gentoo linux, java, software libre y otras hierbas
sep, 10 2008 - 1:01 am

Wireshark, capturando paquetes

En esta pequeña guía aprenderemos a capturar paquetes con Wireshark, un proceso bastante sencillo e intuitivo. Lo primero, ejecutar el comando wireshark con lo cual aparecerá la interfaz gráfica.

Nota: Es necesario ejecutar Wireshark con privilegios de root, puesto que de lo contrario no podremos configurar las interfaces de red.

Vamos al menú Capture -> Options, con lo cual veremos lo siguiente:

wireshark capture options

  • Interface: es la tarjeta de red que utilizaremos para realizar la captura de los paquetes.
  • Capture packets in promiscuous mode: opción bastante importante. Al estar seleccionada Wireshark captura TODOS los paquetes que la interfaz reciba/envíe. Cabe hacer una pequeña aclaración: cuando tu equipo está conectado detrás de un hub, la tarjeta de red recibe TODOS los paquetes que transmitan/reciban los equipos conectados al mismo hub. Esto es porque, cuando el hub recibe un paquete lo reenvía a todos los puertos conectados, y es el computador quien decide que hacer con ellos (si el paquete es para él, lo recibe; si el paquete es para otro equipo, lo ignora). Esto no sucede así cuando estamos usando un Switch, puesto que cuando usamos una red switcheada se verifica el destinatario del paquete, antes de enviarlo. Luego veremos cómo vulnerar una red switcheada, de momento prosigamos.
  • Limit each packet to: límita el tamaño máximo de cada paquete capturado.
  • Capture filter: aunque en la siguiente entrada aprenderemos a usar esta característica, no está de más decir que sirve para asignar un filtro a la captura. Los filtros son útiles para mostrar sólo la información deseada, por ejemplo: paquetes enviados por la IP XX.XXX.XXX.XX, o sólo paquetes HTTP, etc.
  • File: aquí especificamos el archivo donde serán guardados los paquetes capturados. Es posible además separar los archivos cada vez que alcancen un tamaño, o cada cierto tiempo.
  • Stop capture: nos sirve para detener automáticamente una captura después de ciertas condiciones (tiempo, tamaño del archivo de captura y número de paquetes).
  • En las opciones de visualización (Display Options), es posible configurar a Wireshark para:
    • Actualizar el panel de paquetes cada vez que se capture uno (Update list of packets in real time)
    • Realizar un scroll-down cada vez que se capture un paquete (Automatic scrolling in live capture)
    • Ocultar el diálogo de información de captura (Hide capture info dialog)
  • Por último, las opciones de resolución de nombres (Name resolution) le indican a Wireshark si debe o no intentar resolver las direcciones MAC, el nombre de red y nombre del tipo de transporte, de los paquetes capturados.

Clic en Start para comenzar con la captura de paquetes:

live capture wireshark

Ahora mismo Wireshark está capturando todos los paquetes posibles de la interfaz de red seleccionada, y guardándolos en el archivo que hayamos especificado (lo que nos permite analizarlo en cualquier momento, reiteradamente, y con diversos programas). Aquí suelen surgir algunas preguntas:

¿Porqué solamente veo los paquetes que envía y recibe mi equipo?

Esto puede deberse principalmente a:

  1. Estás tratando de esnifar una red switcheada (que se conecta mediante un switch, y no un hub)
  2. Estás conectado a un hub que está configurado como un switch (mismo caso de arriba)
  3. No configuraste a Wireshark para que esnifara en modo promiscuo (Capture packets in promiscuous mode)

En caso tal que la conexión de tu red esté detrás de un switch, no es posible que veas los paquetes que transmiten y reciben otros equipos. Esto no quiere decir que sea imposible hacerlo; lo más común a realizar en estos casos es un ataque Man in the Middle a través de un ARP Poisoning. Estás técnicas son bastante fáciles de realizar (además de divertidas), pero se salen del tema de esta entrada. En las próximas entradas hablaremos al respecto.

¿Cómo obtengo datos específicos?

