Para muchos expertos en TI, Wireshark es la herramienta de referencia para el análisis de paquetes de red. El software de código abierto le permite examinar de cerca los datos recopilados y determinar la raíz del problema con mayor precisión. Además, Wireshark funciona en tiempo real y utiliza códigos de colores para mostrar los paquetes capturados, entre otros ingeniosos mecanismos.

Cómo leer paquetes en Wireshark

En este tutorial, explicaremos cómo capturar, leer y filtrar paquetes usando Wireshark. A continuación, encontrará instrucciones paso a paso y desgloses de las funciones básicas de análisis de red. Una vez que domine estos pasos fundamentales, podrá inspeccionar el flujo de tráfico de su red y solucionar problemas con mayor eficiencia.

Analizar paquetes

Una vez que se capturan los paquetes, Wireshark los organiza en un panel de lista de paquetes detallado que es increíblemente fácil de leer. Si desea acceder a la información relativa a un solo paquete, todo lo que tiene que hacer es localizarlo en la lista y hacer clic. También puede ampliar aún más el árbol para acceder a los detalles de cada protocolo contenido en el paquete.

Para obtener una visión general más completa, puede mostrar cada paquete capturado en una ventana separada. He aquí cómo:

  1. Seleccione el paquete de la lista con el cursor y, a continuación, haga clic con el botón derecho del ratón.
  2. Abra la pestaña» Ver » de la barra de herramientas de arriba.
  3. Seleccione «Mostrar paquete en una nueva ventana» en el menú desplegable.

Nota: Es mucho más fácil comparar los paquetes capturados si los traen en ventanas separadas.

Como se mencionó, Wireshark utiliza un sistema de codificación de colores para la visualización de datos. Cada paquete está marcado con un color diferente que representa diferentes tipos de tráfico. Por ejemplo, el tráfico TCP generalmente se resalta con azul, mientras que el negro se usa para indicar paquetes que contienen errores.

Por supuesto, no tienes que memorizar el significado detrás de cada color. En su lugar, puede verificar en el acto:

  1. Haga clic con el botón derecho en el paquete que desea examinar.
  2. Seleccione la pestaña » Ver » de la barra de herramientas en la parte superior de la pantalla.
  3. Elija «Reglas de coloración» en el panel desplegable.

Verás la opción de personalizar la coloración a tu gusto. Sin embargo, si solo desea cambiar las reglas de coloración temporalmente, siga estos pasos:

  1. Haga clic con el botón derecho en el paquete en el panel lista de paquetes.
  2. En la lista de opciones, seleccione » Colorear con filtro.»
  3. Elige el color con el que quieres etiquetarlo.

Número

El panel lista de paquetes le mostrará el número exacto de bits de datos capturados. Dado que los paquetes están organizados en varias columnas, es bastante fácil de interpretar. Las categorías predeterminadas son:

  • No. (Número): Como se mencionó, puede encontrar el número exacto de paquetes capturados en esta columna. Los dígitos seguirán siendo los mismos incluso después de filtrar los datos.
  • Hora: Como habrás adivinado, la marca de tiempo del paquete se muestra aquí.
  • Fuente: Muestra dónde se originó el paquete.
  • Destino: Muestra el lugar donde se guardará el paquete.
  • Protocolo: Muestra el nombre del protocolo, normalmente en forma abreviada.
  • Longitud: Muestra el número de bytes contenidos en el paquete capturado.
  • Info: La columna incluye cualquier información adicional sobre un paquete en particular.

Hora

A medida que Wireshark analiza el tráfico de red, cada paquete capturado tiene una marca de tiempo. Las marcas de tiempo se incluyen en el panel lista de paquetes y están disponibles para su posterior inspección.

Wireshark no crea las marcas de tiempo por sí mismas. En su lugar, la herramienta analizador los obtiene de la biblioteca Npcap. Sin embargo, la fuente de la marca de tiempo es en realidad el núcleo. Es por eso que la precisión de la marca de tiempo puede variar de un archivo a otro.

Puede elegir el formato en el que se mostrarán las marcas de tiempo en la lista de paquetes. Además, puede establecer la precisión preferida o el número de decimales que se muestran. Además de la configuración de precisión predeterminada, también hay:

  • Segundos
  • Décimas de segundo
  • Centésimas de segundo
  • Milisegundos
  • Microsegundos
  • Nanosegundos

Fuente

Como el nombre sugiere, el origen del paquete es el lugar de origen. Si desea obtener el código fuente de un repositorio Wireshark, puede descargarlo utilizando un cliente Git. Sin embargo, el método requiere que tengas una cuenta de GitLab. Es posible hacerlo sin uno, pero es mejor inscribirse por si acaso.

Una vez que hayas registrado una cuenta, sigue estos pasos:

  1. Asegúrese de que Git sea funcional usando este comando: «$ git -–version.«
  2. Compruebe si su dirección de correo electrónico y su nombre de usuario están configurados.
  3. A continuación, haga un clon de la fuente de la marca de trabajo. Use la URL SSH «$ git clone -o upstream :wireshark/wireshark.git » para hacer la copia.
  4. Si no tienes una cuenta de GitLab, prueba la URL HTTPS: «$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.«

Todas las fuentes se copiarán posteriormente a su dispositivo. Tenga en cuenta que la clonación puede tardar un tiempo, especialmente si tiene una conexión de red lenta.

