Wireshark es uno de los analizadores de paquetes de red más populares. Adoptado por los administradores de red de todo el mundo, se convirtió en una de las herramientas esenciales de solución de problemas de red para los equipos IT.
Sigue leyendo para aprender más sobre Wireshark, algunos casos de uso y alternativas relevantes, y la forma de utilizarlo para mantener una red firme dentro de tu organización.
¿Qué es Wireshark?
En términos simples, Wireshark es un analizador de protocolos de red o un sniffer de paquetes. Es capaz de capturar paquetes en una conexión entre dos PCs, un servidor y una PC, o una LAN e internet.
Actualmente está disponible en Linux, macOS, varios sistemas UNIX y Microsoft Windows con una interfaz gráfica desarrollada con Qt. También existe una versión sin interfaz gráfica llamada TShark.
Además de solucionar problemas, Wireshark se utiliza para aplicaciones de ciberseguridad, para probar la estabilidad de las apps e incluso como herramienta de aprendizaje.
¿Cómo utilizar Wireshark?
La herramienta es muy fácil de usar. En primer lugar, independientemente del sistema operativo que tengas, empieza descargando Wireshark desde el sitio web oficial (¡es gratis!).
Ahora, veamos los pasos que debes seguir según tu sistema operativo.
Wireshark para Windows
Abre el ejecutable y sigue los pasos para instalarlo. Si es la primera vez que lo pruebas, elige las opciones predeterminadas (sólo tienes que pulsar el botón siguiente).
Wireshark para macOS
También puedes utilizar un proceso similar al de Windows en macOS. Sólo tienes que descargar, ejecutar el archivo ejecutable, y listo.
Con homebrew te aseguras que la instalación de Wireshark se realiza sin problemas. Pero primero necesitas instalar Homebrew, luego abre la terminal en tu sistema y ejecuta este comando:
brew install wireshark
Así, homebrew instalará Wireshark en tu sistema.
Wireshark para Linux
El proceso de instalación en Linux puede variar según las distribuciones. Así es como se ejecuta el proceso para Ubuntu:
Primero, actualiza APT con este comando:
sudo apt update
Instala Wireshark tipeando lo siguiente:
sudo apt-get install wireshark
Captura de paquetes con Wireshark
Una vez instalado, abre Wireshark. Te aparecerá una pantalla que muestra todas las conexiones de red que puedes monitorear.
Para empezar, elige las redes que quieres reunir. A continuación, sólo tienes que hacer clic en el botón similar al logotipo de Wireshark (marcado como "Empezar a capturar paquetes") o ir al menú de captura y oprimir "Empezar".
Luego, la herramienta comienza a capturar los paquetes de red.
Puedes utilizar el botón rojo de la esquina superior izquierda para detener la captura. Para guardar los paquetes capturados, debes optar por "Archivo" - "Guardar como".
Filtros Wireshark: ¿Cómo filtrar e inspeccionar paquetes?
Hay dos tipos de filtros Wireshark: captura y visualización.
Los filtros de captura de Wireshark impiden que se guarden los paquetes de red. Para utilizarlos, basta con añadir los filtros en la sección situada justo encima de la lista de conexiones al abrir Wireshark.
Por ejemplo, puedes usar el filtro para capturar paquetes sólo desde y hacia una dirección específica IP. En primer lugar, introduce la dirección IP del host de comandos. Por ejemplo:
host 172.18.5.4
La sintaxis de estos filtros es bastante fácil de entender. Si sólo quieres tráfico a través de un puerto o dirección IP específicos, menciónalos en el filtro de captura. Por ejemplo, para obtener sólo el tráfico del puerto 53, simplemente escribes puerto 53.
Si prefieres evitar paquetes de un puerto o dirección IP específicos, simplemente escribe “not” seguido del puerto o la dirección IP. Por ejemplo, para no incluir paquetes del puerto 53, simplemente escribes: no puerto 53.
Los filtros de visualización, por su parte, están disponibles para analizar o encontrar los paquetes más relevantes para ti. Pueden configurarse antes, durante o después de capturar los paquetes. No se mostrarán. Wireshark te permite añadir estos filtros en el espacio de la parte superior de la pantalla principal.
Así los editas durante el proceso de captura:
Y una vez que hayas detenido la captura de paquetes, es posible filtrar los paquetes yendo a "Analizar - Mostrar filtros" y eligiendo los filtros:
Codificación por colores de Wireshark
Por defecto, Wireshark sigue el siguiente esquema para marcar los diferentes paquetes:
|
Codificación por colores de Wireshark |
Paquete |
|
Morado claro |
TCP |
|
Azul claro |
UDP |
|
Negro |
El paquete tiene errores |
|
Verde claro |
Tráfico HTTP |
|
Amarillo claro |
smb, nbss, nbns, nbipx, NetBIOS |
|
Amarillo oscuro |
Enrutamiento |
|
Gris oscuro |
TCP SYN, FIN |
Puedes acceder a estas reglas en "Ver" - "Colorear reglas".
