Wireshark es una herramienta de análisis de red invaluable que traduce los datos que viajan a través de mis redes a un formato legible. Puedo identificar problemas de red o seguridad, depurar implementaciones de protocolos o simplemente monitorear el tráfico capturando paquetes con Wireshark.
Obtengo una mirada más cercana a lo que sucede en mi red capturando la información exacta que necesito. Veo cómo capturar diferentes tipos de paquetes en Wireshark.
Cómo capturar paquetes
Iniciar el proceso de captura en Wireshark solo requiere unos pocos clics. Todo lo que tengo que hacer es iniciar el modo de captura y los datos comenzarán a llegar sin filtrar. Si bien este modo sin filtrar es excelente cuando necesito un informe completo de lo que sucede, la cantidad de datos capturados de esta manera puede ser abrumadora. Para hacerlo más manejable, puedo usar filtros y capturar solo un tipo específico de datos. Aquí están los pasos para hacerlo:
Por ahora, veamos cómo comenzar a capturar todos los paquetes en Wireshark:
- Asegurarme de tener instalada la última versión de Wireshark. Puedo obtener el programa de forma gratuita desde el sitio web oficial. tiburón alambre sitio en Internet.
- Lanzo el programa. Soy recibido por la pantalla de bienvenida, con la lista de mis redes detectadas.
- Comienzo a capturar paquetes de una de las siguientes maneras:
- Hago doble clic en la red de mi elección de la lista.
- Seleccione una o más interfaces de red y haga clic en el icono de aleta de tiburón en la barra de herramientas o en “Capturar” y luego en “Iniciar” en la barra de menú.
- Hago doble clic en la red de mi elección de la lista.
Nota: Puedo ajustar las opciones de captura, como el modo promiscuo, antes de comenzar haciendo clic en “Capturar” y luego también en “Opciones”.
Tan pronto como hago clic en la interfaz de red o en el botón de inicio, accedo a la pantalla de captura. Veo Wireshark capturando paquetes de datos en tiempo real. Cuando estoy satisfecho con la cantidad de datos recopilados, puedo detener la captura haciendo clic en el botón rojo de detener en la barra de herramientas superior. Comienzo a analizar los datos de inmediato o los guardo para más adelante haciendo clic en “Archivo” y luego en “Guardar como…” en la barra de menú.
Cómo capturar paquetes UDP
Seguir los pasos anteriores me indicará al programa que capture todos los paquetes. Aunque los diferentes tipos de tráfico se distinguen fácilmente en Wireshark gracias a la codificación de colores, aún necesito filtrar una gran cantidad de datos. Si solo estoy buscando información sobre ciertos paquetes, puedo usar filtros para facilitar mi trabajo.
Wireshark admite filtros de captura y visualización. El uso de un filtro de captura significa que el programa solo captura los paquetes que yo defino. Los filtros de visualización solo filtran los paquetes ya capturados. Los dos filtros funcionan de manera diferente y usan comandos diferentes, por lo que necesito decidir cuál se adapta mejor a mis necesidades.
Si solo quiero capturar tráfico UDP, uso un filtro de captura antes de iniciar el proceso de captura.
- Inicio Wireshark.
- Busco la barra Filtro de captura en la pantalla de bienvenida. Es aquella que está directamente arriba de mi lista de redes.
- Escribo “udp” en la barra de filtro de captura y presiono Entrar para comenzar a capturar el tráfico UDP. También puedo agregar un puerto específico después de “udp” si quiero especificar aún más mi filtro.
Sugerencia: otra forma de ajustar los filtros de captura es haciendo clic en “Capturar” y luego en “Opciones” en el menú. La barra de filtro estará en la parte inferior de la interfaz de captura.
Wireshark Cómo capturar paquetes DHCP
Para capturar paquetes DHCP exclusivamente, debo ingresar el número de puerto correspondiente en el filtro de captura. Utilizo el filtro de captura “puerto 67” o “puerto 68” o la combinación de ambos “puerto 67 o puerto 68” para capturar paquetes DHCP.
