Tiburón de alambre es un analizador de paquetes de red gratuito y de código abierto, multiplataforma, basado en GUI que está disponible para Linux, Windows, MacOS, Solaris, etc. Captura paquetes de red en tiempo real y los presenta en formato legible por humanos. Wireshark nos permite monitorear los paquetes de red hasta un nivel microscópico. Wireshark también tiene una utilidad de línea de comandos llamada 'tshark ‘ que realiza las mismas funciones que Wireshark pero a través de la terminal y no a través de la GUI.
Wireshark se puede utilizar para la resolución de problemas de red, el análisis, el desarrollo de protocolos de comunicación y software y también para fines educativos. Wireshark usa una biblioteca llamada 'pcap ‘ para capturar los paquetes de red.
Wireshark viene con muchas características y algunas de esas características son;
- Soporte para cientos de protocolos de inspección,
- Capacidad de capturar paquetes en tiempo real y guardarlos para su posterior análisis fuera de línea,
- Varios filtros para analizar datos,
- Los datos capturados se pueden comprimir y descomprimir sobre la marcha,
- Se admiten varios formatos de archivo para el análisis de datos, la salida también se puede guardar en XML, CSV, formatos de texto sin formato,
- Los datos se pueden capturar desde una serie de interfaces como ethernet, wifi, bluetooth, USB, Frame Relay, Token Rings, etc.
En este artículo, discutiremos cómo instalar Wireshark en máquinas Ubuntu/Debain y también aprenderemos a usar Wireshark para capturar paquetes de red.
Instalación de Wireshark en Ubuntu 16.04 / 17.10
Wireshark está disponible con los repositorios predeterminados de Ubuntu y se puede instalar simplemente con el siguiente comando. Pero puede haber posibilidades de que no obtenga la última versión de wireshark.
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Entonces, para instalar la última versión de Wireshark, debemos habilitar o configurar el repositorio oficial de Wireshark. .
Utilice los siguientes comandos uno tras otro para configurar el repositorio e instalar la última versión de la utilidad Wireshark
[email protected]:~$ sudo add-apt-repository ppa:wireshark-dev/stable [email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Una vez que Wireshark esté instalado, ejecute el siguiente comando para que los usuarios no root puedan capturar paquetes de interfaces en vivo,
[email protected]:~$ sudo setcap 'CAP_NET_RAW+eip CAP_NET_ADMIN+eip' /usr/bin/dumpcap
Instalación de Wireshark en Debian 9
El paquete Wireshark y sus dependencias ya están presentes en los repositorios predeterminados de Debian 9, por lo que para instalar la versión más reciente y estable de Wireshark en Debian 9, use el siguiente comando:
[email protected]:~$ sudo apt-get update [email protected]:~$ sudo apt-get install wireshark -y
Durante la instalación, nos pedirá que configuremos dumpcap para no superusuarios,
Seleccione 'sí' y luego presione enter.
Una vez que se complete la instalación, ejecute el siguiente comando para que los usuarios no root también puedan capturar los paquetes en vivo de las interfaces.
[email protected]:~$ sudo chmod +x /usr/bin/dumpcap
También podemos usar el último paquete fuente para instalar Wireshark en Ubuntu/Debain y muchas otras distribuciones de Linux.
Instalación de Wireshark usando código fuente en sistemas Debian/Ubuntu
En primer lugar, descargue el paquete fuente más reciente (que es 2.4.2 en el momento de escribir este artículo), use el siguiente comando,
[email protected]:~$ wget https://1.as.dl.wireshark.org/src/wireshark-2.4.2.tar.xz
A continuación, extraiga el paquete e ingrese en el directorio extraído,
[email protected]:~$ tar -xf wireshark-2.4.2.tar.xz -C /tmp [email protected]:~$ cd /tmp/wireshark-2.4.2
Ahora compilaremos el código con los siguientes comandos,
[email protected]:/tmp/wireshark-2.4.2$ ./configure --enable-setcap-install [email protected]:/tmp/wireshark-2.4.2$ make
Por último, instale los paquetes compilados para instalar Wireshark en el sistema,
[email protected]:/tmp/wireshark-2.4.2$ sudo make install [email protected]:/tmp/wireshark-2.4.2$ sudo ldconfig
Después de la instalación, también se creará un grupo separado para Wireshark, ahora agregaremos nuestro usuario al grupo para que pueda funcionar con Wireshark; de lo contrario, es posible que obtenga 'permiso denegado ‘ error al iniciar wireshark.
Para agregar el usuario al grupo wireshark, ejecute el siguiente comando,
[email protected]:~$ sudo usermod -a -G wireshark linuxtechi
Ahora podemos iniciar Wireshark desde el menú GUI o desde la terminal con este comando,
[email protected]:~$ wireshark
Acceda a Wireshark en el sistema Debian 9
Haga clic en el icono de Wireshark
Acceda a Wireshark en Ubuntu 16.04/17.10
Haga clic en el icono de Wireshark
Captura y análisis de paquetes
Una vez que se haya iniciado el wireshark, se nos debe presentar la ventana de wireshark, el ejemplo se muestra arriba para el sistema Ubuntu y Debian.
Todas estas son las interfaces desde donde podemos capturar los paquetes de red. Según las interfaces que tenga en su sistema, esta pantalla puede ser diferente para usted.
Estamos seleccionando 'enp0s3' para capturar el tráfico de red para esa interfaz. Después de seleccionar la interfaz, los paquetes de red para todos los dispositivos en nuestra red comienzan a completarse (consulte la captura de pantalla a continuación)
La primera vez que vemos esta pantalla, es posible que nos abrumen los datos que se presentan en esta pantalla y que hayamos pensado en cómo ordenar estos datos, pero no se preocupe, una de las mejores características de Wireshark son sus filtros.
Podemos ordenar/filtrar los datos según la dirección IP, el número de puerto, también podemos usar filtros de origen y destino, el tamaño del paquete, etc. También podemos combinar 2 o más filtros para crear búsquedas más completas. Podemos escribir nuestros filtros en 'Aplicar un filtro de visualización ‘, o también podemos seleccionar una de las reglas ya creadas. Para seleccionar un filtro preconstruido, haga clic en 'marcar ' , junto a 'Aplicar un filtro de visualización ' pestaña,
También podemos filtrar los datos en función del código de colores. De forma predeterminada, el violeta claro es tráfico TCP. , azul claro es tráfico UDP y el negro identifica los paquetes con errores , para ver qué significan estos códigos, haga clic en Ver -> Reglas para colorear , también podemos cambiar estos códigos.
Una vez que tengamos los resultados que necesitamos, podemos hacer clic en cualquiera de los paquetes capturados para obtener más detalles sobre ese paquete, esto mostrará todos los datos sobre ese paquete de red.
Wireshark es una herramienta extremadamente poderosa a la que toma algún tiempo acostumbrarse y hacer un comando sobre ella, este tutorial lo ayudará a comenzar. No dude en dejar sus consultas o sugerencias en el cuadro de comentarios a continuación.