.st0{fill:#FFFFFF;}

¿Qué es Wireshark y cómo se utiliza? 

 octubre 13, 2020

Por  Felipe Arguello856

Wireshark es un analizador de red que le permite ver lo que sucede en su red. Le permite diseccionar sus paquetes de red a un nivel microscópico, brindándole información detallada sobre paquetes individuales.

Wireshark se lanzó por primera vez en 1998 (y en ese entonces se llamaba Ethereal). Puede ejecutarse en todos los principales sistemas operativos. La mayoría de las empresas y organizaciones gubernamentales ahora prefieren Wireshark como su analizador de red estándar.

Wireshark también es completamente de código abierto, gracias a la comunidad de ingenieros de redes de todo el mundo. Si bien la mayoría de las herramientas de seguridad están basadas en CLI, Wireshark viene con una fantástica interfaz de usuario.

Modelo OSI

Supongo que es nuevo en las redes, por lo que repasaremos algunos conceptos básicos del modelo OSI. Esto es importante para comprender las funciones básicas de Wireshark.

El modelo de interconexión de sistemas abiertos (OSI) estandariza la forma en que dos o más dispositivos se conectan entre sí. El modelo OSI segmenta la arquitectura de red en 7 capas: aplicación, presentación, sesión, transporte, red, enlace de datos y física.

Esto es lo que hace cada capa:

  • Capa física: responsable de la conexión física real entre dispositivos. Los datos se transfieren en forma de bits .
  • Capa de enlace de datos: se asegura de que los datos estén libres de errores. Los datos se transfieren en cuadros .
  • Capa de red: se encarga de encontrar la mejor (y más rápida) forma de enviar los datos. Las direcciones IP del remitente y del destinatario se agregan al encabezado en esta capa.
  • Capa de transporte: actúa como puente entre la red y la capa de sesión. Utiliza protocolos como TCP y UDP para enviar y recibir datos. Los datos de esta capa se denominan segmento .
  • Capa de sesión: establece y mantiene una sesión entre dispositivos.
  • Capa de presentación: los datos de los segmentos se convierten aquí a un formato más amigable para los humanos. Se encarga del cifrado y descifrado.
  • Capa de aplicación: la capa que interactúa con el usuario. Si está utilizando un navegador, está en la capa de la aplicación.

El diagrama a continuación debería ayudarlo a comprender cómo estos componentes del Modelo OSI se funcionan juntos.

Modelo-OSI
Modelo OSI

 

Paquetes

Ahora que tiene un conocimiento sólido del modelo OSI, veamos los paquetes de red. Cuando los datos se transfieren de una computadora a otra, el flujo de datos consta de unidades más pequeñas llamadas paquetes.

Cuando descarga un archivo de Internet, los datos se envían desde el servidor como paquetes. Estos paquetes son reensamblados por su computadora para darle el archivo original.

Un paquete puede contener los siguientes datos:

  • direcciones IP de origen y destino
  • protocolo
  • puertos de origen y destino
  • datos
  • longitud, banderas, TTL, etc.

Cada paquete contiene información valiosa sobre los dispositivos involucrados en una transferencia de paquetes. Cada transferencia de datos implica que miles o incluso millones de estos paquetes de datos se envíen entre los dispositivos de origen y destino.

Ahora puede comprender la importancia de Wireshark. Wireshark le permite capturar cada uno de estos paquetes e inspeccionarlos en busca de datos.

Wireshark, para un ingeniero de redes, es similar a un microscopio para un biólogo. Wireshark le permite ‘escuchar’ una red en vivo (después de establecer una conexión a ella) y capturar e inspeccionar paquetes sobre la marcha.

Como ingeniero de redes o pirata informático ético, puede usar Wireshark para depurar y proteger sus redes. Como pirata informático malintencionado (que no recomiendo), puede «olfatear» paquetes en la red y capturar información como transacciones con tarjetas de crédito.

Es por eso que no es aconsejable conectarse a una red pública como Starbucks y realizar transacciones financieras o acceder a datos privados. Aunque los sitios con HTTPS pueden cifrar sus paquetes, todavía es visible en la red. Si alguien realmente quiere romperlo, puede hacerlo.

Conceptos básicos de Wireshark

Ahora veamos cómo puedes jugar con Wireshark. Descargue e instale Wireshark desde aquí .

Wireshark tiene una GUI impresionante, a diferencia de la mayoría de las herramientas de prueba de penetración. Así es como se ve Wireshark cuando lo carga.

wireshark ui 2

Inicio de Wireshark

Wireshark enumera las redes a las que está conectado y puede elegir una de ellas y comenzar a escuchar la red.

wireshark main
Interfaz de usuario de Wireshark

Hay tres paneles en Wireshark.

Panel de lista de paquetes

Este panel muestra los paquetes capturados. Cada línea representa un paquete individual en el que puede hacer clic y analizar en detalle utilizando los otros dos paneles.

1 4
Panel de lista de paquetes

Panel de detalles del paquete

Puede seleccionar un paquete y luego ver la información del paquete con más detalle utilizando el panel Detalles del paquete. Muestra información como direcciones IP, puertos y otra información contenida en el paquete.

2 4
Panel de detalles del paquete

Panel de bytes de paquete

Este panel proporciona los datos sin procesar del paquete seleccionado en bytes. Los datos se muestran como un volcado hexadecimal, que muestra datos binarios en hexadecimal.

3 3
Panel de bytes de paquete

Filtros

Wireshark tiene filtros que lo ayudan a reducir el tipo de datos que está buscando. Hay dos tipos principales de filtros: filtro de captura y filtro de visualización.

Filtro de captura

Puede establecer un filtro de captura antes de comenzar a analizar una red. Cuando configura un filtro de captura, solo captura los paquetes que coinciden con el filtro de captura.

Por ejemplo, si solo necesita escuchar los paquetes que se envían y reciben desde una dirección IP, puede configurar un filtro de captura de la siguiente manera:

host 192.168.0.1

Una vez que establezca un filtro de captura, no podrá cambiarlo hasta que se complete la sesión de captura actual.

Filtros de visualización

Se aplican filtros de visualización para capturar paquetes. Por ejemplo, si desea mostrar solo las solicitudes que se originan en una IP en particular, puede aplicar un filtro de visualización de la siguiente manera:

ip.src==192.168.0.1

Dado que los filtros de visualización se aplican a los datos capturados, se pueden cambiar sobre la marcha.

En resumen, los filtros de captura le permiten filtrar el tráfico, mientras que los filtros de visualización aplican esos filtros a los paquetes capturados. Dado que Wireshark puede capturar cientos de paquetes en una red ocupada, estos son útiles durante la depuración.

Características principales de Wireshark

Ahora que tiene una buena comprensión de los conceptos básicos de Wireshark, veamos algunas características principales. Con Wireshark, puede:

  • Identificar amenazas de seguridad y actividad maliciosa en una red
  • Observe el tráfico de la red para depurar redes complejas
  • Filtrar el tráfico según protocolos, puertos y otros parámetros
  • Capture paquetes y guárdelos en un archivo Pcap para analizarlos sin conexión
  • Aplicar reglas de coloración a la lista de paquetes para un mejor análisis
  • Exporte los datos capturados a XML, CSV o archivo de texto sin formato.

Conclusión

Wireshark siempre se encuentra entre las 10 mejores herramientas de seguridad de red cada año. Con su interfaz de usuario simple pero poderosa, Wireshark es fácil de aprender y trabajar. Es un activo valioso en el conjunto de herramientas de todo probador de penetración.

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>