Usar WIRESHARK para ANALIZAR el TRÁFICO

wireshark
Estimado de lectura : 7 minutes

Wireshark es un poderoso analizador de red que puede usarse para analizar el tráfico que pasa a través de la interfaz de red de su computadora. Es posible que lo necesite para detectar y resolver problemas de red, depurar sus aplicaciones web, programas de red o sitios. Wireshark le permite ver completamente el contenido del paquete en todos los niveles: para que pueda comprender mejor cómo funciona la red en un nivel bajo.

 

Todos los paquetes se interceptan en tiempo real y se proporcionan en un formato legible. El programa admite un sistema de filtrado muy potente, resaltado de color y otras características que lo ayudarán a encontrar los paquetes que necesita. En esta guía, veremos cómo usar Wireshark para analizar el tráfico. Recientemente, los desarrolladores cambiaron para trabajar en la segunda rama de Wireshark 2.0, se le han hecho muchos cambios y mejoras, especialmente para la interfaz. Que usaremos en este artículo.

El contenido del artículo:

CARACTERÍSTICAS CLAVE DE WIRESHARK

Antes de proceder a la consideración de los métodos de análisis de tráfico, debe considerar qué características admite el programa con más detalle, con qué protocolos puede trabajar y qué hacer. Estas son las principales características del programa:

  • Capturar paquetes en tiempo real desde una interfaz de red cableada o de cualquier otro tipo, así como leer desde un archivo;
  • Se admiten las siguientes interfaces de captura: Ethernet, IEEE 802.11, PPP e interfaces virtuales locales;
  • Los paquetes pueden seleccionarse para una variedad de parámetros usando filtros;
  • Todos los protocolos conocidos se resaltan en una lista en diferentes colores, por ejemplo TCP, HTTP, FTP, DNS, ICMP, etc.
  • Soporte para capturar el tráfico de llamadas VoIP;
  • Se admite el descifrado del tráfico HTTPS con un certificado;
  • Descifrado del tráfico WEP, WPA de redes inalámbricas en presencia de una clave y un apretón de manos;
  • Mostrar estadísticas de carga de red;
  • Ver el contenido del paquete para todas las capas de red;
  • Muestra la hora de envío y recepción de paquetes.

El programa tiene muchas otras funciones, pero estas fueron las principales que podrían interesarle.

CÓMO USAR WIRESHARK

Supongo que ya ha instalado el programa, pero si no, puede instalarlo desde los repositorios oficiales. Para hacer esto, escriba el comando en Ubuntu:

 sudo apt install wireshark

Después de la instalación, puede encontrar el programa en el menú principal de la distribución. Necesita ejecutar Wireshark con privilegios de superusuario, porque de lo contrario no podrá analizar los paquetes de red. Esto se puede hacer desde el menú principal o a través del terminal usando el comando para KDE:

 kdesu wireshark

Y para Gnome / Unity:

 gksu wireshark

La ventana principal del programa se divide en tres partes: la primera columna contiene una lista de interfaces de red disponibles para el análisis, la segunda contiene opciones para abrir archivos y la tercera contiene ayuda.

ANÁLISIS DE TRÁFICO DE RED

Para comenzar el análisis, seleccione una interfaz de red, por ejemplo eth0, y haga clic en el botón Inicio.

Después de eso, se abrirá la siguiente ventana, ya con una secuencia de paquetes que pasan a través de la interfaz. Esta ventana también se divide en varias partes:

  • La parte superior son menús y paneles con varios botones;
  • Lista de paquetes: se muestra la secuencia de paquetes de red que analizará;
  • Contenido del paquete : el contenido del paquete seleccionado se encuentra justo debajo, se divide en categorías según el nivel de transporte;
  • Representación real : en la parte inferior, el contenido del paquete se muestra en forma real, así como en forma de HEX.

Puede hacer clic en cualquier paquete para analizar su contenido:

Aquí vemos el paquete de solicitud de DNS para obtener la dirección IP del sitio, el dominio se envía en la solicitud en sí, y en el paquete de respuesta recibimos nuestra pregunta, así como la respuesta.

Para una visualización más conveniente, puede abrir el paquete en una nueva ventana haciendo doble clic en la entrada:

FILTROS WIRESHARK

Revisar los paquetes manualmente para encontrar los que necesita es muy inconveniente, especialmente con un hilo activo. Por lo tanto, para tal tarea es mejor usar filtros. Hay una línea especial para ingresar filtros debajo del menú. Puede hacer clic en Expresión para abrir el constructor de filtros, pero hay muchos de ellos, por lo que veremos los más básicos:

  • ip.dst : dirección IP de destino;
  • ip.src : dirección IP del remitente;
  • ip.addr : IP del remitente o destinatario;
  • ip.proto – protocolo;
  • tcp.dstport – puerto de destino;
  • tcp.srcport : puerto del remitente;
  • ip.ttl : filtra por ttl, determina la distancia de la red;
  • http.request_uri : la dirección del sitio solicitada.

