Table of Contents
10 consejos sobre cómo utilizar Wireshark para analizar paquetes en su red
En cualquier red de conmutación de paquetes, los paquetes representan unidades de datos que se transmiten entre computadoras. Es responsabilidad tanto de los ingenieros de red como de los administradores de sistemas monitorear e inspeccionar los paquetes con fines de seguridad y resolución de problemas.
Para hacer esto, confían en programas de software llamados analizadores de paquetes de red, con Wireshark. quizás sea el más popular y utilizado debido a su versatilidad y facilidad de uso. Además de esto, Wireshark. le permite no solo monitorear el tráfico en tiempo real, sino también guardarlo en un archivo para una inspección posterior.
Lectura relacionada. Las mejores herramientas de monitoreo de ancho de banda de Linux para analizar el uso de la red
En este artículo, compartiremos 10 consejos sobre cómo usar Wireshark. para analizar paquetes en su red y esperamos que cuando llegue a la sección Resumen, se sentirá inclinado a agregarlo a sus marcadores.
Instalación de Wireshark en Linux
Para instalar Wireshark. seleccione el instalador correcto para su sistema operativo/arquitectura desde https://www.wireshark.org/download.html.
freestar.config.enabled_slots.push
Particularmente, si está utilizando Linux, Wireshark debe estar disponible directamente desde los repositorios de su distribución para una instalación más fácil a su conveniencia. Aunque las versiones pueden diferir, las opciones y los menús deben ser similares, si no idénticos en cada uno.
————En las distribuciones basadas en Debian/Ubuntu———— $ sudo apt-get install wirehark ————En distribuciones basadas en CentOS/RHEL———— $ sudo yum install wirehark ————En versiones de Fedora 22+———— $ sudo dnf install wirehark
Existe un error conocido en Debian. y sus derivados que pueden impedir que se enumeren las interfaces de red a menos que use sudo para iniciar Wireshark. Para solucionar esto, siga la respuesta aceptada en esta publicación.
Una vez que Wireshark. se esté ejecutando, puede seleccionar la interfaz de red que desea monitorear en Capture.
Wireshark Network Analyzer
En este artículo, usaremos eth0, pero puede elegir otro si tú deseas. No haga clic en la interfaz todavía; lo haremos más tarde una vez que hayamos revisado algunas opciones de captura.
Configuración de las opciones de captura
Las opciones de captura más útiles que consideraremos son:
- Interfaz de red. como explicamos antes, solo analizaremos los paquetes que llegan a través de eth0. ya sean entrantes o salientes.
- Captura filter. esta opción nos permite indicar qué tipo de tráfico queremos monitorear por puerto, protocolo o tipo.
Antes de continuar con los consejos, es importante tenga en cuenta que algunas organizaciones prohíben el uso de Wireshark. en sus redes. Dicho esto, si no está utilizando Wireshark para fines personales, asegúrese de que su organización permita su uso.
Por el momento, seleccione eth0 en la lista desplegable y haga clic en Iniciar. en el botón. Comenzará a ver todo el tráfico que pasa por esa interfaz. No es realmente útil para monitorear debido a la gran cantidad de paquetes inspeccionados, pero es un comienzo.
Supervisar el tráfico de la interfaz de red
En la imagen anterior, también podemos ver los iconos. para enumerar las interfaces disponibles, detener. la captura actual y reiniciar. (cuadro rojo a la izquierda. y configurar y editar un filtro (cuadro rojo a la derecha. . Cuando pase el mouse sobre uno de estos íconos, se mostrará una información sobre herramientas para indicar lo que hace.
Comenzaremos ilustrando las opciones de captura, mientras que los consejos del # 7. al # 10. analizarán cómo hacer realmente algo útil con una captura.
SUGERENCIA n. ° 1: inspeccionar el tráfico HTTP
Escriba http en el cuadro de filtro y haga clic en Aplicar. Inicie su navegador y vaya al sitio que desee:
Inspeccionar tráfico de red HTTP
Para comenzar cada sugerencia posterior, detenga la captura en vivo y edite el filtro de captura.
