Wireshark, instalación y conceptos básicos
Wireshark es un capturador/analizador de paquetes de red (llamado a veces, sniffer o esnifer). Wireshark te permitirá ver, aun nivel bajo y detallado, qué está pasando en tu red. Además es gratuito, open source, y multiplataforma. Sin duda la mejor opción al momento de auditar nuestra red.
Posee una interfaz gráfica y muchas opciones de organización y filtrado de información. AsÃ, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras)
¿Para que/quien es util Wireshark?
- Administradores lo usan para resolver problemas en la red
- Ingenieros lo usan para examinar problemas de seguridad
- Desarrolladores lo usan para depurar la implementación de los protocolos de red
- Estudiantes los usan para aprender internamente cómo funciona una red
CaracterÃsticas de Wireshark
- Disponible para Linux y Windows
- Captura de paquetes en vivo desde una intefaz de red
- Muestra los paquetes con información detallada de los mismos
- Abre y guarda paquetes capturados
- Importar y exportar paquetes en diferentes formatos
- Filtrado de información de paquetes
- Resaltado de paquetes dependiendo el filtro
- Crear estadÃsticas
Instalación de Wireshark
La verdad es que lo tienes muy fácil si usas Debian o sus derivados (Ubuntu, por ejemplo). Tan solo debes hacer lo de siempre:
sudo apt-get install wireshark
Y ya está! Además la mayorÃa de las distribuciones lo incluyen en sus repositorios, por lo que lo tienes fácil en openSuse, Fedora, o Gentoo. Por ejemplo, en Gentoo:
USE="adns gtk ipv6 portaudio snmp ssl kerberos threads selinux" emerge wireshark
O FreeBSD:
pkg_add -r wireshark
Sin embargo, si lo que deseas/necesitas es instalarlo desde las fuentes, vamos por ello:
Instalación del Wireshark desde el tarball
Antes que nada, para poder compilar correctamente Wireshark debes tener dos cosas:
- Gtk+ y Glib, que puedes descargar de www.gtk.org
- libpcap, las librerÃas para captura de paquetes que Wireshark usa. La puedes encontrar en www.tcpdump.org
Ahora, debes descargar el código fuente de la página oficial descomprimirlo e instalarlo:
tar zxvf wireshark-1.0.3.tar.gz
cd wireshark-1.0.3/
./configure
make
sudo make install
Problemas experimentados: personalmente tuve que instalar manualmente bison, flex y gtk+; en muchos sistemas no es necesario, pero mejor que estés preparado.
Entendiendo la interfaz gráfica de Wireshark
Luego de la instalación podrás iniciar el programa con el comando wireshark:

La interfaz gráfica de Wireshark está principalmente dividida en las siguientes secciones (de arriba a abajo):
- La barra de herramientas, donde tienes todas las opciones a realizar sobre la pre y pos captura.
- La barra de herramientas principal, donde tienes las opciones más usadas en Wireshark.
- La barra de filtros, donde podrás aplicar filtros a la captura actual de manera rápida
- El listado de paquetes, que muestra un resumen de cada paquete que es capturado por Wireshark
- El panel de detalles de paquetes que, una vez seleccionado un paquete en el listado de paquetes, muestra información detallada del mismo
- El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.
- La barra de estado, que muestra algo de información acerca del estado actual de Wireshark y la captura.
En el próximo artÃculo veremos un ejemplo de cómo usar Wireshark y su Live Capture.










exactlimon dice:
Septiembre 24th, 2008 a las 12:41 pm
tonces parse, esta muy intesante la guia, y pues espero la segunda entrega
pda1: no se como hacer el pingback para poner esta entrada en mi blog
pda2: el css en iceweasel no se ve bien, estoy en debian
saludos
Cristian dice:
Septiembre 24th, 2008 a las 12:58 pm
@exactlimon: el pingback lo hace el Wordpress solito. Lo del CSS, voy a echarle un vistazo.
Ahh, y recuerde que aquà esta todo lo relacionado con Wireshark, incluyendo videos:
http://casidiablo.net/wireshark
Un saludo!
A-KmiZ dice:
Diciembre 2nd, 2008 a las 12:57 pm
existe una version de Wireshark para redes inalambricas?
Cristian dice:
Diciembre 2nd, 2008 a las 3:09 pm
Pues lo mejor es utilizar las herramientas de aircrack.
Un saludo!