Primeros pasos con Wireshark: ¿qué está pasando en tu red?

Si eres un profesional o te interesa la seguridad informática, dar los primeros pasos con Wireshark es, sin duda, un paso clave para poder realizar análisis en profundidad de lo que está ocurriendo en tu red. Y es que, aunque pueda no parecerlo, decenas, cientos, puede que incluso miles (dependiendo de su tamaño) de paquetes de datos cruzan cada segundo los cables (o las ondas) que componen tu infraestructura de red.

Pero, claro, antes de dar los primeros pasos con Wireshark es imprescindible que entiendas bien qué es lo que hace esta herramienta, cómo funciona y, por lo tanto, qué puedes esperar de ella y qué no. Estamos hablando de un sniffer de red, es decir una herramienta que analiza todo el tráfico de red, solo el del sistema en el que esté instalado, o el de toda la red si se habilita el modo promiscuo (que es la opción adecuada para auditar todo el tráfico de la red).

Para tal fin, una vez abierto el programa, éste comenzará a capturar todo el tráfico de red, permitiéndonos guardar un registro completo del mismo que podemos consultar en tiempo real o a posteriori. La captura se mantiene activa hasta que detenemos la captura o cerramos el programa. Y es muy importante tener este punto tremendamente claro: Wireshark solo puede capturar el tráfico de red mientras está activo, no cuenta con funciones para identificar lo ocurrido en la red antes de haber sido abierto o después de haber sido cerrado, para eso serán necesarios otros logs.

Aclaro esto porque en alguna ocasión me han preguntado, tras haber sufrido un incidente de seguridad, si era posible realizar un análisis forense de lo ocurrido con esta aplicación. Y la respuesta, claro, es que no, un sniffer solo captura el tráfico cuando se encuentra a la escucha, no tiene modo alguno de analizar lo que haya ocurrido previamente.

Si ya has tenido alguna toma de contacto con este software, ya sabrás que los primeros pasos con Wireshark pueden resultar un tanto complejos. Es por eso que en este artículo te daremos una primera aproximación, y próximamente profundizaremos en el uso de esta herramienta, y de todas las posibilidades que pone al alcance de tu mano.

El primer paso, claro, es descargar e instalar Wireshark. Es una aplicación gratuita que puedes bajarte desde su página web oficial. Una vez instalado y abierto por primera vez, verás la ventana

Aquí debes escoger qué interfaz de red, de las disponibles en el ordenador en el que te encuentras, es la que debe escuchar Wireshark. Es fundamental, claro, que escojas la interfaz correcta. Como ayuda para identificarlas, por si tienes alguna duda al respecto, verás que a la derecha de cada nombre se va generando un gráfico que indica el volumen de tráfico de la misma.

Tal y como selecciones la interfaz de la red que quieres analizar con Wireshark, se mostrará ya la ventana principal del programa. No dejes que te avasalle, en realidad, una vez identificadas sus secciones, lo verás todo con mucha más lógica:

Para facilitar la identificación de los diferentes componentes de la interfaz de Wireshark, la hemos dividido en cinco grandes bloques:

1. Barra de menú y de herramientas: Este apartado es el común al 90% de las aplicaciones, por lo que no requiere de mayor explicación.
2. Barra de filtrado: Este apartado es fundamental, pues es en el que podemos definir las condiciones que deben cumplir los paquetes analizados para mostrarse en el apartado inferior. Definir los filtros es la parte más interesante, y también una de las más complejas de Wireshark. En este artículo veremos un primer ejemplo de uso, y próximamente profundizaremos en sus posibilidades.
3. Paquetes capturados: En este apartado se muestran todos los paquetes capturados por Wireshark. Como puedes ver, cada fila representa un paquete, y para cada uno de ellos, y por columnas (personalizables) se muestra un indicador de orden dentro de la sesión de captura, el momento de la captura, direcciones IP de origen y destino, protocolo de red empleado, longitud del paquete e información adicional.
4. Contenido del paquete: En este apartado puedes analizar, para cada paquete, información sobre cada una de sus capas (basadas en el modelo OSI).
5. Contenido de la capa: Si seleccionas una de las capas del paquete, en este apartado verás el contenido de la misma en un visor hexadecimal.

Si es tu primera vez con el programa, lo mejor es que des tus primeros pasos con Wireshark capturando algo de tráfico (recuerda parar la captura tras unos minutos, pulsando el botón cuadrado rojo de la barra de herramientas, para no generar un log demasiado extenso) y analizando el contenido de algunos paquetes, viendo cómo se organiza la información en los mismos, etcétera. Esto no solo te ayudará a soltarte con el programa, sino que también te supondrá un excelente recordatorio sobre el modelo OSI.

Solo con esto ya tendrías «entretenimiento» para unas cuantas horas, pero para anticiparte un poco las posibilidades del filtrado, prueba a escribir, en la barra de filtrado, lo siguiente:

ip.src==dirección_IP_router && ip.dst==dirección_IP_local

Obviamente, tendrás que cambiar dirección_IP_router y direción_IP_local por las direcciones IP del enrutador de tráfico de tu red y la del ordenador en el que te encuentras en ese momento. Confirma el filtrado y, de ese modo, Wireshark ya solo mostrará, en el apartado 3, los paquetes que cumplan las condiciones definidas en el filtro.

La entrada Primeros pasos con Wireshark: ¿qué está pasando en tu red? es original de MuySeguridad. Seguridad informática.