Por lo tanto, los usuarios deben confirmar la compatibilidad del software visitando el sitio web de Wireshark o utilizando el Administrador de dispositivos para comprobar la configuración (en caso de que sea un usuario de Windows).

¿Cómo analizar los paquetes de red capturados?

Una vez capturados los datos de la red, la lista de paquetes de red se muestra en la consola de gestión centralizada o en el panel de control. La pantalla consta de tres paneles: lista de paquetes, bytes de paquetes y detalles de paquetes. Sin embargo, para obtener información importante sobre paquetes individuales, los usuarios deben hacer clic en cualquiera de los paneles mencionados anteriormente.

Lista de paquetes

El panel de la lista de paquetes consiste en paquetes de red capturados que se pueden explorar en función de la marca de tiempo para mostrar exactamente cuándo se capturó el paquete, el nombre del protocolo del paquete, el origen y el destino del paquete y la información de soporte.

Detalles del paquete

El panel de detalles del paquete proporciona información sobre el paquete elegido. Los usuarios pueden expandir cada sección y aplicar filtros para obtener información sobre elementos específicos.

Packet Bytes

El panel de bytes del paquete consiste en los datos internos del paquete que el usuario selecciona. Los datos se muestran en formato hexadecimal por defecto.

¿Cómo ayuda Wireshark a monitorizar el rendimiento de la red?

Una vez capturados los paquetes de red, el siguiente paso es monitorizarlos y analizarlos. Wireshark es una gran herramienta para analizar y monitorear la red activa de la organización. Antes de hacer esto, es importante cerrar todas las aplicaciones activas en la red para reducir el tráfico, lo que ayuda a dar una imagen clara de la red. Apagar todas las aplicaciones no dará lugar a la pérdida de paquetes; de hecho, el envío y la recepción de paquetes sigue siendo un proceso continuo.

Sin embargo, conceptualizar la enorme cantidad de datos en conjunto no es más fácil. Por lo tanto, Wireshark rompe estos componentes en diferentes formas para ver lo que está sucediendo dentro de la red. Para ayudar a los usuarios a comprender y analizar rápidamente los datos que llegan, Wireshark utiliza códigos de colores, filtros y estadísticas de red para separar los datos de la red.

¿Cuál es la función de los filtros en Wireshark?

Los filtros son beneficiosos cuando se analizan archivos grandes y una cantidad considerable de datos. Los filtros ayudan a los administradores a encontrar datos de red específicos entre los miles de paquetes que viajan por la red cada segundo. Wireshark utiliza los dos tipos más comunes de filtros: Captura y Visualización, para segregar los datos en función de su relevancia. El filtro de captura recoge los datos de monitorización en vivo reduciendo el tamaño de los paquetes entrantes. Esto ayuda a filtrar los paquetes no esenciales durante la captura en vivo. Sin embargo, los filtros de captura se establecen antes de que comience el proceso de filtrado y no pueden modificarse una vez que el proceso ha comenzado. Los filtros de visualización, por otro lado, se utilizan para filtrar los datos ya grabados.

¿Cómo utilizar la codificación de colores en Wireshark?

La codificación de colores se hace para resaltar los diferentes paquetes basados en ciertos factores. Esto ayuda a los usuarios a identificar los paquetes basados en los colores. Por ejemplo, el UDP se denota con azul claro, ICMP con rosa claro, el tráfico TCP con púrpura claro, y los paquetes con errores se destacan con negro. La configuración por defecto de Wireshark utiliza veinte colores diferentes para indicar varios parámetros. Los usuarios pueden modificar, editar, añadir o eliminar los ajustes según sus necesidades. También se puede desactivar la coloración desactivando el campo Colorize Packet List.

¿Cómo ver las estadísticas de la red en Wireshark?

