Cómo leer paquetes en Wireshark

Para muchos expertos en TI, Wireshark es la herramienta de referencia para el análisis de paquetes de red. El software de código abierto le permite examinar de cerca los datos recopilados y determinar la raíz del problema con mayor precisión. Además, Wireshark opera en tiempo real y utiliza códigos de colores para mostrar los paquetes capturados, entre otros ingeniosos mecanismos.

Cómo leer paquetes en Wireshark

En este tutorial, explicaremos cómo capturar, leer y filtrar paquetes usando Wireshark. A continuación, encontrará instrucciones paso a paso y desgloses de las funciones básicas de análisis de red. Una vez que domine estos pasos fundamentales, podrá inspeccionar el flujo de tráfico de su red y solucionar problemas con mayor eficiencia.

Análisis de paquetes

Una vez que se capturan los paquetes, Wireshark los organiza en un panel de lista de paquetes detallado que es increíblemente fácil de leer. Si desea acceder a la información de un solo paquete, sólo tiene que ubicarlo en la lista y hacer clic. También puede ampliar aún más el árbol para acceder a los detalles de cada protocolo contenido en el paquete.

Para obtener una descripción general más completa, puede mostrar cada paquete capturado en una ventana separada. Así es cómo:

  1. Seleccione el paquete de la lista con el cursor y luego haga clic con el botón derecho.
    1 60
  2. Abra la pestaña "Ver" de la barra de herramientas de arriba.
    2 62 01
  3. Seleccione "Mostrar paquete en ventana nueva" en el menú desplegable.
    3 53

Nota: es mucho más fácil comparar los paquetes capturados si los abre en ventanas separadas.

Como se mencionó, Wireshark utiliza un sistema de codificación por colores para la visualización de datos. Cada paquete está marcado con un color diferente que representa diferentes tipos de tráfico. Por ejemplo, el tráfico TCP generalmente se resalta en azul, mientras que el negro se usa para indicar paquetes que contienen errores.

Por supuesto, no tienes que memorizar el significado detrás de cada color. En su lugar, puede comprobar en el acto:

  1. Haga clic derecho en el paquete que desea examinar.
    1 60
  2. Seleccione la pestaña "Ver" de la barra de herramientas en la parte superior de la pantalla.
    2 62 01
  3. Elija "Reglas de color" en el panel desplegable.
    Captura de pantalla 1 74

Verás la opción de personalizar la coloración a tu gusto. Sin embargo, si solo desea cambiar las reglas de coloreado temporalmente, siga estos pasos:

  1. Haga clic derecho en el paquete en el panel de lista de paquetes.
  2. De la lista de opciones, seleccione "Colorear con filtro".
    Captura de pantalla 3 49
  3. Elige el color con el que quieres etiquetarlo.
    Captura de pantalla 2 50 01
Continúa Leyendo  Cómo cambiar el canal Wi-Fi en los enrutadores más populares

Número

El panel de la lista de paquetes le mostrará la cantidad exacta de bits de datos capturados. Dado que los paquetes están organizados en varias columnas, es bastante fácil de interpretar. Las categorías predeterminadas son:

  • No. (Número): Como se mencionó, puede encontrar el número exacto de paquetes capturados en esta columna. Los dígitos seguirán siendo los mismos incluso después de filtrar los datos.
  • Hora: como habrás adivinado, aquí se muestra la marca de tiempo del paquete.
  • Origen: Muestra dónde se originó el paquete.
  • Destino: Muestra el lugar donde se guardará el paquete.
  • Protocolo: Muestra el nombre del protocolo, normalmente en una abreviatura.
  • Longitud: Muestra la cantidad de bytes que contiene el paquete capturado.
  • Información: la columna incluye cualquier información adicional sobre un paquete en particular.

Hora

A medida que Wireshark analiza el tráfico de la red, se marca la hora de cada paquete capturado. Luego, las marcas de tiempo se incluyen en el panel de la lista de paquetes y están disponibles para una inspección posterior.

