Una introducción a Wireshark | Activar el administrador del sistema

¿Qué es Wireshark?

Respuesta: Todo en este mundo es analizado, registrado y almacenado. Los humanos inferimos resultados y sacamos conclusiones basados ​​en esos datos. Confunde? Usamos dispositivos para medir ciertas cosas: estetoscopios para medir la frecuencia cardíaca, voltímetros para medir el voltaje y rastreadores de paquetes para investigar qué sucede dentro de una red. ¡Ah, ahora lo entiendes! Wireshark es un rastreador de paquetes (no se deje intimidar por su nombre).

Desarrollado en 1998, Wireshark se ha convertido en el estándar de facto para el análisis e inspección de paquetes de red. En resumen, es una herramienta de análisis de paquetes que le permite olfatear la red y ayuda a visualizar el tráfico que entra y sale de su adaptador de red (alámbrico o inalámbrico).

¿Qué obtienes al leer este artículo?

Creo que los próximos 10 minutos que está a punto de invertir en leer este artículo deberían valer la pena. Hay algunos objetivos de aprendizaje que alcanzarás si sigues leyendo:

  • ¿Qué es un rastreador de paquetes?
  • Cómo descargar el analizador de paquetes Wireshark
  • Cómo utilizar esta herramienta
  • ¿Qué hay dentro de un paquete capturado?
  • ¿Y después?

Entonces, si está ansioso por saber más sobre los chips mencionados anteriormente, continúe leyendo esto.

¿Qué es un rastreador de paquetes?

~ respuesta de dos minutos: antes de usar una herramienta, debemos preguntarnos por qué la necesitamos en primer lugar. Los rastreadores de paquetes pueden ser muy útiles para cualquier persona que quiera solucionar problemas de red, depurar protocolos y aprender los conceptos básicos del seguimiento de paquetes. Como definición estándar, un rastreador de paquetes de red es una herramienta que ayuda a analizar el tráfico de red proveniente de su sistema o red de área local. Capturo los paquetes entrantes y salientes de la tarjeta de red de mi sistema y analizo el formato del mensaje, el medio (ethernet o inalámbrico) y los protocolos utilizados para establecer la comunicación (TCP, TLSv2, UDP, DNS, DHCP). Logro esto usando filtros útiles.

¿Cómo descargar Wireshark?

~ respuesta de un minuto: por favor, eche un vistazo a la página web oficial para descargar esta herramienta gratuita para su sistema operativo.

Cómo utilizar esta herramienta?

~ respuesta de dos minutos: Inmediatamente después de abrir esta herramienta, puede ver una pantalla como la que se muestra a continuación:

Como puede ver, Wireshark enumera las interfaces disponibles con las que puede capturar paquetes de red. Uso mi interfaz inalámbrica (también conocida como WiFi) para comunicarme con el mundo exterior. Analicemos los paquetes en mi sistema y veamos cómo esta herramienta hace su magia.

¿Qué hay dentro de un paquete capturado?

~Respuesta de cuatro minutos: Ahora vayamos al enfoque principal de este artículo. Capturaré algunos paquetes y lo guiaré a través de los detalles del registro. Una vez que haya seleccionado la interfaz (en este caso, inalámbrica), haga clic en el ícono de la cola de tiburón para comenzar a capturar paquetes.

Una vez que hemos capturado algunos paquetes, podemos analizar los resultados. Pasemos a la información que capturamos. Los registros capturados pueden ser muy grandes, pero existe una opción para filtrar información útil.

Algunos de los filtros más utilizados que me gustan son:

  • ip.dirección == xxxx - Digamos que solo quiere saber qué información se solicita de su sistema, puede usar esto.
  • http o dns/dhcp - Ahora, en este caso, envié una solicitud a Youtube.com. Usando el filtro, puedo ver esta información:

Nota: estoy usando una VPN, por lo que la información de mi IP de origen no te ayudará mucho.

Como puedes ver, este filtro indica el sistema operativo que uso, el protocolo HTTP1.1, así como el navegador y su versión que usé para enviar la solicitud al servidor de Youtube. Esta es una información muy útil que cualquier persona puede averiguar si mi navegador está desactualizado, mi sistema operativo es antiguo, etc.

  • arp o icmp - Este filtro te muestra la dirección MAC de tu NIC (que no compartiré), pero si quieres saber qué NIC realizó la solicitud, puedes hacer lo mismo. Usando su servidor DNS/DHCP, puede averiguar exactamente quién en su red local ha consultado un dominio en particular.
  • tcp.puerto=443:

Esto es útil para ver el puerto TCP utilizado para la comunicación.

Como puede ver, hay literalmente cientos de filtros y, según sus necesidades, puede configurar diferentes y leer los mensajes.

¿Y después?

~ respuesta de un minuto: espero que ahora sepa qué es Wireshark, cómo capturar paquetes de red y cómo hacer algunos análisis básicos. Si está interesado en obtener información adicional, visite el sitio web oficial. El propósito de esta publicación de blog es provocar su curiosidad y brindarle una idea del mundo de la seguridad de la red.

Artículos de interés

Subir