Wireshark también te permite establecer reglas temporales al realizar análisis o guardar normas permanentes para su uso posterior.
Para instaurar una regla temporal, simplemente haz clic en un paquete, y pulsa la tecla Ctrl junto con cualquier botón numérico. Primero, el filtro intentará identificar todos los paquetes con el mismo TCP y los marcará con un color similar. Otras reglas señalarán aquellos con el mismo UDP, misma IP, seguido de la misma ethernet.
También puedes establecer reglas de coloreado permanentes dirigiéndote a "Ver" - "Reglas de coloreado".
Cabe destacar que la comunidad Wireshark desarrolló muchas reglas de coloreado útiles que puedes descargar y utilizar.
Solución de problemas de red con Wireshark
Wireshark identifica la pérdida de paquetes o en caso de que muchos inundan la red. Por ejemplo, puedes utilizar el menú Estadísticas para determinar dónde se genera el tráfico más significativo o anormal.
Casos de uso comunes de Wireshark
Solucionar problemas de latencia en la red
Aunque no puedas detectar problemas de red con Wireshark, sí ofrece la posibilidad de averiguar la causa.
Por ejemplo, tal vez tus servidores no procesan peticiones legítimas: esto lo puedes identificar con Wireshark.
Seguridad de la red
Si una herramienta de monitoreo hace sonar una alarma, puedes utilizar Wireshark para confirmar los problemas de seguridad.
Por ejemplo, una red inundada por repetidas peticiones durante un ataque DOS. El usuario captura los paquetes de red y utiliza Wireshark para determinar de dónde proceden estas solicitudes.
También es posible usar Wireshark para observar cómo funcionan tus configuraciones de seguridad después de haberlas ajustado.
Probar implementaciones de protocolos
Cuando se trabaja con protocolos nuevos o desconocidos, pueden surgir problemas de interoperabilidad.
Wireshark soporta más de cien protocolos y es capaz de capturar y diseccionar paquetes de red de cualquiera de estos protocolos.
Alternativas a Wireshark
Aunque Wireshark sigue siendo un estándar de la industria, a lo largo de los años surgieron varias otras alternativas. He aquí algunas de ellas:
Cloudshark
Potente analizador de redes, Cloudshark está orientado más a empresas y equipos de seguridad. Esto significa que se despliega en la nube o en las instalaciones (on-premise) y, a diferencia de Wireshark, se accede a través de un navegador.
Sysdig
Con un par de soluciones orientadas a la seguridad en la nube, Kubernetes y contenedores, Sysdig constituye otra alternativa a Wireshark.
Sysdig te ayudará a asegurar tu sistema de la nube y contenedores con detección automática de amenazas. A diferencia de Wireshark, no se trata sólo de análisis, sino también de monitoreo.
Packets (mojo Packets)
Utilizado principalmente para solucionar problemas de conexiones wi-fi, Packets está basado en en la nube. Ayuda a visualizar y analizar paquetes reunidos desde casi todas las herramientas de captura. Al igual que Cloudshark, te permite colaborar con otros para diagnosticar problemas rápidamente.
Colasoft
Colasoft dispone de un conjunto de herramientas para el análisis de redes y el monitoreo del rendimiento. Las herramientas premium de análisis de rendimiento de red de Capsa Enterprise permiten la supervisión de red 24/7 y el análisis en profundidad de paquetes.
SmartSniff
SmartSniff te permite capturar paquetes TCP/IP a través de tus adaptadores de red. La solución ofrece la ventaja de visualizar estos paquetes como una conversación entre servidores y clientes.
Resumen
Wireshark es una herramienta de código abierto de captura y análisis de paquetes. Te ayuda a analizar los paquetes en una red y a solucionar posibles problemas.
Hay dos tipos de filtros Wireshark: de captura y de visualización. Los primeros son para capturar sólo paquetes específicos, mientras que con los últimos todos los paquetes son capturados, aunque sólo algunos son mostrados.
Asimismo, Wireshark ofrece reglas de colores para facilitar el análisis de los paquetes capturados.
Preguntas Frecuentes
¿Para qué se utiliza Wireshark?
Wireshark es una herramienta para capturar y analizar paquetes en una red. Puedes usarlo para solucionar problemas de red, analizar la seguridad de esta última, aprender diferentes protocolos de red y probar implementaciones de protocolos.
¿Cómo leer los paquetes capturados por Wireshark?
Para reunir paquetes de red, abre Wireshark, elige las redes y haz clic en el botón de captura. Estos paquetes aparecerán en una lista numerada.
La columna de hora muestra el momento en que se capturó el paquete. Las de origen y destino exhiben de dónde estamos obteniendo los paquetes y hacia dónde se dirigen. La de protocolo, el protocolo de red que el paquete de datos específico estaba usando; y la longitud, el tamaño del paquete de datos.
¿Es seguro Wireshark?
Sí. Aunque puede utilizarse con fines poco éticos, eres libre de usarlo en tus redes o en aquellas para las que tengas permiso.
¿Es gratuito Wireshark?
Wireshark es de código abierto y está disponible gratuitamente.
