Le pedimos a la inteligencia artificial Gemini de Google que nos explique cómo instalar, configurar y usar Wireshark
Explicanos detalladamente cómo instalar, configurar y usar Wireshark en linux¡Claro! Wireshark es un analizador de protocolos de red muy potente y popular, utilizado para capturar y analizar el tráfico de red en tiempo real. Es una herramienta invaluable para administradores de red, desarrolladores, ingenieros de seguridad y cualquier persona que necesite comprender lo que sucede en su red. Aquí te presento una guía detallada sobre cómo instalar, configurar y usar Wireshark en Linux:
1. Instalación de Wireshark
La instalación de Wireshark varía según la distribución de Linux que estés utilizando:
Debian/Ubuntu/Mint
Bash
sudo apt update
sudo apt install wireshark
Durante la instalación, se te preguntará si quieres permitir que usuarios no root capturen paquetes. Es altamente recomendable seleccionar "Sí" para poder usar Wireshark sin necesidad de ser root (lo cual es más seguro). Esto agregará tu usuario al grupo wireshark. Después de la instalación, deberás cerrar sesión y volver a iniciarla para que los cambios de grupo surtan efecto.
Fedora/CentOS/RHEL
Bash
sudo dnf install wireshark
Por defecto, la captura de paquetes suele requerir privilegios de root en estas distribuciones. Para permitir la captura a usuarios no root, puedes ejecutar los siguientes comandos:
Bash
sudo groupadd wireshark
sudo usermod -aG wireshark $USER
sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod o-rx /usr/bin/dumpcap
sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Luego, cierra sesión y vuelve a iniciarla.
Arch Linux/Manjaro
Bash
sudo pacman -S wireshark-gtk # Para la interfaz gráfica
# o
sudo pacman -S wireshark-cli # Solo la herramienta de línea de comandos (tshark)
Similar a Fedora/CentOS/RHEL, para permitir la captura a usuarios no root:
Bash
sudo groupadd wireshark
sudo usermod -aG wireshark $USER
sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod o-rx /usr/bin/dumpcap
sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Cierra sesión y vuelve a iniciarla.
2. Configuración Inicial
Iniciar Wireshark : Después de la instalación y de haber reiniciado la sesión (si fue necesario para permisos no root), puedes iniciar Wireshark desde el menú de aplicaciones o ejecutando wireshark en la terminal.
Interfaz Principal: La ventana principal de Wireshark se divide generalmente en las siguientes secciones:
Barra de Menús: Contiene opciones para capturar, abrir archivos, editar, ver, ir a paquetes, analizar, estadísticas y ayuda.
Barra de Herramientas: Ofrece accesos directos a funciones comunes como iniciar/detener la captura, aplicar filtros y buscar paquetes.
Lista de Interfaces de Captura: Muestra las interfaces de red disponibles en tu sistema.
Panel de Filtro de Captura: Permite especificar filtros para capturar solo el tráfico de interés.
Panel de Información: Muestra mensajes informativos y estadísticas.
3. Uso Básico de Wireshark
Selección de la Interfaz de Captura:
En la ventana principal, verás una lista de interfaces de red (por ejemplo, eth0, wlan0, enp0s3, any).
Identifica la interfaz a través de la cual quieres capturar el tráfico de red. Si no estás seguro, puedes intentar capturar en "any" (si está disponible) para ver el tráfico de todas las interfaces.
Haz doble clic en la interfaz deseada o selecciónala y haz clic en el icono de la aleta de tiburón azul ("Iniciar captura de paquetes").
Captura de Paquetes:
Una vez que la captura comienza, Wireshark mostrará una lista de paquetes en tiempo real en la ventana de lista de paquetes (la superior). Cada fila representa un paquete y muestra información como el número del paquete, la hora de llegada, la dirección MAC/IP de origen, la dirección MAC/IP de destino, el protocolo y una breve descripción.
Puedes detener la captura haciendo clic en el icono del cuadrado rojo ("Detener la captura de paquetes").
Análisis de Paquetes:
Selecciona un paquete en la ventana de lista de paquetes para ver sus detalles en las otras dos ventanas.
Ventana de detalles del paquete (la central): Muestra la estructura del protocolo del paquete en un formato jerárquico. Puedes expandir y contraer las diferentes capas (por ejemplo, Ethernet II, IP, TCP, HTTP) para ver los campos y sus valores.
Ventana de datos del paquete (la inferior): Muestra los datos sin procesar del paquete en formato hexadecimal y ASCII.
4. Filtrado de Paquetes
Los filtros son una de las características más poderosas de Wireshark, ya que te permiten centrarte en el tráfico de interés. Hay dos tipos principales de filtros:
Filtros de Captura: Se aplican antes de que se capture el tráfico, lo que reduce la cantidad de datos que Wireshark tiene que procesar. Son útiles cuando sabes exactamente qué tipo de tráfico te interesa y quieres evitar la sobrecarga. Se ingresan en el panel de filtro de captura antes de iniciar la captura.
Ejemplos de filtros de captura:
Capturar solo tráfico HTTP: tcp port 80
Capturar tráfico hacia o desde una dirección IP específica: host 192.168.1.100
Capturar tráfico UDP en el puerto 53 (DNS): udp port 53
Capturar tráfico desde una dirección MAC específica: ether src 00:11:22:33:44:55
Combinar filtros con and, or, not: tcp port 80 and host 192.168.1.100
Filtros de Visualización: Se aplican después de que se ha capturado el tráfico, lo que te permite analizar un conjunto de datos ya capturado. Son más flexibles para explorar diferentes aspectos del tráfico. Se ingresan en la barra de filtro de visualización (la que tiene la etiqueta "Aplicar un filtro de visualización...") y se aplican haciendo clic en el botón "Aplicar" (la flecha azul).
Ejemplos de filtros de visualización:
Mostrar solo paquetes HTTP: http
Mostrar paquetes con una dirección IP de origen específica: ip.src == 192.168.1.100
Mostrar paquetes con una dirección IP de destino específica: ip.dst == 10.0.0.5
Mostrar paquetes TCP con el flag SYN activado: tcp.flags.syn == 1
Mostrar paquetes que contienen una cadena específica en los datos: contains "user-agent"
Mostrar paquetes con un código de estado HTTP 404: http.response.code == 404
Combinar filtros con && (and), || (or), ! (not): http && ip.src == 192.168.1.100
5. Guardar y Abrir Capturas
Guardar: Para guardar la captura actual, ve a Archivo > Guardar como... Elige un nombre de archivo y una ubicación. Wireshark utiliza el formato .pcapng por defecto, que es flexible y puede almacenar metadatos adicionales. También puedes guardar en el formato .pcap (libpcap), que es más antiguo pero ampliamente compatible.
Abrir: Para abrir una captura guardada, ve a Archivo > Abrir... y selecciona el archivo .pcapng o .pcap.
6. Funciones Avanzadas (Breve Introducción)
Seguimiento de Streams (Flujos): Wireshark puede reconstruir el flujo completo de una conexión TCP o UDP. Selecciona un paquete de la conexión que te interesa y ve a Analizar > Seguir > Flujo TCP (o Flujo UDP). Esto mostrará todos los paquetes de esa conexión en orden, lo que es muy útil para analizar sesiones HTTP, conversaciones Telnet, etc.
Estadísticas: El menú Estadísticas ofrece varias herramientas útiles:
Resumen de la Captura: Muestra información general sobre la captura (número de paquetes, duración, etc.).
Jerarquía de Protocolos: Muestra la distribución del tráfico por protocolo.
Conversaciones: Lista las comunicaciones entre diferentes direcciones (Ethernet, IP, TCP, UDP).
Puntos Finales: Lista todas las direcciones MAC/IP involucradas en la captura.
IO Graphs (Gráficos de E/S): Permite visualizar el tráfico a lo largo del tiempo.
Exportar Objetos: Para protocolos como HTTP, Wireshark puede exportar los objetos transferidos (por ejemplo, imágenes, archivos). Selecciona un paquete HTTP que contenga el objeto y ve a Archivo > Exportar objetos > HTTP...
Perfiles de Configuración: Puedes guardar tus preferencias de visualización, filtros y otras configuraciones como perfiles para usarlos posteriormente. Ve a Editar > Perfiles de Configuración...
7. Consejos y Mejores Prácticas
Sé Específico con los Filtros: Cuanto más específico sea tu filtro, menos ruido tendrás en tu captura, lo que facilitará el análisis.
Captura lo Necesario: Evita capturar tráfico innecesario, especialmente en redes ocupadas, ya que esto puede generar archivos de captura muy grandes y dificultar el análisis.
Entiende los Protocolos: Para analizar el tráfico de manera efectiva, es importante tener un conocimiento básico de los protocolos de red (TCP/IP, HTTP, DNS, etc.).
Utiliza las Herramientas de Estadísticas: Las estadísticas pueden proporcionar una visión general rápida del tráfico y ayudarte a identificar patrones o anomalías.
Guarda las Capturas Importantes: Si encuentras algo interesante, guarda la captura para su posterior análisis o para compartirla con otros.
Considera la Ética y la Legalidad: Asegúrate de tener permiso para capturar tráfico de red, especialmente en redes que no son de tu propiedad.
Wireshark es una herramienta muy poderosa y con muchas funciones. Esta guía te proporciona una base sólida para comenzar a usarla. A medida que explores y practiques, descubrirás aún más de sus capacidades. ¡Mucha suerte con tu análisis de red!