SUGERENCIA # 2-Inspeccione el tráfico HTTP desde una dirección IP dada
En esta sugerencia en particular, antepondrá ip == 192.168.0.10 && a la sección del filtro para monitorear el tráfico HTTP entre la computadora local y 192.168.0.10.
Inspeccionar el tráfico HTTP en la dirección IP
SUGERENCIA # 3-Inspeccionar el tráfico HTTP a una dirección IP dada
Estrechamente relacionado con # 2. en este caso, utilizaremos ip.dst como parte del filtro de captura de la siguiente manera:
ip.dst == 192.168.0.10 && http 
Supervisar el tráfico de la red HTTP a la dirección IP
Para combinar los consejos # 2. y # 3. puede usar ip.addr en la regla de filtro en lugar de ip.src o ip.dst.
SUGERENCIA # 4-Monitorear el tráfico de red de Apache y MySQL
A veces le interesará inspeccionar el tráfico que coincida con cualquiera (o ambas) condiciones. Por ejemplo, para monitorear el tráfico en los puertos TCP 80. (servidor web) y 3306. (servidor de base de datos MySQL/MariaDB), puede usar una condición OR en el filtro de captura:
tcp.port == 80 || tcp.port == 3306 
Supervisar el tráfico de Apache y MySQL
En los consejos # 2. y # 3. || y la palabra o. producen los mismos resultados. Lo mismo con && y la palabra y.
SUGERENCIA # 5-Rechazar paquetes a una dirección IP dada
Para excluir paquetes que no coinciden con la regla de filtrado, use! e incluya la regla entre paréntesis. Por ejemplo, para excluir paquetes que se originan o están dirigidos a una dirección IP determinada, puede usar:
! (Ip.addr == 192.168.0.10)
SUGERENCIA # 6-Monitorear el tráfico de red local (192.168.0.10). 0.0/24)
La siguiente regla de filtro mostrará solo el tráfico local y excluirá los paquetes que van y vienen de Internet:
ip.src == 192.168.0.0/24 e ip.dst == 192.168.0.0/24 
Monitorear el tráfico de la red local
SUGERENCIA # 7-Monitorear el contenido de una conversación TCP
Para inspeccionar el contenido de una conversación TCP. (intercambio de datos), derecha-haga clic en un paquete determinado y elija Seguir la secuencia TCP. Aparecerá una ventana emergente con el contenido de la conversación.
Esto incluirá encabezados HTTP. si estamos inspeccionando el tráfico web, y también cualquier credencial de texto sin formato transmitida durante el proceso si cualquiera.
Supervisar la conversación TCP
SUGERENCIA # 8-Editar reglas de coloración
A estas alturas Estoy seguro de que ya notó que cada fila en la ventana de captura está coloreada. De forma predeterminada, el tráfico HTTP. aparece en el fondo verde. con texto negro, mientras que los errores de suma de comprobación. se muestran en texto rojo. con un fondo negro.
Si desea cambiar esta configuración, haga clic en el icono Editar. reglas de coloración, elija un filtro determinado y haga clic en Editar.
Personalizar la salida de Wireshark en colores
SUGERENCIA N. ° 9-Guardar la captura en un archivo
Guardar la estafa Las carpas de captura nos permitirán poder inspeccionarlo con mayor detalle. Para hacer esto, vaya a Archivo → Exportar. y elija un formato de exportación de la lista:
Guarde la captura de Wireshark en un archivo
SUGERENCIA # 10-Practique con muestras de captura
Si cree que su red es “ aburrida. , Wireshark proporciona una serie de archivos de captura de muestra que puede utilizar para practicar y aprender. Puede descargar estas SampleCaptures e importarlas a través del menú Archivo → Importar.
Resumen
Wireshark. es un software gratuito y de código abierto, como puede ver en la sección de preguntas frecuentes del sitio web oficial. Puede configurar un filtro de captura antes o después de iniciar una inspección.
En caso de que no se haya dado cuenta, el filtro tiene una función de autocompletar que le permite buscar fácilmente las opciones más utilizadas que puede personalizar mas tarde. ¡Con eso, el cielo es el límite!
Como siempre, no dude en escribirnos mediante el formulario de comentarios a continuación si tiene alguna pregunta u observación sobre este artículo.