Los datos estadísticos son beneficiosos para proporcionar información en profundidad sobre su red. Para ver esas estadísticas, haga clic en el menú desplegable de estadísticas que proporciona métricas que van desde el tiempo y el tamaño hasta el trazado de gráficos y tablas. Los usuarios también pueden aplicar un filtro de visualización para reducir la lista de opciones y encontrar la información relevante. El menú desplegable de estadísticas muestra las siguientes métricas:

  • Conversaciones: Muestra las conversaciones de dos puntos finales como dos direcciones IP diferentes
  • Puntos finales: Muestra la lista de endpoints
  • IO Graphs: Muestra todos los gráficos
  • Jerarquía de protocolos: Muestra la tabla de paquetes capturados
  • RTP_statistics: Ayuda a los usuarios a guardar el contenido del flujo de audio RTP en el archivo Au
  • Multicast Stream: Mide la velocidad de otros componentes identificando los flujos multicast
  • TcpPduTime: El tiempo que se tarda en transmitir los datos de la Unidad de Protocolo de Datos
  • VoIP_Calls: El número de llamadas VolP recibidas de las capturas en vivo
  • Tiempo de respuesta del servicio: El tiempo que tarda la red en responder a una solicitud

¿Cómo visualizar los paquetes de red con gráficos IO?

Los paquetes de datos o el tráfico de la red se pueden representar en un formato visual conocido como gráficos IO. Los usuarios pueden ver los gráficos IO haciendo clic en el menú de estadísticas y seleccionando la pestaña de gráficos IP. Una vez que se abre la ventana del gráfico, los usuarios pueden ver los datos que desean configurando los ajustes del gráfico en consecuencia. Debido a la configuración por defecto de Wireshark, sólo se muestra un gráfico a la vez. Si los usuarios quieren activar más gráficos simultáneamente, sólo tienen que habilitarlos. Además, los usuarios pueden personalizar los gráficos utilizando filtros y códigos de color para encontrar la información relevante para el propósito. Los usuarios también pueden modificar la estructura del gráfico desde la columna de estilos y pueden elegir cualquiera de ellos: Línea, Punto, Impulso, Fbar. Los usuarios no sólo pueden ajustar el estilo de los gráficos, sino que también pueden interactuar con las métricas de los ejes X e Y de los gráficos. Una vez realizados los ajustes, los gráficos pueden almacenarse en un formato de archivo para fines futuros.

¿Cómo ampliar las capacidades de Wireshark?

Sin duda, Wireshark es un gran sniffer de paquetes, pero le faltan algunos avances a la hora de satisfacer las crecientes necesidades de monitorización de la red. Las capacidades de monitorización de Wireshark pueden mejorarse utilizando herramientas complementarias como SolarWinds® Response Time Viewer for Wireshark, Show Traffic, Cloudshark y NetworkMiner. A continuación se describen las características, capacidades y funciones de estas herramientas y cómo ayudan a mejorar las capacidades de monitorización de red de Wireshark.

SolarWinds Network Performance Monitor

SolarWinds Network Performance Monitor (NPM) es un potente software de monitorización de red que se utiliza para detectar, diagnosticar y resolver problemas y cortes de red. La herramienta está especialmente diseñada para la resolución avanzada de problemas de red para servicios locales, híbridos y en la nube, y detecta los problemas con su análisis salto a salto. No sólo ayuda a que la red sea escalable, sino también segura. NPM también es capaz de reducir el tiempo de inactividad, lo que se traduce en una mayor eficiencia operativa, disponibilidad de la red y aplicaciones de alto rendimiento. Ofrece funciones listas para usar, como cuadros de mando intuitivos, sistemas de alerta avanzados, informes personalizados, análisis de paquetes, etc. Además del análisis salto a salto, NPM ofrece supervisión de la disponibilidad, correlación de datos de red entre pilas, topología personalizable, descubrimiento de redes, capacidades de mapeo, análisis de captura de paquetes, gráficos de rendimiento de red de arrastrar y descubrir, líneas de base de rendimiento de red estadísticas y supervisión del estado del hardware. Con NPM, las áreas con señales débiles o zonas muertas de la red pueden identificarse rápidamente mediante mapas de calor Wi-Fi. Pruébelo con una versión de prueba gratuita y totalmente funcional.

SolarWinds Response Time Viewer for Wireshark

SolarWinds Response Time Viewer for Wireshark permite a los usuarios detectar y analizar las capturas de paquetes de Wireshark y solucionar los problemas de rendimiento de la red en tiempo real. Puede realizar múltiples tareas, como identificar más de 1200 aplicaciones, calcular su tiempo de respuesta en la red, mostrar los datos y el valor de las transacciones, la visualización de la ruta crítica con Netpath y la supervisión y gestión de la red inalámbrica. La evaluación de estos parámetros ayuda a los usuarios a determinar los defectos y fallos de la red.