Wireshark no crea las marcas de tiempo en sí. En cambio, la herramienta de análisis los obtiene de la biblioteca Npcap. Sin embargo, la fuente de la marca de tiempo es en realidad el kernel. Es por eso que la precisión de la marca de tiempo puede variar de un archivo a otro.

Puede elegir el formato en el que se mostrarán las marcas de tiempo en la lista de paquetes. Además, puede establecer la precisión preferida o el número de lugares decimales que se muestran. Además de la configuración de precisión predeterminada, también hay:

  • Segundos
  • décimas de segundo
  • Centésimas de segundo
  • milisegundos
  • microsegundos
  • nanosegundos

Fuente

Como sugiere su nombre, la fuente del paquete es el lugar de origen. Si desea obtener el código fuente de un repositorio de Wireshark, puede descargarlo utilizando un cliente Git. Sin embargo, el método requiere que tengas una cuenta de GitLab. Es posible hacerlo sin uno, pero es mejor registrarse por si acaso.

Una vez que haya registrado una cuenta, siga estos pasos:

  1. Asegúrate de que Git sea funcional usando este comando: "$ git --version".
    1 61
  2. Vuelva a verificar si su dirección de correo electrónico y nombre de usuario están configurados.
  3. A continuación, haga un clon de la fuente de Workshark. Use el "$ git clone -o upstream [email protected]:wireshark/wireshark.git” URL SSH para realizar la copia.
  4. Si no tiene una cuenta de GitLab, pruebe la URL HTTPS: “$ git clone -o upstream https://gitlab.com/wireshark/wireshark.git.”
    1 62

Todas las fuentes se copiarán posteriormente en su dispositivo. Tenga en cuenta que la clonación puede demorar un tiempo, especialmente si tiene una conexión de red lenta.

Continúa Leyendo  Revisión de Sky Broadband: confiable y rápido, pero tenga cuidado con los cargos ocultos

Destino

Si desea conocer la dirección IP del destino de un paquete en particular, puede usar el filtro de visualización para ubicarlo. Así es cómo:

  1. Ingrese "ip.addr == 8.8.8.8" en el "Cuadro de filtro" de Wireshark. Luego, haga clic en "Entrar".
    Captura de pantalla 1 76
  2. El panel de la lista de paquetes se reconfigurará solo para mostrar el destino del paquete. Encuentre la dirección IP que le interesa desplazándose por la lista.
    Captura de pantalla 2 51
  3. Una vez que haya terminado, seleccione "Borrar" en la barra de herramientas para volver a configurar el panel de la lista de paquetes.

Protocolo

Un protocolo es una pauta que determina la transmisión de datos entre diferentes dispositivos que están conectados a la misma red. Cada paquete de Wireshark contiene un protocolo y puede mostrarlo utilizando el filtro de visualización. Así es cómo:

  1. En la parte superior de la ventana de Wireshark, haga clic en el cuadro de diálogo "Filtro".
  2. Ingrese el nombre del protocolo que desea examinar. Por lo general, los títulos de los protocolos se escriben en minúsculas.
  3. Haga clic en "Entrar" o "Aplicar" para habilitar el filtro de visualización.

Longitud

La longitud de un paquete de Wireshark está determinada por la cantidad de bytes capturados en ese fragmento de red en particular. Ese número generalmente se corresponde con el número de bytes de datos sin procesar que se enumeran en la parte inferior de la ventana de Wireshark.

Si desea examinar la distribución de longitudes, abra la ventana "Longitudes de paquetes". Toda la información se divide en las siguientes columnas:

  • Longitudes de paquetes
  • Contar
  • Promedio
  • Valor mín./Val. máx.
  • Calificar
  • Por ciento
  • Tasa de ráfaga
  • Inicio de ráfaga

Información

Si hay anomalías o elementos similares dentro de un paquete capturado en particular, Wireshark lo notará. Luego, la información se mostrará en el panel de la lista de paquetes para un examen más detallado. De esa forma, tendrá una imagen clara del comportamiento atípico de la red, lo que resultará en reacciones más rápidas.

