Wireshark es un analizador de enlaces de comunicación de red gratuito y conocido anteriormente como Ethereal. Presenta los datos de paquetes capturados con el mayor detalle posible. Puede contemplar un analizador de paquetes de red como un dispositivo de medición para examinar lo que sucede dentro de un cable de red, al igual que un electricista utiliza un voltímetro para verificar qué hay dentro de un cable eléctrico.
Hace algún tiempo, Wireshark y las herramientas similares eran caras, propietarias o ambas cosas. Sin embargo, los albores de Wireshark han cambiado enormemente hasta el punto de que ahora está disponible de forma gratuita, de código abierto, y ha demostrado ser uno de los mejores analizadores de paquetes disponibles en el mercado actual.
Características de Wireshark
- Wireshark está disponible para Unix y Windows.
- Captura paquetes de datos en vivo desde una interfaz de red.
- Filtrar paquetes en muchos criterios
- Crea varias estadísticas.
- Abre archivos que contienen paquetes de datos capturados con tcpdump/WinDump.
- Wireshark y otros programas de captura de paquetes.
- Guarda los paquetes de datos capturados.
- Utiliza una interfaz de red para capturar paquetes de datos en vivo.
- Importa paquetes de archivos de texto que contienen volcados hexadecimales de datos de paquetes.
- Exporta algunos o todos los paquetes en varios formatos de archivo de captura.
Habiendo visto esa información vital, centrémonos ahora en la parte central del artículo que explica cómo instalar Wireshark en Debian 11, y también veamos cómo comenzar con este analizador de paquetes que ha demostrado ser útil para varias funcionalidades, como rastreo, solución de problemas de red y mucho más.
En caso de que no tenga Debian instalado en su máquina, le sugerimos que consulte nuestro otro artículo sobre Cómo instalar Debian 11 antes de continuar con el artículo.
Cómo instalar Wireshark en Debian 11
Ejecutaremos los siguientes comandos en nuestra máquina Debian 11 para instalar Wireshark. Aún así, como de costumbre, comenzaremos actualizando la información de la versión de nuestros paquetes de Debian 11 usando el siguiente comando:
sudo apt update
Después de eso, la terminal le notificará la cantidad de paquetes que requieren una actualización. Si hay, como en nuestro caso, 32 paquetes, ejecute el siguiente comando para actualizar los "32 paquetes":
sudo apt update
En caso de que todos sus paquetes estén actualizados, omita el proceso de actualización y vaya directamente a la instalación de Wireshark que llevaremos a cabo usando apt, un software de utilidad de línea de comandos que se usa para instalar, eliminar, actualizar y administrar de otra manera. paquetes deb en Debian, Ubuntu y distribuciones similares de Linux, como se muestra a continuación:
sudo apt install wireshark -y
Mientras instala el software, se le preguntará si desea permitir que los usuarios que no sean superusuarios capturen paquetes o no; aquí, seleccionará “sí” con las teclas de flecha del teclado y pulsa "Intro" para que se complete el proceso.
Después de instalar Wireshark, puede ejecutar el siguiente comando para confirmar la versión instalada:
apt policy wireshark
Lanzamiento de Wireshark
Para lograr esto, vaya a las “actividades” en el menú de la izquierda del escritorio de Debian 11 y busque Wireshark en el menú de aplicaciones o en el Buscador de aplicaciones. Debería encontrar el software instalado como se muestra en la siguiente captura de pantalla:
Para iniciar Wireshark, seleccione el software haciendo doble clic en él:
Allí, aparecerá una pantalla de bienvenida. Luego, seguirá adelante y seleccionará su dispositivo de red para capturar paquetes y presionará el ícono de aleta de tiburón como se muestra en la instantánea a continuación para iniciar la captura del tráfico de red.
Después de ver el proceso de instalación de este extraordinario software, veamos ahora cómo empezar a utilizarlo.
Empezando con Wireshark
Puede iniciar el software desde la interfaz gráfica usando el menú de aplicaciones o el buscador de aplicaciones, como se explicó anteriormente en este artículo.
En los casos en los que ya conoce la interfaz de red que usará para monitorear la red, puede iniciar el software ejecutando el siguiente comando, donde
sudo wireshark -i <Device> -k
La interfaz gráfica de usuario (GUI) de Wireshark
Para una mejor comprensión de Wireshark, dividamos la pantalla en seis secciones:menú, barra de herramientas, barra de herramientas de filtro, panel de lista de paquetes, panel de detalles de paquetes y panel de bytes de paquetes. La siguiente instantánea muestra la ubicación de cada una de las seis secciones nombradas.
