En cualquier red de conmutación de paquetes, los paquetes representan unidades de datos que se transmiten entre ordenadores. Es responsabilidad tanto de los ingenieros de redes como de los administradores de sistemas supervisar e inspeccionar los paquetes con fines de seguridad y solución de problemas.
Para ello, se apoyan en programas de software llamados analizadores de paquetes de red, siendo Wireshark quizás el más popular y utilizado debido a su versatilidad y facilidad de uso. Además de esto, Wireshark permite no sólo monitorear el tráfico en tiempo real, sino también guardarlo en un archivo para su posterior inspección.
Lectura relacionada: Las mejores herramientas de monitoreo de ancho de banda en Linux para analizar el uso de la red
En este artículo, compartiremos 10 consejos sobre cómo usar Wireshark para analizar los paquetes en tu red y esperamos que cuando llegues a la sección de Resumen te sientas inclinado a agregarlo a tus marcadores.
- Instalación de Wireshark en Linux
- Configuración de las opciones de captura
- TIP nº 1 – Inspeccionar el tráfico HTTP
- TIP #2 – Inspeccionar el tráfico HTTP desde una dirección IP determinada
- TIP #3 – Inspeccionar el tráfico HTTP hacia una dirección IP determinada
- TIP #4 – Monitorizar el tráfico de red de Apache y MySQL
- TIP #5 – Rechazar paquetes a una dirección IP determinada
- TIP #6 – Monitorizar el tráfico de la red local (192.168.0.0/24)
- TIP #7 – Monitorizar el contenido de una conversación TCP
- TIP #8 – Editar reglas de coloreado
- TIP #9 – Guardar la captura en un archivo
- TIP #10 – Practicar con muestras de captura
- Resumen
Instalación de Wireshark en Linux
Para instalar Wireshark, seleccione el instalador adecuado para su sistema operativo/arquitectura desde https://www.wireshark.org/download.html.
Particularmente, si está usando Linux, Wireshark debe estar disponible directamente desde los repositorios de su distribución para una instalación más fácil a su conveniencia. Aunque las versiones pueden diferir, las opciones y los menús deberían ser similares – si no idénticos en cada una.
------------ On Debian/Ubuntu based Distros ------------ $ sudo apt-get install wireshark------------ On CentOS/RHEL based Distros ------------$ sudo yum install wireshark------------ On Fedora 22+ Releases ------------$ sudo dnf install wireshark
Hay un error conocido en Debian y derivados que puede impedir el listado de las interfaces de red a menos que use sudo para lanzar Wireshark. Para solucionarlo, sigue la respuesta aceptada en este post.
Una vez que Wireshark se ejecuta, puedes seleccionar la interfaz de red que quieres monitorizar en Capture:
En este artículo, usaremos eth0, pero puedes elegir otra si lo deseas. No haga clic en la interfaz todavía – lo haremos más tarde una vez que hayamos revisado algunas opciones de captura.
Configuración de las opciones de captura
Las opciones de captura más útiles que consideraremos son:
- Interfaz de red – Como explicamos antes, sólo analizaremos los paquetes que vengan a través de eth0, ya sean entrantes o salientes.
- Filtro de captura – Esta opción nos permite indicar qué tipo de tráfico queremos monitorizar por puerto, protocolo o tipo.
Antes de continuar con los consejos, es importante señalar que algunas organizaciones prohíben el uso de Wireshark en sus redes. Dicho esto, si usted no está utilizando Wireshark para fines personales asegúrese de que su organización permite su uso.
Por el momento, sólo tiene que seleccionar eth0 de la lista desplegable y haga clic en Inicio en el botón. Usted comenzará a ver todo el tráfico que pasa a través de esa interfaz. No es realmente útil para la monitorización debido a la gran cantidad de paquetes inspeccionados, pero es un comienzo.
En la imagen superior, también podemos ver los iconos para listar las interfaces disponibles, para detener la captura actual y para reiniciarla (cuadro rojo de la izquierda) y para configurar y editar un filtro (cuadro rojo de la derecha). Cuando pase el ratón por encima de uno de estos iconos, se mostrará una información sobre herramientas para indicar lo que hace.