Destino

Si desea conocer la dirección IP del destino de un paquete en particular, puede usar el filtro de pantalla para localizarlo. He aquí cómo:

  1. Introduzca «ip.addr == 8.8.8.8 «en el cuadro de filtro Wireshark».»A continuación, haga clic en «Entrar».»
  2. El panel lista de paquetes se reconfigurará solo para mostrar el destino del paquete. Encuentra la dirección IP que te interesa desplazándote por la lista.
  3. Una vez que haya terminado, seleccione «Borrar» en la barra de herramientas para reconfigurar el panel de lista de paquetes.

Protocolo

Un protocolo es una guía que determina la transmisión de datos entre diferentes dispositivos que están conectados a la misma red. Cada paquete de Wireshark contiene un protocolo, y puede mostrarlo usando el filtro de pantalla. He aquí cómo:

  1. En la parte superior de la ventana de Wireshark, haga clic en el cuadro de diálogo» Filtrar».
  2. Introduzca el nombre del protocolo que desea examinar. Por lo general, los títulos de los protocolos se escriben en minúsculas.
  3. Haga clic en «Entrar» o «Aplicar» para habilitar el filtro de visualización.

Length

La longitud de un paquete Wireshark está determinada por el número de bytes capturados en ese fragmento de red en particular. Ese número generalmente se corresponde con el número de bytes de datos sin procesar listados en la parte inferior de la ventana de Wireshark.

Si desea examinar la distribución de longitudes, abra la ventana «Longitudes de paquetes». Toda la información se divide en las siguientes columnas:

  • Longitudes de paquete
  • Recuento
  • Promedio
  • Val mínimo/Val máximo
  • Tasa
  • Porcentaje
  • Tasa de ráfaga
  • Inicio de ráfaga

Info

Si hay anomalías o elementos similares dentro de un paquete capturado en particular, Wireshark lo anotará. La información se mostrará en el panel lista de paquetes para su posterior examen. De esa manera, tendrá una imagen clara del comportamiento atípico de la red, lo que dará lugar a reacciones más rápidas.

Preguntas frecuentes adicionales

¿Cómo puedo filtrar los datos de los paquetes?

El filtrado es una función eficiente que le permite analizar los detalles de una secuencia de datos en particular. Hay dos tipos de filtros Wireshark: captura y visualización. Los filtros de captura están ahí para restringir la captura de paquetes para adaptarse a demandas específicas. En otras palabras, puede filtrar diferentes tipos de tráfico aplicando un filtro de captura. Como su nombre indica, los filtros de visualización le permiten afinar en un elemento particular del paquete, desde la longitud del paquete hasta el protocolo.

Aplicar un filtro es un proceso bastante sencillo. Puede escribir el título del filtro en el cuadro de diálogo en la parte superior de la ventana de Wireshark. Además, el software generalmente completará automáticamente el nombre del filtro.

Alternativamente, si desea peinar los filtros predeterminados de Wireshark, haga lo siguiente:

1. Abra la pestaña «Analizar» en la barra de herramientas en la parte superior de la ventana de Wireshark.

2. En la lista desplegable, seleccione «Filtro de pantalla».»

3. Navegue por la lista y haga clic en la que desea aplicar.

Finalmente, aquí hay algunos filtros Wireshark comunes que pueden ser útiles:

• Para ver solo la dirección IP de origen y destino, use: «ip.src==IP-address and ip.dst==IP-address«

• Para ver solo el tráfico SMTP, escriba: «tcp.port eq 25«

• Para capturar todo el tráfico de subred, aplique: «net 192.168.0.0/24«

• Para capturar todo, excepto el tráfico ARP y DNS, use: «port not 53 and not arp«

¿Cómo puedo capturar los datos de paquetes en Wireshark?

Una vez que haya descargado Wireshark en su dispositivo, puede comenzar a monitorear su conexión de red. Para capturar paquetes de datos para un análisis exhaustivo, esto es lo que debe hacer:

1. Lanza Wireshark. Verás una lista de redes disponibles, así que haz clic en la que quieras examinar. También puede aplicar un filtro de captura, si desea identificar el tipo de tráfico.

2. Si desea inspeccionar varias redes, utilice el control» mayús + clic izquierdo».

3. A continuación, haga clic en el icono de aleta de tiburón situado en el extremo izquierdo de la barra de herramientas de arriba.

4. También puede iniciar la captura haciendo clic en la pestaña» Capturar «y seleccionando» Inicio » en la lista desplegable.

5. Otra forma de hacerlo es pulsando la tecla» Control – E».

A medida que el software agarra los datos, los verá aparecer en el panel lista de paquetes en tiempo real.

Shark Byte

Mientras que Wireshark es un analizador de red altamente avanzado, es sorprendentemente fácil de interpretar. El panel lista de paquetes es extremadamente completo y está bien organizado. Toda la información se distribuye en siete colores diferentes y se marca con códigos de colores claros.

Además, el software de código abierto viene con una serie de filtros de fácil aplicación que facilitan la supervisión. Al habilitar un filtro de captura, puede identificar qué tipo de tráfico desea que analice Wireshark. Y una vez que se hayan capturado los datos, puede aplicar varios filtros de visualización para búsquedas específicas. En general, es un mecanismo altamente eficiente que no es demasiado difícil de dominar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.