10 consejos sobre cómo utilizar Wireshark para analizar paquetes en su red


En cualquier red de conmutación de paquetes, los paquetes representan unidades de datos que se transmiten entre computadoras. Es responsabilidad tanto de los ingenieros de red como de los administradores de sistemas monitorear e inspeccionar los paquetes por motivos de seguridad y resolución de problemas.

Para hacer esto, confían en programas de software llamados monitorear el tráfico en tiempo real, pero también para guardarlo en un archivo para su posterior inspección.

Lectura relacionada: Las mejores herramientas de monitoreo de ancho de banda de Linux para analizar el uso de la red

En este artículo, compartiremos 10 consejos sobre cómo usar Wireshark para analizar paquetes en su red y esperamos que cuando llegue a la sección Resumen se sienta inclinado a agregarlo a sus marcadores.

Instalación de Wireshark en Linux

Para instalar Wireshark, seleccione el instalador adecuado para su sistema operativo/arquitectura en https://www.wireshark.org/download.html.

En particular, si está utilizando Linux, Wireshark debe estar disponible directamente desde los repositorios de su distribución para una instalación más fácil a su conveniencia. Aunque las versiones pueden diferir, las opciones y los menús deben ser similares, si no idénticos en cada uno.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Hay un error conocido en Debian y sus derivados que pueden impedir que se enumeren las interfaces de red a menos que publique este artículo.

Una vez que Wireshark se esté ejecutando, puede seleccionar la interfaz de red que desea monitorear en Capturar:

En este artículo, usaremos eth0 , pero puede elegir otro si lo desea. No haga clic en la interfaz todavía; lo haremos más tarde, una vez que hayamos revisado algunas opciones de captura.

Las opciones de captura más útiles que consideraremos son:

  1. Interfaz de red: como explicamos anteriormente, solo analizaremos los paquetes que llegan a través de eth0, ya sean entrantes o salientes.
  2. Filtro de captura: esta opción nos permite indicar qué tipo de tráfico queremos monitorear por puerto, protocolo o tipo.

Antes de continuar con los consejos, es importante tener en cuenta que algunas organizaciones prohíben el uso de Wireshark en sus redes. Dicho esto, si no está utilizando Wireshark para fines personales, asegúrese de que su organización permita su uso.

Por el momento, simplemente seleccione eth0 de la lista desplegable y haga clic en Iniciar en el botón. Comenzará a ver todo el tráfico que pasa por esa interfaz. No es realmente útil para monitorear debido a la gran cantidad de paquetes inspeccionados, pero es un comienzo.

En la imagen de arriba, también podemos ver los iconos para listar las interfaces disponibles, para detener la captura actual, y reiniciarla (cuadro rojo a la izquierda) y configurar y editar un filtro (cuadro rojo a la derecha). Cuando pase el mouse sobre uno de estos íconos, se mostrará una información sobre herramientas para indicar lo que hace.

Comenzaremos ilustrando las opciones de captura, mientras que los consejos # 7 al # 10 discutirán cómo hacer algo útil con una captura.

SUGERENCIA # 1 - Inspeccione el tráfico HTTP

Escriba http en el cuadro de filtro y haga clic en Aplicar. Inicie su navegador y vaya a cualquier sitio que desee:

Para comenzar cada sugerencia posterior, detenga la captura en vivo y edite el filtro de captura.

SUGERENCIA # 2 - Inspeccione el tráfico HTTP de una dirección IP dada

En este consejo en particular, antepondremos ip u003du003d 192.168.0.10 && a la sección del filtro para monitorear el tráfico HTTP entre la computadora local y 192.168.0.10:

SUGERENCIA # 3 - Inspeccione el tráfico HTTP a una dirección IP dada

Estrechamente relacionado con el # 2, en este caso, usaremos ip.dst como parte del filtro de captura de la siguiente manera:

ip.dst==192.168.0.10&&http

Para combinar las sugerencias n. ° 2 y n. ° 3, puede usar ip.addr en la regla de filtrado en lugar de ip.src o ip.dst .

SUGERENCIA # 4 - Monitoree el tráfico de red de Apache y MySQL

A veces, le interesará inspeccionar el tráfico que coincida con una (o ambas) condiciones. Por ejemplo, para monitorear el tráfico en los puertos TCP 80 (servidor web) y 3306 (servidor de base de datos MySQL/MariaDB), puede usar una condición OR en el filtro de captura:

tcp.port==80||tcp.port==3306

En los consejos # 2 y # 3, || y la palabra o producen los mismos resultados. Lo mismo con && y la palabra y.

SUGERENCIA # 5 - Rechazar paquetes a una dirección IP dada

Para excluir los paquetes que no coinciden con la regla de filtrado, use ! y encierre la regla entre paréntesis. Por ejemplo, para excluir paquetes que se originan o se dirigen a una dirección IP determinada, puede utilizar:

!(ip.addr == 192.168.0.10)

SUGERENCIA # 6 - Monitorear el tráfico de la red local (192.168.0.0/24)

La siguiente regla de filtro mostrará solo el tráfico local y excluirá los paquetes que van y vienen de Internet:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

SUGERENCIA # 7 - Monitorear el contenido de una conversación TCP

Para inspeccionar el contenido de una conversación TCP (intercambio de datos), haga clic con el botón derecho en un paquete determinado y seleccione Seguir flujo TCP. Aparecerá una ventana emergente con el contenido de la conversación.

Esto incluirá encabezados HTTP si estamos inspeccionando el tráfico web, y también cualquier credencial de texto sin formato transmitida durante el proceso, si corresponde.

SUGERENCIA # 8 - Editar reglas de coloración

Estoy seguro de que ya habrás notado que cada fila de la ventana de captura está coloreada. De forma predeterminada, el tráfico HTTP aparece en fondo verde con texto negro, mientras que los errores de suma de comprobación se muestran en texto rojo con fondo negro.

Si desea cambiar esta configuración, haga clic en el icono Editar reglas de coloración, elija un filtro determinado y haga clic en Editar.

SUGERENCIA # 9 - Guarde la captura en un archivo

Guardar el contenido de la captura nos permitirá poder inspeccionarlo con mayor detalle. Para hacer esto, vaya a Archivo → Exportar y elija un formato de exportación de la lista:

SUGERENCIA # 10 - Practique con muestras de captura

Si cree que su red es "aburrida", Wireshark proporciona una serie de archivos de captura de muestra que puede utilizar para practicar y aprender. Puede descargar estas SampleCaptures e importarlas a través del menú Archivo → Importar.

Wireshark es un software gratuito y de código abierto, como puede ver en la sección de preguntas frecuentes del sitio web oficial. Puede configurar un filtro de captura antes o después de iniciar una inspección.

En caso de que no se haya dado cuenta, el filtro tiene una función de autocompletar que le permite buscar fácilmente las opciones más utilizadas que puede personalizar más adelante. ¡Con eso, el cielo es el límite!

Como siempre, no dude en escribirnos mediante el formulario de comentarios a continuación si tiene alguna pregunta u observación sobre este artículo.