Cloudshark

Cloudshark es una plataforma diseñada para mostrar archivos de captura de red directamente en el navegador sin necesidad de aplicaciones o herramientas de escritorio. Simplemente cargue, envíe por correo electrónico o enlace los archivos de captura y obtenga los resultados. Ayuda a resolver los problemas de la red de forma más rápida e impecable. Además, incluye funciones como la de arrastrar y soltar los archivos de captura, actividad similar a la de un buzón, permite compartir enlaces con compañeros de trabajo y ofrece análisis avanzados.

Sysdig

Sysdig es un potente sistema de monitorización de red flexible, multiplataforma y de código abierto diseñado específicamente para Linux. También funciona para Windows y Mac OSX pero con funcionalidades limitadas como inspección, depuración y análisis del sistema. Sysdig utiliza varias herramientas de monitorización y resolución de problemas para el rendimiento del sistema Linux, como:

  • Strace (para descubrir llamadas al sistema)
  • htop (para la monitorización de procesos en tiempo real)
  • iftop (para latiempo real del ancho de banda)
  • netstat (para la monitorización de las conexiones de red)
  • tcpdump (para la monitorización del tráfico de red en bruto)
  • Isof (para conocer el proceso utilizado para ver los archivos abiertos)

Sysdig integra todas las herramientas mencionadas anteriormente y las ofrece en un único programa. Los usuarios pueden capturar, filtrar, guardar, modificar, rastrear y examinar fácilmente el tráfico de red y el comportamiento real de los sistemas Linux. Las características de Sysdig incluyen:

  • Integraciones de Orchestrator
  • Paneles intuitivos
  • Cloud-de nube
  • Integraciones de aplicaciones
  • Gestión de alertas y eventos
  • Gestión de vulnerabilidad
  • Generación de informes de cumplimiento/auditoría
  • Mapas de topología
  • Detección de errores en tiempo de ejecución
  • Captura de archivos
  • Single sign-on

Debooke

Debooke es una de las herramientas más sencillas y potentes de monitorización de redes y análisis de tráfico para macOS. La herramienta permite a los usuarios interceptar y supervisar el tráfico de red de cualquier dispositivo en la misma subred. Ayuda a capturar los datos de los paquetes de red de cualquier dispositivo como un móvil, una impresora, un Mac, un televisor y mucho más sin necesidad de utilizar un proxy. Características de Debooke:

  • Mantenga un registro del uso y consumo del ancho de banda Wi-Fi
  • Ayude a la monitorización de la red y al análisis en profundidad
  • Muestra los clientes Wi-Fi y las APIs a las que están asociados
  • Escanea IP, LAN para hacer un seguimiento de todos los dispositivos activos y conectados

Pensamientos finales

Wireshark es una herramienta de monitorización de red sencilla, pero versátil y potente. Es fácil de usar y fácil de aprender. Además de la monitorización, Wireshark ofrece funciones adicionales de análisis de red como:

  • Gráficos de IO para ayudar a los usuarios a entender su red visualmente
  • Código de colores para resaltar diferentes parámetros o información de la red para su uso futuro
  • Filtros para obtener la información relevante requerida para el propósito

Sin embargo, para los nuevos usuarios que están dispuestos a probar Wireshark, es aconsejable hacer una investigación adicional y obtener información detallada sobre Wireshark visitando el sitio web. Para los usuarios existentes que busquen funciones más avanzadas de monitorización y análisis de la red y quieran crear sus disectores de protocolos, intenten utilizar los plugins externos y los programas de apoyo destacados anteriormente.

SolarWinds Network Performance Monitor y Response Time Viewer for Wireshark son herramientas profesionales y funcionan de forma increíble. No sólo pueden identificar y solucionar los problemas de la red en tiempo real, sino que también realizan múltiples tareas simultáneamente, como mostrar datos esenciales, calcular el tiempo de respuesta de la red y mucho más. Estas herramientas aumentan la profundidad de los esfuerzos de análisis de la red dramáticamente.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.