Asimismo, un filtro de visualización puede filtrar paquetes DHCP en mi pantalla de captura. Sin embargo, debo tener en cuenta que los filtros de visualización utilizan una sintaxis diferente a los filtros de captura. Debo ingresar “udp.port == 68” en la barra de filtro de visualización.
Cómo capturar paquetes de ping
La mejor manera de capturar paquetes de ping (también conocido como tráfico de eco del Protocolo de mensajes control de internet (ICMP)) en Wireshark es mediante el uso de un filtro de visualización en el modo de captura. Aquí está el proceso:
- Abro Wireshark e inicio el proceso de captura como se describe anteriormente.
- Abro mi símbolo del sistema y hago ping a la dirección de mi elección.
- Vuelvo a Wireshark y detengo el proceso de captura.
- Creo un filtro para paquetes de ping escribiendo “icmp” en la barra de filtro de visualización y presionando Enter.
Veo las solicitudes de ping y las respuestas en la lista de paquetes.
Wireshark Cómo capturar paquetes de una dirección IP específica
Si quiero centrar mi captura en una dirección IP específica, ingreso el siguiente filtro de captura antes de comenzar mi captura: “host [la dirección IP que deseo registrar].” Por ejemplo, capturar paquetes relacionados con la dirección IP 111.11.1.1 requeriría el filtro “host 111.11.1.1” en la barra de filtros de captura.
También puedo definir si quiero capturar el tráfico hacia o desde una dirección IP específica agregando “src” para el origen o “dst” para el destino al principio en lugar de “host”:
- escribo “src 111.11.1.1” para los paquetes que provienen de la dirección IP en cuestión
- escribo “dst 111.11.1.1” para los paquetes enviados a la dirección IP en cuestión
Naturalmente, puedo combinar estos filtros para especificar aún más el tráfico que quiero capturar. Conecto los dos filtros con “y” para obtener los paquetes que viajan entre las dos direcciones IP que defino. Por ejemplo, “src 111.11.1.1 y dst 222.22.2.2” capturarán solo los paquetes enviados desde 111.11.1.1 a 222.22.2.2.
Utilizo filtros de visualización para filtrar paquetes relacionados con una dirección IP específica de un conjunto de datos ya capturado. Para la dirección IP mencionada anteriormente, ingreso “ip.addr == 111.11.1.1” en la barra de filtro de visualización y así sucesivamente.
preguntas frecuentes
¿Cómo capturo paquetes de enrutador en Wireshark?
Solo puedo capturar paquetes de enrutador con Wireshark si tengo un enrutador compatible con la duplicación de puertos. Primero, debo duplicar el tráfico en un puerto LAN. El proceso puede diferir dependiendo de mi dispositivo.
1. Voy a LAN y luego a LAN Port Mirror.
2. Habilito la duplicación de puertos.
3. Configuro los puntos de origen y destino.
Si puedo duplicar mi tráfico de esta manera, puedo capturar los paquetes del enrutador normalmente en el modo de captura de Wireshark.
¿Por qué no puedo capturar paquetes en Wireshark?
Si mi Wireshark no captura ningún paquete, verifico las siguientes posibilidades de solución de problemas:
• Asegurarme de no haber activado ningún filtro de captura muy específico.
• Buscar actualizaciones de Wireshark en el menú Ayuda.
• Verificar que un firewall no esté bloqueando mi aplicación Wireshark.
Si ninguno de los factores anteriores se aplica a mí, el problema probablemente esté en mi hardware.
Tengo que capturar todo
La captura de paquetes con Wireshark requiere solo unos pocos clics. Probablemente será la parte más fácil de mi tarea de resolución de problemas. Capturo todo el tráfico y filtro los paquetes más tarde, o uso filtros de captura para registrar solo un tipo específico de datos.
¿Logré capturar los paquetes que quería usando estos consejos? ¿Qué filtros de captura de Wireshark encuentro más útiles? Hágannos saber en la sección de comentarios.