10 consejos sobre cómo usar Wireshark para analizar paquetes en su red


En cualquier red de conmutación de paquetes, los paquetes representan unidades de datos que se transmiten entre computadoras. Es responsabilidad de los ingenieros de red y de los administradores de sistemas supervisar e inspeccionar los paquetes por motivos de seguridad y resolución de problemas.

Para hacer esto, confían en los programas de software llamados analizadores de paquetes de red, siendo Wireshark el más popular y utilizado debido a su versatilidad y facilidad de uso. Además de esto, Wireshark le permite no solo monitorear el tráfico en tiempo real, sino también guardarlo en un archivo para su posterior inspección.

En este artículo, compartiremos 10 consejos sobre cómo utilizar Wireshark para analizar paquetes en su red, y esperamos que cuando llegue a la sección de Resumen se sienta inclinado a agregarlos a sus marcadores.

Instalación de Wireshark en Linux

Para instalar Wireshark , seleccione el instalador adecuado para su sistema operativo/arquitectura en https://www.wireshark.org/download.html.

En particular, si está utilizando Linux, Wireshark debe estar disponible directamente desde los repositorios de su distribución para una instalación más fácil a su conveniencia Aunque las versiones pueden diferir, las opciones y los menús deben ser similares, si no son idénticos en cada una.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Hay un error conocido en Debian y derivados que pueden impedir la inclusión de las interfaces de red a menos que use sudo para iniciar Wireshark. Para solucionar esto, siga la respuesta aceptada en este post.

Una vez que se esté ejecutando Wireshark , puede seleccionar la interfaz de red que desea monitorear en Captura :

En este artículo utilizaremos eth0 , pero puede elegir otro si lo desea. No haga clic en la interfaz todavía; lo haremos más adelante una vez que hayamos revisado algunas opciones de captura.

Las opciones de captura más útiles que consideraremos son:

  1. Network interface – As we explained before, we will only analyze packets coming through eth0, either incoming or outcoming.
  2. Capture filter – This option allows us to indicate what kind of traffic we want to monitor by port, protocol, or type.

Antes de continuar con los consejos, es importante tener en cuenta que algunas organizaciones prohíben el uso de Wireshark en sus redes. Dicho esto, si no está utilizando Wireshark para fines personales, asegúrese de que su organización permita su uso.

Por el momento, simplemente seleccione eth0 en la lista desplegable y haga clic en Iniciar en el botón. Comenzará a ver todo el tráfico que pasa por esa interfaz. No es realmente útil para fines de monitoreo debido a la gran cantidad de paquetes inspeccionados, pero es un comienzo.

En la imagen de arriba también podemos ver los iconos para enumerar las interfaces disponibles, detener la captura actual y reiniciar (cuadro rojo en la izquierda ) y para configurar y editar un filtro (cuadro rojo en la derecha ). Cuando se desplaza sobre uno de estos íconos, se mostrará una información sobre herramientas para indicar lo que hace.

Comenzaremos por ilustrar las opciones de captura, mientras que las sugerencias # 7 a través de # 10 discutirán cómo hacer realmente algo útil con una captura.

TIP # 1 - Inspeccionar el tráfico HTTP

Escriba http en el cuadro de filtro y haga clic en Aplicar . Inicie su navegador y vaya a cualquier sitio que desee:

Para comenzar con cada sugerencia posterior, detenga la captura en vivo y edite el filtro de captura.

CONSEJO # 2: inspeccionar el tráfico HTTP desde una dirección IP dada

En esta sugerencia en particular, añadiremos ip == 192.168.0.10 & amp; & amp; a la sección del filtro para monitorear el tráfico HTTP entre la computadora local y 192.168.0.10 :

TIP # 3 - Inspeccionar el tráfico HTTP a una dirección IP dada

Muy relacionado con # 2 , en este caso usaremos ip.dst como parte del filtro de captura de la siguiente manera:

ip.dst==192.168.0.10&&http

Para combinar las sugerencias # 2 y # 3 , puede usar ip.addr en la regla de filtro en lugar de ip.src o ip.dst .

TIP # 4 - Monitorea el tráfico de red de Apache y MySQL

A veces, estará interesado en inspeccionar el tráfico que coincida con cualquiera (o ambas) condiciones. Por ejemplo, para monitorear el tráfico en los puertos TCP 80 (servidor web) y 3306 (servidor de base de datos MySQL/MariaDB), puede usar un O Condición en el filtro de captura:

tcp.port==80||tcp.port==3306

En las sugerencias # 2 y # 3 , || y la palabra o se obtienen los mismos resultados. Lo mismo ocurre con & amp; & amp; y las palabras y .

TIP # 5 - Rechazar paquetes a una dirección IP dada

Para excluir paquetes que no coincidan con la regla de filtro, use ! y encierre la regla entre paréntesis. Por ejemplo, para excluir paquetes originados o dirigidos a una dirección IP determinada, puede usar:

!(ip.addr == 192.168.0.10)

TIP # 6 - Monitorear el tráfico de la red local (192.168.0.0/24)

La siguiente regla de filtro mostrará solo el tráfico local y excluirá los paquetes que entran y salen de Internet:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

TIP # 7 - Monitorea el contenido de una conversación TCP

Para inspeccionar el contenido de una conversación TCP (intercambio de datos), haga clic derecho en un paquete dado y elija Seguir TCP . Aparecerá una ventana emergente con el contenido de la conversación.

Esto incluirá los encabezados HTTP si estamos inspeccionando el tráfico web, y también las credenciales de texto sin formato transmitidas durante el proceso, si las hubiera.

TIP # 8 - Editar reglas de coloración

A estas alturas, estoy seguro de que ya notaste que cada fila en la ventana de captura está coloreada. De forma predeterminada, el tráfico HTTP aparece en un fondo verde con texto negro, mientras que los errores suma de comprobación se muestran en el texto rojo con fondo negro.

Si desea cambiar esta configuración, haga clic en el icono de Editar reglas de color, elija un filtro determinado y haga clic en Editar .

CONSEJO # 9 - Guardar la captura en un archivo

Guardar el contenido de una captura nos permitirá inspeccionarla con mayor detalle. Para hacer esto, vaya a Archivo → Exportar y elija un formato de exportación de la lista:

CONSEJO # 10 - Practica con la captura de muestras

Si cree que su red es " aburrida ", Wireshark proporciona una serie de archivos de captura de muestra que puede usar para practicar y aprender. Puede descargar estas Capturas de muestra e importarlas a través del menú Archivo → Importar .

Wireshark es un software gratuito y de código abierto, como puede ver en la sección de preguntas frecuentes del sitio web oficial. Puede configurar un filtro de captura antes o después de iniciar una inspección.

En caso de que no se haya dado cuenta, el filtro tiene una función de autocompletado que le permite buscar fácilmente las opciones más utilizadas que puede personalizar más adelante. Con eso, el cielo es el límite!

Como siempre, no dude en escribirnos usando el formulario de comentarios a continuación si tiene alguna pregunta u observación sobre este artículo.