Cool Things In My Cloud

Tutorial Wireshark

Escrito por

ChatGPT

en

, ,

Introducción

Wireshark es la herramienta más utilizada para capturar y analizar tráfico de red. Con ella puedes diagnosticar problemas, entender protocolos y detectar posibles ataques. Este tutorial te guiará paso a paso para que pases de principiante a usuario avanzado.

1. Instalación y Configuración Inicial

a) Descargar Wireshark

b) Instalación

  • Windows: Ejecuta el instalador y selecciona “WinPcap” o “Npcap” cuando se te pregunte. Esto permite la captura de paquetes en tiempo real.
  • Linux: Se puede instalar con el gestor de paquetes:
sudo apt install wireshark

Asegúrate de permitir que usuarios no root puedan capturar paquetes.

c) Configuración Inicial

  • Abre Wireshark y selecciona la interfaz de red que quieras monitorizar (Wi-Fi, Ethernet, VPN, etc.).
  • Activa el modo promiscuo para capturar todo el tráfico, no solo el destinado a tu dispositivo.

2. Captura de Paquetes

a) Iniciar una Captura

  1. Selecciona la interfaz de red.
  2. Haz clic en Start para comenzar a capturar tráfico.
  3. Wireshark mostrará los paquetes en tiempo real.

b) Pausar o Detener la Captura

  • Pausa: Para analizar mientras sigue capturando.
  • Stop: Para finalizar y guardar la sesión en un archivo .pcap o .pcapng.

c) Guardar la Captura

  • Ve a File → Save As y guarda el archivo para análisis posterior.

3. Entendiendo la Interfaz de Wireshark

  1. Lista de paquetes: Muestra todos los paquetes capturados con información básica: número de paquete, hora, origen, destino, protocolo y longitud.
  2. Detalles del paquete: Muestra la estructura del paquete por capas (Ethernet, IP, TCP/UDP, aplicación).
  3. Hexadecimal / ASCII: Representación cruda del paquete para análisis profundo.
  4. Filtros: Permiten concentrarse en tráfico específico.

4. Filtros de Wireshark

a) Filtros de Captura

  • Se aplican antes de capturar paquetes.
  • Ejemplo: capturar solo tráfico HTTP
tcp port 80

b) Filtros de Visualización

  • Se aplican después de capturar paquetes.
  • Ejemplo: mostrar solo tráfico de una IP específica
ip.addr == 192.168.1.10
  • Mostrar solo tráfico TCP
tcp

c) Filtros Avanzados

  • Combinar condiciones:
ip.src == 192.168.1.10 && tcp.port == 443
  • Mostrar paquetes que contienen texto HTTP específico:
http contains "login"

5. Análisis de Protocolos

a) Protocolos Comunes

  • TCP: Verifica la conexión, retransmisiones y errores.
  • UDP: Para streaming o DNS, sin confirmación de entrega.
  • HTTP/HTTPS: Analiza solicitudes y respuestas web.
  • DNS: Consulta de nombres de dominio.
  • ARP: Traducción de IP a MAC.

b) Seguimiento de Conversaciones

  • Haz clic derecho sobre un paquete y selecciona Follow → TCP Stream para ver la comunicación completa entre dos dispositivos.

c) Estadísticas y Gráficos

  • Statistics → Protocol Hierarchy: Muestra el porcentaje de cada protocolo en la captura.
  • Statistics → Conversations: Analiza todas las conexiones entre dispositivos.
  • Statistics → IO Graphs: Visualiza el tráfico de red a lo largo del tiempo.

6. Casos Prácticos de Análisis

a) Detectar Retransmisiones TCP

  • Filtra:
tcp.analysis.retransmission
  • Útil para diagnosticar problemas de red o latencia.

b) Analizar Tráfico DNS

  • Filtra:
dns
  • Revisa solicitudes y respuestas para detectar problemas de resolución de nombres.

c) Inspeccionar Tráfico HTTP

  • Filtra:
http
  • Puedes reconstruir páginas web o identificar errores en la comunicación con servidores.

d) Detectar Ataques Básicos

  • ARP Spoofing: Filtra paquetes ARP duplicados o sospechosos.
  • Escaneo de Puertos: Observa múltiples intentos de conexión a diferentes puertos desde la misma IP.

7. Consejos Avanzados

  1. Aprende los códigos de protocolo: Saber interpretar flags TCP (SYN, ACK, FIN) facilita la identificación de problemas.
  2. Usa perfiles: Wireshark permite configurar perfiles con filtros y columnas personalizadas.
  3. Reensamblaje de TCP: Para ver el contenido completo de un archivo o mensaje, activa Preferences → Protocols → TCP → Reassemble TCP streams.
  4. Automatiza análisis: Se pueden usar scripts en Tshark (versión de línea de comandos de Wireshark) para procesar grandes cantidades de tráfico.

8. Seguridad y Ética

  • Solo captura tráfico de redes propias o autorizadas.
  • Los archivos .pcap pueden contener datos sensibles como contraseñas o tokens.
  • Wireshark es una herramienta poderosa, pero mal usada puede infringir la ley.

Conclusión

Wireshark es más que un simple monitor de red: es una herramienta educativa, de diagnóstico y de seguridad. Con práctica y comprensión de filtros, protocolos y estadísticas, puedes convertirte en un experto en análisis de tráfico y resolución de problemas en redes.

El dominio de Wireshark requiere paciencia: captura, filtra, analiza y repite hasta que puedas identificar patrones y problemas complejos con facilidad.

Comentarios

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Más entradas

Powered by
Necessary cookies enable essential site features like secure log-ins and consent preference adjustments. They do not store personal data.
None
Functional cookies support features like content sharing on social media, collecting feedback, and enabling third-party tools.
None
Analytical cookies track visitor interactions, providing insights on metrics like visitor count, bounce rate, and traffic sources.
None
Advertisement cookies deliver personalized ads based on your previous visits and analyze the effectiveness of ad campaigns.
None
Powered by