Cómo usar Wireshark para capturar, filtrar y analizar paquetes

Este tutorial de Wireshark te ayudará a actualizar los conceptos básicos para capturar paquetes, filtrarlos e inspeccionarlos. Puedes usar Wireshark para analizar el tráfico de red de un programa sospechoso, analizar el flujo de tráfico en tu red o solucionar problemas de red.

Cómo usar Wireshark

Wireshark, es una herramienta de análisis paquetes de red, que captura los paquetes en tiempo real y los visualiza en formato legible. Wireshark incluye filtros, codificación de colores y otras características que te permiten profundizar en el tráfico de red e inspeccionar paquetes individualmente.

Descargar Wireshark

Puede descargar Wireshark para Windows o Mac OS X desde su sitio web oficial. Escoge según el sistema operativo que uses


Si está utilizando Linux u otro sistema similar a UNIX, probablemente encontrarás Wireshark en sus repositorios de paquetes. Por ejemplo, si está utilizando Ubuntu, encontrarás Wireshark en el Centro del software de Ubuntu.

 

Sólo una advertencia rápida: Muchas organizaciones no permiten Analyzer Wireshark y herramientas similares en sus redes. No utilice esta herramienta en el trabajo a menos que tengas permiso.

Cómo usar Wireshark para capturar paquetes

Después de descargar e instalar Wireshark, puedes iniciarlo y hacer clic en el nombre de una interfaz, en Lista de interfaces, para comenzar a capturar paquetes en esa interfaz. Por ejemplo, si deseas capturar el tráfico en la red inalámbrica, haz doble clic en la interfaz Conexión de red inalámbrica.


Tan pronto como hagas clic en el nombre de la interfaz, verás que los paquetes empiezan a aparecer en tiempo real. Wireshark captura cada paquete enviado hacia o desde tu sistema. Si estás haciendo capturas en una interfaz inalámbrica y tienes el modo promiscuo activado en sus opciones de captura(el cual esta habilitado por defecto), también verá los paquetes de los otros paquetes de la red.

wireshark tutorial en español

Haz clic en el botón detener captura (Boton Rojo cuadrado #2) cerca de la esquina superior izquierda de la ventana cuando desees detener la captura de tráfico.

usar_wireshark

Dejamos una pequeña guía de los controles de Wireshark, enumerando desde abajo hacia arriba del 1 al 15.

Codificación de color en Wireshark

Probablemente verá paquetes resaltados en verde, azul y negro. Wireshark utiliza colores para ayudarle a identificar los tipos de tráfico de un vistazo. De forma predeterminada, el verde es el tráfico TCP, el azul es el tráfico DNS, el azul claro es el tráfico UDP y el negro identifica los paquetes TCP con problemas; por ejemplo, podrían haber sido entregados dañados.

como usar wireshark windows

Para ver exactamente lo que significan los códigos de color, haga clic en View> Coloring rules. También puede personalizar y modificar las reglas de coloración de aquí, si lo desea(solo debe hacer doble clic sobre alguno de ellos y escoge el color que quiera).

usar_wireshark

Capturas de ejemplo

Luego de que haya presionado el botón “Detener captura” usted puede guardar esa captura para examinarla posteriormente, presionando Ctrl+Shift+S,  o simplemente vaya ha File>Save as , y coloca un nombre de su preferencia, como por ejemplo “PrimeraCaptura”. Luego presiona Guardar.

Si no hay nada interesante en tu propia red para inspeccionar, Wireshark te tiene la solución. La pagina web de Wireshark  contiene una página de archivos de captura de ejemplo que puede cargar e inspeccionar.

como utilizar el wireshark

Abrir un archivo de captura es fácil; Simplemente, después de que tengas guardado cualquier paquete, cierre wireshark y vuélvalo a abrir, aparecerá de inmediato el paquete que capturo anteriormente, haz doble clic en el archivo y este se abrirá en la pantalla principal de Wireshark automáticamente, sino también puedes desde el menú de Wireshark File -> Open. También puedes guardar tus propias capturas en Wireshark y abrirlas más tarde.

Cómo usar Wireshark para filtrar paquetes

Si está intentando inspeccionar algo específico, como el tráfico que envía un programa al llamar a casa, ayuda cerrar todas las demás aplicaciones que utilizan la red para reducir el tráfico. Sin embargo, es probable que tenga una gran cantidad de paquetes para filtrar. Ahí es donde entran los filtros de Wireshark.

La forma más básica de aplicar un filtro es escribiéndola en el cuadro de filtro en la parte superior de la ventana y haciendo clic en Aplicar (o presionando Enter). Por ejemplo, escriba “dns” y verá sólo paquetes DNS. Cuando comience a escribir, Wireshark te ayudará a completar tu filtro automáticamente, luego también puedes darle clic en la flecha azul de la imagen de abajo para enfocarte en lo que buscas.

wireshark tutorial filtrando paquetes en pantalla

También puede hacer clic en el menú Analizar y seleccionar Mostrar filtros para crear un nuevo filtro.

analyzer

como usar wireshark como sniffer

Otra cosa interesante que puedes hacer es hacer clic con el botón derecho del ratón en un paquete y seleccionar Follow  -> TCP Stream (seguir la secuencia TCP).

como usar wireshark para hackear

Verá la conversación completa entre el cliente y el servidor.

como utilizar wireshark manual

Cierra la ventana y verás que se ha aplicado automáticamente un filtro – Wireshark te muestra los paquetes que componen la conversación.

como usar the wireshark

Cómo usar Wireshark para analizar paquetes

Haz clic en un paquete para seleccionarlo y puedes bajar para ver sus detalles.

usar wireshark para detectar intrusos

También puedes crear filtros desde aquí: haz clic con el botón derecho en uno de los detalles y usa el submenú Aplicar como filtro para crear un filtro basado en él.

usar wireshark para linux

Este tutorial de Wireshark sólo toca una parte superficial de lo que puede hacer con esta poderosa herramienta. Los profesionales lo usan para depurar las implementaciones del protocolo de red, examinar problemas de seguridad e inspeccionar como funcionan los protocolos en redes privadas.