Para esto es imprescindible el uso de los filtros, sobre todo cuando los paquetes capturados son demasiados. Este tema lo trataremos en la próxima entrada.

¿Cómo recupero archivos enviados y recibidos mientras se realizaba la captura?

Esto es muy sencillo, pero lo explico en la próxima-próxima entrada :D

46 Comentarios | deja el tuyo

4 enlaces entrantes

42 Comentarios en “Wireshark, capturando paquetes”

« Comentarios anteriores
  1. WILSON OTINIANO dice:
    octubre 9, 2010 a las 1:27 pm

    HOLA MAIGOS BUENO SI QUIERES COMPARTIR OPINIONES CONMIGO SOBRE WIFISLAX Y BACTRACK4 MI CORREO ES ELWI14@HOTMAIL.COM SE SACAR CLAVES WEP Y WPA LO UNICO QUE ME FALTA ES EL IP Y PUERTS DE ENLACE ALGUIEN ME PUEDE AYUDAR Y YO GUSTOSO LES AYUDARE TAMBIEN. BYE UN SALUDO GRANDISIMO A TODOS.

    Responder
  2. WILSON OTINIANO dice:
    octubre 9, 2010 a las 1:30 pm

    EL WIRESHARK ES MUY BUENO PERO NO SE USARLO ME SALEN MUCHAS IPS PERO QUIERO QUE ALGUIEN ME AYUDE A SACAR EL IP Y PUERTA DE ENLACE SELECCIONADA GRACIAS UN SALUDO CORDIAL DESDE PERU PARA EL MUNDO ENTERO.

    Responder
  3. Fran dice:
    diciembre 31, 2010 a las 3:03 pm

    Buenas, quisiera saber, porque de todos los tutorials que he buscado no lo he podido encontrar, pues quería preguntarles donde es que veo el nombre del Paquete que está capturando. Gracias.

    Responder
  4. passw dice:
    enero 3, 2011 a las 8:19 am

    pues donde dice protocolo es el pauqete que estas capturando

    ejemplo si estas capturando paquetes de msn te saldra este protocolo: msnms es segun la conexion que estes capturando.

    Responder
  5. m-keyla dice:
    febrero 28, 2011 a las 10:24 am

    Muy bueno!!!necesitaba ayuda para empezar a usar este software..

    Responder
  6. Ricardo dice:
    abril 14, 2011 a las 3:32 pm

    GRACIAS POR EL APORTE…TENGO UN PUNTO DE VENTA QUE COMUNICA POR FRAME RELAY UNA PC TRABAJA COMO SERVIDOR Y LA OTRA ES LA CAJA DESPUES DE CIERTO TIEMPO PIERDO LA CONEXION HACIA FUERA (INTERNET) HICE LA PRUEBA DESABILITANDO LA TARGETA DE SERVIDOR QUE ES EL QUE REPLICA se mantuvo estable la comunicacion con la caja al momento de conectar el pc que trabaja como servidor se dispararon los tiempos de conexion como el wireshark podria ayudarme a detectar si tengo algun problema en la red de virus o algo? gracias…

    Responder
  7. raul dice:
    abril 24, 2011 a las 9:01 pm

    MUY BUENO MEN

    Responder
  8. Hector Garcia dice:
    octubre 3, 2011 a las 6:35 pm

    Hola tengo un problema una vez le ejecuto wireshark me sale un mensaje en la consola “dumpcap: There are no interfaces on which a capture can be done
    ” y ademas no me permite ver ninguna interfaz para poder configurar ni en opciones ni en el programa como puedo solucionar esto les agradeceria mucho si me ayudan.

    Responder
  9. SignasZero dice:
    octubre 27, 2011 a las 8:12 am

    yo estoy recien empezando a ver como funciona el Wireshark y de buenas a primeras tengo un problema, lo estoy haciendo funcionar bajo windows y me dice que tengo que configurar la TARJETA DE RED en modo promiscuo… como se hace eso? muchas gracias

    Responder
« Comentarios anteriores

¡Déjanos tu comentario!