¿Su red es segura? Cómo analizar el tráfico de red con Wireshark
Wireshark es el analizador de protocolos de red líder utilizado por profesionales de la seguridad en todo el mundo. Le permite detectar anomalías en las redes informáticas y encontrar las causas subyacentes. Demostraremos cómo usar Wireshark en las siguientes secciones.
¿Entonces, cómo funciona? ¿Y cómo se usa Wireshark para capturar paquetes de datos?
¿Cómo funciona Wireshark?
El sólido conjunto de funciones de Wireshark lo ha convertido en una de las mejores herramientas para solucionar problemas de red . Mucha gente usa Wireshark, incluidos administradores de red, auditores de seguridad, analistas de malware e incluso atacantes.
Le permite realizar inspecciones profundas de paquetes de red en vivo o almacenados. Cuando empiece a utilizar Wireshark, quedará fascinado por la cantidad de información que puede ofrecer. Sin embargo, demasiada información a menudo dificulta mantener el rumbo.
Afortunadamente, podemos mitigar esto a través de las capacidades de filtrado avanzadas de Wireshark. Los discutiremos en detalle más adelante. El flujo de trabajo consiste en capturar paquetes de red y filtrar la información requerida.
Cómo utilizar Wireshark para la captura de paquetes
Una vez que inicie Wireshark, mostrará las interfaces de red conectadas a su sistema. Debería notar las curvas que representan la comunicación de red al lado de cada interfaz.
Ahora, debe elegir una interfaz específica antes de poder comenzar a capturar paquetes. Para hacer esto, seleccione el nombre de la interfaz y haga clic en el icono de aleta de tiburón azul. También puede hacer esto haciendo doble clic en el nombre de la interfaz.
Wireshark comenzará a capturar los paquetes entrantes y salientes para la interfaz seleccionada. Haga clic en el icono de pausa rojo para detener la captura. Debería ver una lista de los paquetes de red que se tomaron durante este proceso.
Wireshark mostrará el origen y el destino de cada paquete junto con el protocolo. Sin embargo, la mayoría de las veces estará interesado en el contenido del campo de información.
Puede inspeccionar paquetes individuales haciendo clic en ellos. De esta forma, puede ver el paquete de datos completo.
Cómo guardar paquetes capturados en Wireshark
Dado que Wireshark captura una gran cantidad de tráfico, a veces es posible que desee guardarlos para una inspección posterior. Afortunadamente, guardar los paquetes capturados con Wireshark es muy sencillo.
Para guardar paquetes, detenga la sesión activa. Luego haga clic en el ícono de archivo ubicado en el menú superior. También puede usar Ctrl + S para hacer esto.
Wireshark puede guardar paquetes en varios formatos, incluidos pcapng, pcap y dmp. También puede guardar los paquetes capturados en un formato que otras herramientas de análisis de red pueden usar más adelante.
Cómo analizar los paquetes capturados
Puede analizar los paquetes capturados previamente abriendo el archivo de captura. Una vez en la ventana principal, haga clic en Archivo> Abrir y luego seleccione el archivo guardado correspondiente.
También puede usar Ctrl + O para hacer esto rápidamente. Una vez que haya analizado los paquetes, salga de la ventana de inspección yendo a Archivo> Cerrar .
Cómo utilizar filtros de Wireshark
Wireshark ofrece una gran cantidad de sólidas capacidades de filtrado. Los filtros son de dos tipos: filtros de visualización y filtros de captura.
Uso de filtros de visualización de Wireshark
Los filtros de visualización se utilizan para ver paquetes específicos de todos los paquetes capturados. Por ejemplo, podemos usar el filtro de pantalla icmp para ver todos los paquetes de datos ICMP.
Puede elegir entre una gran cantidad de filtros. Además, también puede definir reglas de filtrado personalizadas para tareas triviales. Para agregar filtros personalizados, vaya a Analizar> Mostrar filtros . Haga clic en el icono + para agregar un nuevo filtro.
Uso de filtros de captura de Wireshark
Los filtros de captura se utilizan para especificar qué paquetes capturar durante una sesión de Wireshark. Produce significativamente menos paquetes que las capturas estándar. Puede utilizarlos en situaciones en las que necesite información específica sobre determinados paquetes.
Ingrese su filtro de captura en el campo justo encima de la lista de interfaces en la ventana principal. Seleccione el nombre de la interfaz de la lista y escriba el nombre del filtro en el campo anterior.
Haga clic en el icono de aleta de tiburón azul para comenzar a capturar paquetes. El siguiente ejemplo utiliza el filtro arp para capturar solo transacciones ARP.
Uso de las reglas para colorear de Wireshark
Wireshark proporciona varias reglas de coloración, que anteriormente se denominaban filtros de color. Es una gran función para analizar el tráfico de red extenso. También puede personalizarlos según sus preferencias.
Para mostrar las reglas de coloración actuales, vaya a Ver> Reglas de coloración . Aquí puede encontrar las reglas de coloración predeterminadas para su instalación.
Puede modificarlos de la forma que desee. Además, también puede utilizar las reglas de coloración de otras personas importando el archivo de configuración.
Descargue el archivo que contiene las reglas personalizadas y luego impórtelo seleccionando Ver> Reglas de coloración> Importar . Puede exportar reglas de manera similar.
Wireshark en acción
Hasta ahora, hemos discutido algunas de las características principales de Wireshark. Realicemos algunas operaciones prácticas para demostrar cómo se integran.
Hemos creado un servidor Go básico para esta demostración. Devuelve un mensaje de texto simple para cada solicitud. Una vez que el servidor se esté ejecutando, haremos algunas solicitudes HTTP y capturaremos el tráfico en vivo. Tenga en cuenta que estamos ejecutando el servidor en el localhost.
Primero, iniciamos la captura de paquetes haciendo doble clic en la interfaz Loopback (localhost). El siguiente paso es iniciar nuestro servidor local y enviar una solicitud GET. Estamos usando curl para hacer esto.
Wireshark capturará todos los paquetes entrantes y salientes durante esta conversación. Queremos ver los datos enviados por nuestro servidor, así que usaremos el filtro de visualización http.response para ver los paquetes de respuesta.
Ahora, Wireshark ocultará todos los demás paquetes capturados y mostrará solo los paquetes de respuesta. Si observa detenidamente los detalles del paquete, debería notar los datos de texto sin formato enviados por nuestro servidor.
Comandos útiles de Wireshark
También puede utilizar varios comandos de Wireshark para controlar el software desde su terminal Linux. Estos son algunos comandos básicos de Wireshark:
- wirehark inicia Wireshark en modo gráfico.
- wirehark -h muestra las opciones de línea de comandos disponibles.
- wirehark -i INTERFACE selecciona INTERFACE como interfaz de captura.
Tshark es la alternativa de línea de comandos para Wireshark. Es compatible con todas las funciones esenciales y es extremadamente eficiente.
Analice la seguridad de la red con Wireshark
El rico conjunto de funciones de Wireshark y las reglas de filtrado avanzadas hacen que el análisis de paquetes sea productivo y sencillo. Puede usarlo para encontrar todo tipo de información sobre su red. Pruebe sus funcionalidades más básicas para aprender a usar Wireshark para el análisis de paquetes.
Wireshark está disponible para descargar en dispositivos que ejecutan Windows, macOS y Linux.