Para especificar la relación entre el campo y el valor en el filtro, puede usar los siguientes operadores:

  • == – igual;
  • ! = – no es igual;
  • < – menos;
  • > -más;
  • <= – menor o igual que;
  • > = – mayor o igual que;
  • coincide es una expresión regular;
  • contiene – contiene.

Para combinar varias expresiones, puede aplicar:

  • && : ambas expresiones deben ser verdaderas para el paquete;
  • || – una de las expresiones puede ser verdadera.

Ahora, echemos un vistazo más de cerca a algunos filtros usando ejemplos e intentemos comprender todos los signos de las relaciones.

Primero, filtramos todos los paquetes enviados a 194.67.215.125 (losst.ru). Escriba una línea en el campo de filtro y haga clic en Aplicar . Para mayor comodidad, los filtros Wireshark se pueden guardar con el botón Guardar :

ip.dst == 194.67.215.125

Y para recibir no solo paquetes enviados, sino también recibidos en respuesta desde este nodo, puede combinar dos condiciones:

ip.dst == 194.67.215.125 || ip.src == 194.67.215.125

A continuación, seleccionamos paquetes con ttl menos de 10:

ip.ttl < 10

También podemos seleccionar los archivos grandes transferidos:

http.content_length > 5000

Al filtrar el tipo de contenido, podemos seleccionar todas las imágenes que se han subido; analicemos el tráfico de Wireshark, paquetes que contienen la palabra imagen:

http.content_type contains image

Para borrar el filtro, puede hacer clic en el botón Borrar . Sucede que no siempre conoce toda la información que necesita para filtrar, pero solo desea explorar la red. Puede agregar cualquier campo del paquete como una columna y ver su contenido en la ventana general de cada paquete.

Por ejemplo, quiero mostrar en forma de una columna ttl (duración) de un paquete. Para hacer esto, abra la información del paquete, busque este campo en la sección IP. Luego llame al menú contextual y seleccione la opción Aplicar como columna :

A continuación, verá la columna deseada después de la actualización:

Del mismo modo, puede crear un filtro basado en cualquier campo deseado. Selecciónelo y llame al menú contextual, luego haga clic en Aplicar como filtro o en Preparar como filtro , luego seleccione  Seleccionado para mostrar solo los valores seleccionados, o No seleccionado para eliminarlos:

El campo especificado y su valor se aplicarán o, en el segundo caso, se sustituirán en el campo de filtro:

De esta manera, puede agregar cualquier campo o columna de paquete al filtro. Allí, también, existe esta opción en el menú contextual. Puede usar condiciones más simples para filtrar protocolos. Por ejemplo, analicemos el tráfico de Wireshark para los protocolos HTTP y DNS:

http || dns

Otra característica interesante del programa es el uso de Wireshark para rastrear una sesión específica entre la computadora del usuario y el servidor. Para hacer esto, abra el menú contextual del paquete y seleccione Seguir secuencia TCP .

Luego se abrirá una ventana en la que encontrará todos los datos transferidos entre el servidor y el cliente:

DIAGNÓSTICO DE PROBLEMAS DE WIRESHARK

Tal vez se pregunte cómo usar Wireshark 2.0 para detectar problemas de red. Para hacer esto, hay un botón redondo en la esquina inferior izquierda de la ventana, cuando hace clic en él, se abre la ventana Expet Tools . En él, Wireshark recopila todos los mensajes de error y problemas de red:

La ventana se divide en pestañas como Errores, Advertencias, Avisos, Chats. El programa puede filtrar y encontrar muchos problemas con la red, y aquí puede verlos muy rápidamente. Los filtros de Wireshark también son compatibles aquí.

ANÁLISIS DE TRÁFICO DE WIRESHARK

Puede comprender fácilmente qué usuarios descargaron y qué archivos buscaron si la conexión no estaba encriptada. El programa hace un muy buen trabajo extrayendo contenido.

Para hacer esto, primero debe detener la captura de tráfico utilizando el cuadrado rojo en el panel. Luego abra el menú Archivo -> Exportar objetos -> HTTP :

A continuación, en la ventana que se abre, verá todos los objetos interceptados disponibles. Solo necesita exportarlos al sistema de archivos. Puede guardar imágenes y música.

Luego puede analizar el tráfico de red de Wireshark o abrir inmediatamente el archivo resultante con otro programa, como un reproductor.

CONCLUSIONES

En este artículo, vimos cómo usar Wireshark  para analizar el tráfico de red, así como ejemplos de resolución de problemas de red. Esta es una utilidad muy poderosa que tiene muchas características. Toda su funcionalidad no puede ser cubierta en un artículo, pero la información básica provista aquí será suficiente para que domine todo lo que necesita.

Sé el primero en comentar

Deja un comentario o una pregunta, gracias por visitarme.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.