*~кαтe~*
Shadow Thief
Usuario Avanzado
- Joined
- October 28, 2006
- Messages
- 1,311
- Reaction score
- 364
- Points
- 110
Análisis de Tráfico de Red con Wireshark
Introducción
Wireshark es una herramienta de análisis de tráfico de red gratuita y de código abierto que permite capturar y analizar los datos que circulan por una red en tiempo real. Es ampliamente utilizada por profesionales de TI, administradores de sistemas y expertos en seguridad para diagnosticar problemas de red, monitorizar el tráfico y detectar posibles amenazas. En esta guía, te enseñaremos los conceptos básicos para empezar a usar Wireshark de manera efectiva.Instalación y Configuración
Instalación en Windows
- Descarga: Ve a la página oficial de Wireshark aquí y descarga el instalador para Windows.
- Instalación: Ejecuta el instalador y sigue las instrucciones en pantalla. Asegúrate de seleccionar la opción para instalar WinPcap, que es necesario para capturar el tráfico de red.
Instalación en Linux
Para distribuciones basadas en Debian (como Ubuntu), puedes instalar Wireshark usando el siguiente comando:
Code:
sudo apt update
sudo apt install wireshark
Para otras distribuciones, consulta la documentación oficial para instrucciones específicas.
Captura de Tráfico de Red
- Abrir Wireshark: Inicia Wireshark desde el menú de aplicaciones.
- Seleccionar Interfaz: En la pantalla principal, verás una lista de interfaces de red disponibles. Selecciona la interfaz a través de la cual quieres capturar el tráfico (por ejemplo, eth0 para Ethernet o wlan0 para Wi-Fi).
- Iniciar Captura: Haz clic en el botón de inicio (icono de aleta de tiburón verde) para comenzar la captura de paquetes.
Análisis Básico de Paquetes
Una vez que hayas capturado algunos paquetes, puedes empezar a analizarlos. Aquí te mostramos cómo realizar algunas tareas básicas:Filtros de Captura
Los filtros de captura te permiten definir qué tipo de tráfico deseas capturar. Algunos ejemplos comunes:Capturar solo tráfico HTTP:
Code:
tcp port 80
Capturar tráfico de una dirección IP específica:
Code:
host 192.168.1.1
Filtros de Visualización
Los filtros de visualización te ayudan a enfocarte en paquetes específicos después de la captura. Algunos ejemplos comunes:Mostrar solo tráfico HTTP:
Code:
http
Mostrar paquetes enviados o recibidos por una dirección IP específica:
Code:
ip.addr == 192.168.1.1
Análisis de Paquetes
- Seleccionar un Paquete: Haz clic en cualquier paquete en la lista principal para ver los detalles.
- Detalles del Paquete: En la parte inferior de la ventana, verás una vista en árbol de las capas del paquete seleccionado (por ejemplo, Ethernet, IP, TCP).
- Datos Crudos: La pestaña de "Datos Crudos" muestra el contenido hexadecimal y ASCII del paquete.
Identificación de Tráfico Sospechoso
Para identificar tráfico sospechoso, puedes buscar patrones inusuales o comportamientos anómalos, como:- Puertos No Estándar: Tráfico en puertos no comunes que podrían indicar actividad no autorizada.
- Direcciones IP Desconocidas: Comunicación con direcciones IP no reconocidas o fuera de lo común.
- Paquetes Repetidos: Alto volumen de paquetes similares que podrían ser indicativos de un ataque de denegación de servicio (DoS).
Ejemplos de uso:
Análisis de una Captura HTTP
- Captura de Tráfico: Filtra el tráfico HTTP usando el filtro http.
- Inspección de Paquetes: Selecciona un paquete HTTP para ver detalles como el método de solicitud (GET, POST), URL solicitada y encabezados HTTP.
- Contenido de la Carga Útil: En la vista de datos crudos, puedes ver el contenido de la carga útil de los paquetes, lo que es útil para identificar datos enviados o recibidos.
Resolución de Problemas de Conexión
- Captura de Tráfico: Captura todo el tráfico durante un periodo de tiempo en el que se produzcan los problemas de conexión.
- Filtros de Visualización: Usa filtros como tcp.flags.reset == 1 para encontrar conexiones TCP que se están restableciendo.
- Análisis de Paquetes: Inspecciona los paquetes relevantes para identificar la causa del problema (por ejemplo, problemas de DNS, puertos bloqueados, etc.).
Herramientas Adicionales y Recursos
- Tshark: Es la versión de línea de comandos de Wireshark, útil para capturas y análisis automatizados.
- Recursos: La documentación oficial de Wireshark y los foros de la comunidad son excelentes recursos para aprender más y resolver dudas.
Conclusión
Wireshark es una herramienta bastante poderosa para el análisis de tráfico de red que, con la práctica, puede convertirse en un componente esencial de administración y seguridad de redes.Espero que esta breve guía te haya proporcionado una buena base para comenzar a utilizar Wireshark con tus propias redes.
Last edited: