Wireshark

Diciembre 1, 2023

Wireshark es un programa con el cual podemos realizar análisis de protocolos de red. Es de código abierto y gratuito. Anteriormente se le conocía por el nombre de Ethereal.
A través de esta herramienta permite a los usuarios capturar y analizar los datos que se transmiten por la red en tiempo real.
Es muy utilizado por administradores de red, ingenieros de seguridad y desarrolladores ayudando en la tarea de diagnóstico de la red.

Captura de paquetes

Wireshark realiza la captura de paquetes utilizando el concepto de «sniffing» o «captura de tráfico«.
Esto quiere decir que Wireshark intercepta y captura los paquetes de datos que se envían a través de una interfaz de red específica.

Pasos que realiza Wireshark para la captura de paquetes

  • Seleccionar la interfaz de Captura:
    Al iniciar wireshark te indicará que elijas la interfaz de red que deseas monitorizar.
    Wireshark detectará todas las interfaces de red disponibles en el equipo (Como tarjeta de red Ethernet, interface inalámbrica, etc.)
  • Comienza la captura:
    Presiona el botón «Start» para empezar con el monitoreo de red. Wireshark irá mostrando todos los paquetes que circulan a través de la interfaz seleccionada.
  • Filtrado de tráfico:
    Wireshark nos permite realizar un filtrado en los paquetes que deseamos capturar. Es útil cuando nos queremos enfocar en un protocolo específico o un conjunto de direcciones IP.
    Con el filtrado de los paquetes conseguimos reducir el volumen de datos y facilita el análisis.
  • Detener la captura:
    Una vez que detenemos la captura Wireshark nos mostrará todos los paquetes que ha capturado para que procedamos con el análisis de los mismos.
    Para ello debemos presionar el botón «Stop» que le corresponde.
  • Analizar los paquetes capturados:
    Una vez obtenidos los paquetes somos capaces de explorar información detallada de cada uno de ellos. Podemos ver las direcciones IP de origen y de destino, protocolos utilizados, contenido, etc.
  • Guardar o Exportar los datos:
    Wireshark nos brinda la posibilidad de guardar los datos en un archivo para su posterior análisis.
    Con los datos obtenidos podemos generar informes detallados si así lo precisamos.

Filtros más utilizados

Filtrar por Dirección IP

ip.addr == 192.168.1.1

Filtrar por Protocolo

tcp

Filtrar por puerto

tcp.port == 80

Filtrar por host

dns.qry.name == "www.ejemplo.com"

Filtrar por rango de Direcciones IP

ip.addr in {192.168.1.1-192.168.1.10}

Filtrar por tipo de paquete

icmp

Filtrar por longitud de paquete

frame.len > 1000

Filtrar por Dirección MAC

eth.addr == 00:11:22:33:44:55

Dejo por aquí el pasado artículo sobre la herramienta Dirb.

«Directory Buster o Dirb es una herramienta especialmente diseñada para realizar ataques de búsqueda de directorios en un servidor web.»

Enlace: Dirb.