Preguntas frecuentes adicionales

¿Cómo puedo filtrar los datos del paquete?

El filtrado es una característica eficiente que le permite ver los detalles de una secuencia de datos en particular. Hay dos tipos de filtros Wireshark: captura y visualización. Los filtros de captura están ahí para restringir la captura de paquetes para satisfacer demandas específicas. En otras palabras, puede filtrar diferentes tipos de tráfico aplicando un filtro de captura. Como sugiere el nombre, los filtros de visualización le permiten concentrarse en un elemento particular del paquete, desde la longitud del paquete hasta el protocolo.

Aplicar un filtro es un proceso bastante sencillo. Puede escribir el título del filtro en el cuadro de diálogo en la parte superior de la ventana de Wireshark. Además, el software normalmente completará automáticamente el nombre del filtro.

Continúa Leyendo  Revisión de banda ancha de Plusnet: directo, simple y seguro

Alternativamente, si desea revisar los filtros predeterminados de Wireshark, haga lo siguiente:

1. Abra la pestaña "Analizar" en la barra de herramientas en la parte superior de la ventana de Wireshark.

1 63

2. En la lista desplegable, seleccione "Filtro de visualización".

2 63 01

3. Navegue por la lista y haga clic en el que desee aplicar.

3 54 01

Finalmente, aquí hay algunos filtros Wireshark comunes que pueden ser útiles:

• Para ver solo la dirección IP de origen y de destino, utilice: “ip.src==dirección IP e ip.dst==dirección IP”

• Para ver solo el tráfico SMTP, escriba: “tcp.port eq 25”

• Para capturar todo el tráfico de la subred, aplique: “net 192.168.0.0/24”

• Para capturar todo excepto el tráfico ARP y DNS, use: “port not 53 and not arp”

¿Cómo capturo los datos del paquete en Wireshark?

Una vez que haya descargado Wireshark en su dispositivo, puede comenzar a monitorear su conexión de red. Para capturar paquetes de datos para un análisis completo, esto es lo que debe hacer:

1. Inicie Wireshark. Verá una lista de redes disponibles, así que haga clic en la que desea examinar. También puede aplicar un filtro de captura si desea identificar el tipo de tráfico.

2. Si desea inspeccionar varias redes, use el control "shift + clic izquierdo".

3. A continuación, haga clic en el icono de aleta de tiburón del extremo izquierdo en la barra de herramientas de arriba.

4. También puede iniciar la captura haciendo clic en la pestaña "Capturar" y seleccionando "Iniciar" en la lista desplegable.

5. Otra forma de hacerlo es usando la combinación de teclas “Control – E”.

A medida que el software toma los datos, los verá aparecer en el panel de la lista de paquetes en tiempo real.

Byte de tiburón

Si bien Wireshark es un analizador de redes muy avanzado, es sorprendentemente fácil de interpretar. El panel de la lista de paquetes es extremadamente completo y está bien organizado. Toda la información se distribuye en siete colores diferentes y se marca con códigos de colores claros.

Además, el software de código abierto viene con una serie de filtros fácilmente aplicables que facilitan el monitoreo. Al habilitar un filtro de captura, puede identificar qué tipo de tráfico desea que Wireshark analice. Y una vez que se obtienen los datos, puede aplicar varios filtros de visualización para búsquedas específicas. Con todo, es un mecanismo altamente eficiente que no es demasiado difícil de dominar.

¿Utiliza Wireshark para el análisis de redes? ¿Qué opinas de la función de filtrado? Háganos saber en los comentarios a continuación si hay una característica útil de análisis de paquetes que omitimos.