Wireshark, instalación y conceptos básicos
Wireshark es un capturador/analizador de paquetes de red (llamado a veces, sniffer o esnifer). Wireshark te permitirá ver, aun nivel bajo y detallado, qué está pasando en tu red. Además es gratuito, open source, y multiplataforma. Sin duda la mejor opción al momento de auditar nuestra red.
Posee una interfaz gráfica y muchas opciones de organización y filtrado de información. Así, permite ver todo el tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible con algunas otras)
¿Para que/quien es util Wireshark?
- Administradores lo usan para resolver problemas en la red
- Ingenieros lo usan para examinar problemas de seguridad
- Desarrolladores lo usan para depurar la implementación de los protocolos de red
- Estudiantes los usan para aprender internamente cómo funciona una red
Características de Wireshark
- Disponible para Linux y Windows
- Captura de paquetes en vivo desde una intefaz de red
- Muestra los paquetes con información detallada de los mismos
- Abre y guarda paquetes capturados
- Importar y exportar paquetes en diferentes formatos
- Filtrado de información de paquetes
- Resaltado de paquetes dependiendo el filtro
- Crear estadísticas
Instalación de Wireshark
La verdad es que lo tienes muy fácil si usas Debian o sus derivados (Ubuntu, por ejemplo). Tan solo debes hacer lo de siempre:
sudo apt-get install wireshark
Y ya está! Además la mayoría de las distribuciones lo incluyen en sus repositorios, por lo que lo tienes fácil en openSuse, Fedora, o Gentoo. Por ejemplo, en Gentoo:
USE=”adns gtk ipv6 portaudio snmp ssl kerberos threads selinux” emerge wireshark
O FreeBSD:
pkg_add -r wireshark
Sin embargo, si lo que deseas/necesitas es instalarlo desde las fuentes, vamos por ello:
Instalación del Wireshark desde el tarball
Antes que nada, para poder compilar correctamente Wireshark debes tener dos cosas:
- Gtk+ y Glib, que puedes descargar de www.gtk.org
- libpcap, las librerías para captura de paquetes que Wireshark usa. La puedes encontrar en www.tcpdump.org
Ahora, debes descargar el código fuente de la página oficial descomprimirlo e instalarlo:
tar zxvf wireshark-1.0.3.tar.gz
cd wireshark-1.0.3/
./configure
make
sudo make install
Problemas experimentados: personalmente tuve que instalar manualmente bison, flex y gtk+; en muchos sistemas no es necesario, pero mejor que estés preparado.
Entendiendo la interfaz gráfica de Wireshark
Luego de la instalación podrás iniciar el programa con el comando wireshark:
La interfaz gráfica de Wireshark está principalmente dividida en las siguientes secciones (de arriba a abajo):
- La barra de herramientas, donde tienes todas las opciones a realizar sobre la pre y pos captura.
- La barra de herramientas principal, donde tienes las opciones más usadas en Wireshark.
- La barra de filtros, donde podrás aplicar filtros a la captura actual de manera rápida
- El listado de paquetes, que muestra un resumen de cada paquete que es capturado por Wireshark
- El panel de detalles de paquetes que, una vez seleccionado un paquete en el listado de paquetes, muestra información detallada del mismo
- El panel de bytes de paquetes, que muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.
- La barra de estado, que muestra algo de información acerca del estado actual de Wireshark y la captura.
En el próximo artículo veremos un ejemplo de cómo usar Wireshark y su Live Capture.
16 Comentarios | deja el tuyo
Excelente entrada. Quedo en espera de la siguiente.
gracias
Muy buen artículo. Ahora bien, no sé qué manía tiene la gente con decir “open source” cuando en realidad es “free software” o software libre. “Código abierto” no quiere decir que sea libre. Entiendo que mucha gente lo dice dando a entender que código abierto es libre, pero es un error decirlo, y creo que deberíamos hilar fino en este caso.
Un saludo!
Pau: Tienes razón, es Free Software.
Un saludo!
tonces parse, esta muy intesante la guia, y pues espero la segunda entrega
pda1: no se como hacer el pingback para poner esta entrada en mi blog
pda2: el css en iceweasel no se ve bien, estoy en debian
saludos
@exactlimon: el pingback lo hace el Wordpress solito. Lo del CSS, voy a echarle un vistazo.
Ahh, y recuerde que aquí esta todo lo relacionado con Wireshark, incluyendo videos:
http://casidiablo.net/wireshark
Un saludo!
existe una version de Wireshark para redes inalambricas?
Pues lo mejor es utilizar las herramientas de aircrack.
Un saludo!
hola ..yo he posto wireshark y tengo una penna usb wi.fi linksys wusb54gc y quando se pone en funzione el programma me cattura solo protocolos llp de differentes fontes…asi que tengo un monton de packs(uno cada 10 segundos) pero`hay algo que non me convince…perdonate la dialettica…pero`se alguien me aiuda la email es nagual@email.it….y donde lo trago el file .pcap ..como lo guardo??…
gracias——1000
Hola cristian un saludo bueno mi pregunta es como ejecuto wireshark bajo windows espeor tu respuesta si me gustaria ejecutarlo por medio de comandos .. gracias de antemano. (Y) mi correo es asgr_25@hotmail.com
Saludos, mi duda es en un archivo .cap, digamos de un AP con MAc 00:23:B6:45:BB:AC, y unas estaciones con mac diferentes, como puedo saber, o en q area de la interfaz grafica (columna) puedo ver la puerta de enlace del router (00:23:B6:45:BB:AC) tambien el servidor DNS, y cuales serian las IPs de las estaciones.
Espero que me haya dejado entender. Pues creo que las ips no coinciden, porque a mi mac le asignaron un ip 169.254.0.100; pero en los resultados de la capturan muestran ips como 200.105.174.1. Por favor sacame de esa duda que la tengo ya bastante tiempo.
O enviame un enlace de un manual de wireshark donde explique esta inquietud.
Saludos y gracias