Analizando paquetes de red con Wireshark

Con Wireshark podemos conocer más a fondo nuestra red local o externa analizando los paquetes enviados y recibidos.

Wireshark es un analizador de paquetes de red. Su propósito es capturar paquetes dentro de una red y ofrecer información detallada de los mismos. Haciendo un símil, sus responsables comparan Wireshark con un voltímetro en el caso de un electricista.

Esta herramienta, disponible para Windows, Mac y Linux de manera gratuita, está pensada tanto para administradores de redes como para desarrolladores o ingenieros de seguridad, y es que Wireshark puede usarse para analizar la idoneidad y estabilidad de una red así como sus posibles problemas o flaquezas de seguridad.

Su funcionamiento es relativamente sencillo. Basta con abrirlo, seleccionar la red que queremos analizar de las muchas que se muestran en pantalla y, finalmente, iniciamos la captura de paquetes. La parte complicada está en el análisis de esos paquetes, y es que la información disponible no es apta para todos los públicos.

Manual o programado

La cantidad de paquetes analizados dependerá de muchos factores, como el momento del día en que se produce un supuesto problema que queremos identificar. En ese sentido, si bien el inicio de la captura es manual, podemos pararlo también a mano o a partir de unos parámetros: número de paquetes capturados, número de archivos, tamaño de los mismos en KB, MB o GB y, finalmente, un periodo de tiempo concreto en segundos, minutos u horas.

Para iniciar la captura basta con pulsar en el icono en forma de aleta y pararla con el botón cuadrado. En el cuarto botón por la izquierda encontraremos las opciones de captura que he comentado antes.

En este sentido, es posible importar archivos con capturas previas o exportar una captura en varios formatos (pcapng, pcap y otros). También es posible exportar paquetes concretos desde el menú File de Wireshark.

Análisis al detalle

Wireshark muestra tres paneles en su ventana principal: la lista de paquetes capturados, el panel de detalle del paquete seleccionado y, en tercer lugar, el panel de paquetes de bytes en hexadecimal.

La lista de paquetes es nuestro punto de referencia. Los paquetes aparecen marcados con un código de colores que diferencia unos de otros según el tipo de paquete. Además, aparecen numerados en orden de captura. El resto de la información mostrada en cada columna corresponde al momento de captura, la dirección IP de origen, la dirección de destino del paquete, el protocolo empleado (TCP, TLS, ICMP, ARP…), el tamaño del paquete en bytes y, finalmente, información adicional, como por ejemplo en qué consiste el paquete capturado.

El resto de la información que nos interesa conocer de cada paquete se encuentra en el panel central, que podemos abrir en una ventana externa haciendo doble clic en la lista de paquetes. A su vez, la información mostrada se puede desplegar.

Búsqueda avanzada

De nada sirve obtener un buen volumen de información si luego somos incapaces de encontrar lo que queremos buscar. En este aspecto, Wireshark cuenta con un sistema de filtros para mostrar únicamente los paquetes que nos interesan. Lo encontraremos debajo de la barra de botones de la ventana principal de Wireshark.

Además, es posible añadir expresiones concretas a los filtros pulsando en Expression… y seleccionando una de las muchas opciones posibles. Pulsando en el botón + a la derecha de Expression… podremos personalizar más todavía los filtros.

Wireshark es una herramienta muy completa, pero su principal problema es su complejidad. En este sentido, para resolver cualquier duda relacionada, en su página de documentación encontrarás vídeos, guías, manuales y tutoriales para consultar libremente.

RELACIONADOS