Geeky Theory

Tutorial Wireshark - 1. Instalación y primeros pasos

Mario Pérez Esteso

3 min read
Tutorial Wireshark - 1. Instalación y primeros pasos
WIRESHARK_1

¡Hola a todos! Hoy en Geeky Theory os vamos a presentar una pequeña serie de tutoriales en los que adquiriremos los conocimientos básicos para poder realizar un análisis de tráfico en redes con Wireshark.

¿Qué es Wireshark?

Wireshark, antes conocido como Ethereal, es un software de análisis de protocolos que se basa en las librerías Pcap y que, como he dicho anteriormente, se utiliza comunmente como herramienta para realizar un análisis de redes y aplicaciones en red. Wireshark soporta una gran cantidad de protocolos (más de 450), como ICMP, HTTP, TCP, DNS, y un largo etcétera.

Wireshark_Icon

Funciona en varias plataformas, como Windows, OS X, Linux y UNIX. Es usado regularmente por desarrolladores, profesionales de la seguridad y en muchos casos para la educación. Es totalmente gratis y de código libre. Además, está publicado bajo licencia GNU GPL versión 2.

Una de las ventajas que tiene Wireshark es que en un momento dado, podemos dejar capturando datos en una red el tiempo que queramos y, posteriormente almacenarlos, con el fin de poder realizar el análisis más adelante. Esto es algo totalmente necesario, porque son miles los paquetes que se capturan en una red y, si tratamos de hacer el análisis en el mismo instante, nos veríamos desbordados.

¿Cómo instalo Wireshark?

Muy sencillo. En Windows y OS X, abrimos la siguiente URL:

http://www.wireshark.org/download.html

y seleccionamos el ítem deseado.

Por otra parte, en linux:

sudo apt-get install wireshark

Ya lo tenemos instalado. Para iniciarlo, lo haremos en modo administrador o superusuario.

¿Cómo es Wireshark y cuáles son sus posibilidades?

Wireshark posee una interfaz gráfica, la cual facilita mucho su uso, aunque también disponemos de una versión en modo texto llamada tshark.

Screenshot from 2013-05-07 17:52:25
XIImY

Una de las virtudes de Wireshark es el filtrado que podemos hacer de los datos capturados. Podemos filtrar protocolos, IP origen o destino, por un rango de direcciones IP, puertos o tráfico unicast, entre una larga lista de opciones. Podemos introducir nosotros manualmente los filtros en una casilla o seleccionar estos filtros de una lista:

Filtros Wireshark

Además, podremos seleccionar varias interfaces en las que capturar. En mi caso, tengo las siguientes y selecciono la que estoy usando:

interfaces wireshark

¿Cómo empiezo a capturar paquetes?

Si seleccionamos las opciones de interfaces de captura, nos aparece esto. Capturaremos siempre en modo promiscuo, con el fin de poder capturar los paquetes de la red en la que estamos, no sólo los nuestros, aunque he de decir que no todas las tarjetas de red son compatibles con este modo. Para iniciar la captura, pulsaremos en "Start".

capture options wireshark

Tras pulsar "Start", obtendremos lo siguiente:

paquetes wireshark

Esta ventana tiene 3 partes importantes:

  1. Aquí veremos los paquetes capturados. En este caso, estoy mostrando paquetes TCP desde y hacia mi ordenador (mi IP es la 192.168.142.33).
  2. En esta parte veremos el desglose y la información detallada de los paquetes capturados.
  3. Vemos el contenido de los paquetes.

Doy por finalizado este tutorial, recopilando la información proporcionada.

  1. Qué es Wireshark.
  2. Cómo instalar Wireshark.
  3. Cómo es Wireshark y cuáles son sus posibilidades.
  4. Cómo empezar a capturar paquetes.

Este primer tutorial ha sido la primera toma de contacto con Wireshark. En los siguientes tutoriales entraremos más a fondo en varios temas, como por ejemplo el filtrado o los distintos tipos de protocolos.

Espero que os haya gustado y que sigáis estos tutoriales. Siempre es bueno tener unos conocimientos mínimos sobre estos temas.

¡Un saludo!