Donde cada sección contiene lo siguiente:
Menú: La sección del menú comprende elementos para administrar archivos de captura, guardar exportaciones e imprimir parte o todas las capturas. En la pestaña Editar junto a Archivo, aparecen opciones para buscar paquetes, administrar perfiles de configuración y algunas preferencias. Finalmente, la pestaña de vista en el reverso permite administrar las opciones de visualización, como la coloración de paquetes específicos, ventanas adicionales, fuentes y más.
La pestaña Ir le permite ejecutar una inspección de paquetes específicos. La pestaña de captura permite comenzar y detener la captura de archivos y la edición de filtros. Puede deshabilitar o habilitar los filtros de visualización de manipulación de disección de protocolo desde la pestaña Analizar, entre opciones adicionales.
La pestaña de telefonía le permite mostrar estadísticas de telefonía. La pestaña inalámbrica muestra las estadísticas de Bluetooth e IEE 802.11. La pestaña de herramientas tiene herramientas disponibles para Wireshark, mientras que el menú Ayuda contiene manuales y páginas de ayuda.
Barra de herramientas: La barra de herramientas principal tiene botones para iniciar, reiniciar y detener la captura de paquetes. Puede guardar, cerrar y volver a cargar archivos de captura desde la barra de herramientas. Este menú también le permite acceder a opciones de captura adicionales o encontrar paquetes particulares. También puede pasar al siguiente paquete o volver al anterior. La barra de herramientas incluye opciones de visualización para colorear paquetes acercar y alejar, entre otras.
Barra de herramientas de filtro: Esta barra de herramientas es vital para especificar el tipo de paquete que desea capturar y permite la flexibilidad de especificar el tipo de paquetes que desea descartar. Por ejemplo, para capturar todos los paquetes cuyo puerto de origen es 36, puede escribir “tcp src port 36”. Del mismo modo, para eliminar todos los paquetes arp, puede escribir “not arp.”
Lista de paquetes: La categoría de la lista de paquetes muestra los paquetes en el archivo de captura. Las columnas disponibles muestran la cantidad o dicen el número de paquetes en el archivo, las direcciones de destino, la marca de tiempo del paquete, la fuente, la longitud del paquete y el protocolo. La columna de información muestra información adjunta. Si selecciona un paquete en esta sección, se mostrarán más detalles sobre el paquete en particular en “Detalles del paquete” y "Bytes de paquetes" paneles.
Detalles del paquete: El panel Detalles del paquete muestra información adicional sobre el protocolo, el análisis de TCP, el tiempo de respuesta, la geolocalización de IP y la suma de verificación. Este panel también muestra posibles enlaces o una relación entre diferentes paquetes.
Bytes del paquete: Este panel aquí muestra un volcado hexadecimal de paquetes, que incluye compensación de datos, dieciséis bytes hexadecimales, dieciséis bytes ASCII.
Después de ver esa información vital, concentrémonos en capturar paquetes con Wireshark.
Captura de paquetes usando Wireshark
La siguiente instancia muestra cómo capturar paquetes que pertenecen a la comunicación entre dos dispositivos en particular de manera simple. Como se ve en la instantánea a continuación, la barra de herramientas de filtro contiene el filtro "ip.src==192.168.62.138 and ip.dst==162.159.200.1" que le dice a Wireshark que capture archivos cuyo origen es la dirección IP 192.168.62.138 y cuyo destino es la IP 162.159.200.1.
Inmediatamente después de terminar de capturar paquetes, presione el icono de detener la captura que se muestra en la instantánea a continuación para detener el proceso de captura.
Luego, después de detener el proceso de captura de paquetes, puede continuar y guardar su archivo capturado presionando Archivo>Guardar o Archivo>Guardar como luego guarde usando su nombre preferido como se muestra en la instantánea a continuación:
¡Y bum! Tú eres bueno para irte. Probablemente eso sea todo lo que hay que hacer para empezar a estudiar cómo usar Wireshark.
Reflexiones finales
Como se ve en la guía anterior, instalar el software Wireshark en Debian 11 es tan simple como ejecutar algún comando apt con un solo comando. Es cierto que cualquier usuario de nivel Linux puede instalarlo, ya sea un novato, un intermediario o un gurú. Al mismo tiempo, los administradores de sistemas deben conocer esta u otras herramientas similares para realizar análisis de red simplificados. Wireshark ha demostrado ser una herramienta muy flexible que permite a los usuarios de todos los ámbitos capturar y analizar paquetes rápidamente. En escenarios reales, Wireshark es útil para detectar anomalías en el tráfico de la red. También se puede adaptar para olfatear el tráfico; los piratas informáticos y los administradores de sistemas que buscan tráfico inadecuado deben saber cómo implementar esta herramienta.
Dicho esto, gracias por leer esta guía. Esperamos que haya sido lo suficientemente informativo.