Wireshark es una herramienta de análisis de protocolo de red de código abierto indispensable para la administración y seguridad del sistema. Profundiza y muestra los datos que viajan en la red. Wireshark le permite capturar paquetes de red en vivo o guardarlos para su análisis fuera de línea.
Una de las características de Wireshark que le encantará aprender es el filtro de visualización que le permite inspeccionar solo el tráfico que realmente le interesa. Wireshark está disponible para varias plataformas, incluidas Windows, Linux, MacOS, FreeBSD y algunas otras.
Algunas de las tareas que se pueden realizar con Wireshark son
- Capturar y encontrar el tráfico que pasa por su red
- Inspección de cientos de protocolos diferentes
- Captura en vivo del tráfico/análisis fuera de línea
- Resolución de problemas de latencia y paquetes perdidos
- Buscar intentos de ataques o actividades maliciosas
En este artículo, explicaremos cómo instalar Wireshark en el sistema Ubuntu. Los procedimientos de instalación han sido probados en Ubuntu 20.04 LTS.
- Hemos utilizado la línea de comando Terminal para el procedimiento de instalación. Puede iniciar la Terminal mediante el método abreviado de teclado Ctrl+Alt+T.
- Debe ser un usuario raíz o tener privilegios de sudo para poder instalar y usar Wireshark para capturar datos en su sistema.
Instalación de Wireshark
Para instalar Wireshark, deberá agregar el repositorio "Universo". Ejecute el siguiente comando en la Terminal para hacerlo:
$ sudo add-apt-repository universe
Ahora emita el siguiente comando en la Terminal para instalar Wireshark en su sistema:
$ sudo apt install Wireshark
Cuando se le solicite una contraseña, escriba sudo contraseña.
Después de ejecutar el comando anterior, es posible que se le solicite confirmación, presione y y luego presione Intro, después de lo cual se iniciará la instalación de Wireshark en su sistema.
Durante la instalación de Wireshark, aparecerá la siguiente ventana preguntándole si desea permitir que personas que no sean superusuarios capturen paquetes. Habilitarlo puede ser un riesgo para la seguridad, por lo que es mejor dejarlo deshabilitado y pulsar Intro. .
Una vez que se completa la instalación de Wireshark, puede verificarla usando el siguiente comando en la Terminal:
$ wireshark --version
Si Wireshark se instaló correctamente, verá un resultado similar que muestra la versión de Wireshark instalada.
Iniciar Wireshark
Ahora está listo para iniciar y usar Wireshark en su máquina Ubuntu. Para iniciar Wireshark, emita el siguiente comando en la Terminal:
$ sudo wireshark
Si ha iniciado sesión como usuario raíz, también puede iniciar Wireshark desde la GUI. Presiona la súper tecla y escribe wireshark en la barra de búsqueda. Cuando aparezca el icono de Wireshark, haga clic en él para iniciarlo.
Recuerde que no podrá capturar el tráfico de la red si inicia Wireshark sin privilegios de root o sudo.
Cuando se abra Wireshark, verá la siguiente vista predeterminada:
Uso de Wireshark
Wireshark es una herramienta poderosa con muchas características. Aquí solo repasaremos los conceptos básicos de las dos características importantes que son:captura de paquetes y filtro de visualización.
Captura de paquetes
Para capturar paquetes utilizando Wireshark, siga los sencillos pasos a continuación:
1. De la lista de interfaces de red disponibles en la ventana de Wireshark, seleccione la interfaz en la que desea capturar paquetes.
2. Desde la barra de herramientas en la parte superior, haga clic en el botón de inicio para comenzar a capturar los paquetes en la interfaz seleccionada como se muestra en la siguiente captura de pantalla.
Si actualmente no hay tráfico, puede generar algo de tráfico visitando cualquier sitio web o accediendo a un archivo compartido en la red. Después de eso, verá los paquetes capturados en tiempo real.
3. Para dejar de capturar los paquetes, haga clic en el botón de detener como se muestra en la siguiente captura de pantalla.
En la captura de pantalla anterior, puede ver el Wireshark dividido en tres paneles:
1. El panelista superior de todos los paquetes capturados por Wireshark.
2. El panel central muestra los detalles del encabezado del paquete para cada paquete seleccionado.
3. El tercer panel muestra los datos sin procesar de cada paquete seleccionado.
Filtro de visualización
Como ha visto en las capturas de pantalla anteriores, Wireshark muestra una gran cantidad de paquetes para una sola actividad de red. En una red normal, hay miles de paquetes que viajan de un lado a otro en su red. Es muy difícil encontrar un paquete específico entre miles de paquetes capturados. Aquí viene la función de filtrado de pantalla de Wireshark.
Con los filtros de visualización de Wireshark, solo puede mostrar los tipos de paquetes que está buscando. De esta forma, acota los resultados y te facilita encontrar lo que buscas. Puede filtrar los resultados según los protocolos, las direcciones IP de origen y destino, el número de puerto y algunos otros.
Wireshark tiene muchos filtros predefinidos que puede utilizar. Cuando comienza a escribir el nombre del filtro, Wireshark lo ayuda a completarlo automáticamente sugiriendo nombres. Para mostrar solo los paquetes que contienen un protocolo específico, escriba el nombre del protocolo en el campo "Aplicar un filtro de visualización" debajo de la barra de herramientas.
Ejemplo:
Para mostrar solo los paquetes TCP de todos los paquetes capturados, escriba tcp . Después de ingresar el nombre del filtro, solo verá los paquetes TCP.
Así es como puede instalar y usar Wireshark en el sistema Ubuntu 20.04 LTS. Acabamos de discutir los conceptos básicos de la herramienta Wireshark. Para tener una comprensión sólida de Wireshark, debe revisar todas las funciones y experimentar con ellas.