Empezaremos por ilustrar las opciones de captura, mientras que los consejos nº 7 a nº 10 tratarán sobre cómo hacer realmente algo útil con una captura.
TIP nº 1 – Inspeccionar el tráfico HTTP
Escriba http en el cuadro de filtro y haga clic en Aplicar. Inicie su navegador y vaya a cualquier sitio que desee:
Para comenzar cada consejo subsiguiente, detenga la captura en vivo y edite el filtro de captura.
TIP #2 – Inspeccionar el tráfico HTTP desde una dirección IP determinada
En este consejo en particular, preagregaremos ip==192.168.0.10&& a la estrofa del filtro para monitorear el tráfico HTTP entre la computadora local y 192.168.0.10:
TIP #3 – Inspeccionar el tráfico HTTP hacia una dirección IP determinada
Cercamente relacionado con el #2, en este caso, usaremos ip.dst como parte del filtro de captura como sigue:
ip.dst==192.168.0.10&&http
Para combinar los consejos #2 y #3, se puede utilizar ip.addr en la regla de filtrado en lugar de ip.src o ip.dst.
TIP #4 – Monitorizar el tráfico de red de Apache y MySQL
A veces le interesará inspeccionar el tráfico que coincida con alguna de las condiciones (o con ambas). Por ejemplo, para monitorizar el tráfico en los puertos TCP 80 (servidor web) y 3306 (servidor de base de datos MySQL / MariaDB), puede utilizar una condición OR en el filtro de captura:
tcp.port==80||tcp.port==3306
En los consejos #2 y #3, || y la palabra o producen los mismos resultados. Lo mismo con && y la palabra y.
TIP #5 – Rechazar paquetes a una dirección IP determinada
Para excluir paquetes que no coincidan con la regla de filtrado, utilice ! y encierre la regla entre paréntesis. Por ejemplo, para excluir los paquetes que se originan o se dirigen a una dirección IP determinada, puede utilizar:
!(ip.addr == 192.168.0.10)
TIP #6 – Monitorizar el tráfico de la red local (192.168.0.0/24)
La siguiente regla de filtrado mostrará sólo el tráfico local y excluirá los paquetes que van y vienen de Internet:
ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24
TIP #7 – Monitorizar el contenido de una conversación TCP
Para inspeccionar el contenido de una conversación TCP (intercambio de datos), haga clic con el botón derecho del ratón en un paquete determinado y seleccione Seguir flujo TCP. Aparecerá una ventana con el contenido de la conversación.
Esto incluirá las cabeceras HTTP si estamos inspeccionando el tráfico web, y también cualquier credencial en texto plano transmitida durante el proceso si la hubiera.
TIP #8 – Editar reglas de coloreado
A estas alturas seguro que ya te has dado cuenta de que cada fila de la ventana de captura está coloreada. Por defecto, el tráfico HTTP aparece en fondo verde con texto negro, mientras que los errores de suma de comprobación se muestran en texto rojo con fondo negro.
Si desea cambiar estos ajustes, haga clic en el icono Editar reglas de coloración, elija un filtro determinado y haga clic en Editar.
TIP #9 – Guardar la captura en un archivo
Guardar el contenido de la captura nos permitirá poder inspeccionarla con mayor detalle. Para ello, vamos a Archivo → Exportar y elegimos un formato de exportación de la lista:
TIP #10 – Practicar con muestras de captura
Si crees que tu red es «aburrida», Wireshark proporciona una serie de archivos de captura de ejemplo que puedes utilizar para practicar y aprender. Puedes descargar estos SampleCaptures e importarlos a través del menú Archivo → Importar.
Resumen
Wireshark es un software gratuito y de código abierto, como puedes ver en la sección de preguntas frecuentes de la web oficial. Puedes configurar un filtro de captura antes o después de iniciar una inspección.
Por si no te has dado cuenta, el filtro tiene una función de autocompletar que te permite buscar fácilmente las opciones más utilizadas que puedes personalizar después. Con esto, el cielo es el límite.