Wireshark

Wireshark: La herramienta indispensable para el análisis de redes

Bladimir Peláez Hernández

10 min read
Wireshark: La herramienta indispensable para el análisis de redes

Hoy en día, cuando la conectividad es clave para el funcionamiento de empresas y usuarios, el análisis de redes se ha convertido en una habilidad vital. En aras de perfeccionar lo anterior, entró en escena Wireshark, una herramienta de código abierto que ya se destaca como un poderoso referente en el análisis de tráfico de redes y protocolos.

En este artículo, explicaremos qué es Wireshark, cómo funciona y por qué es una pieza fundamental para los administradores de redes y especialistas en seguridad.

¿Qué es Wireshark?

Figura 1. Wireshark. Fuente: Codelivly.


Wireshark es una herramienta de software que permite capturar y analizar el tráfico de redes en tiempo real. Anteriormente conocida como Ethereal, Wireshark fue desarrollada por Gerald Combs y liberada como un proyecto de código abierto. La herramienta es compatible con varias plataformas, haciéndola accesible para una amplia comunidad de usuarios.

Funcionamiento y Características

Wireshark se basa en la captura de paquetes, lo que significa que intercepta y analiza el tráfico de la red en tiempo real. La herramienta es capaz de capturar paquetes de diferentes protocolos, como TCP, UDP, ICMP, HTTP, FTP, DNS y muchos otros. Además, puede leer y decodificar datos de los protocolos más utilizados, lo que facilita la interpretación del tráfico capturado.

El proceso de captura de paquetes comienza cuando Wireshark coloca el adaptador de red en modo de promiscuidad, lo que permite capturar todos los paquetes que pasan a través de la interfaz (no solo los destinados a la máquina que ejecuta la herramienta). Una vez capturados los paquetes, Wireshark proporciona una interfaz gráfica de usuario (GUI) intuitiva y fácil para visualizarlos. Los usuarios pueden navegar a través de los paquetes capturados, filtrarlos y aplicar distintos criterios de búsqueda para analizar el flujo de datos de manera eficiente.

Una de las características más destacadas de Wireshark es su capacidad para reconstruir sesiones de red. Esto significa que puede ensamblar los paquetes individuales que pertenecen a una conversación entre dos dispositivos y mostrarlos en un orden legible, lo que facilita el análisis de las interacciones entre ellos. Además de analizar el tráfico en tiempo real, Wireshark permite cargar archivos de captura previamente almacenados, útil para investigar incidentes pasados o para compartir información con otros miembros del equipo.

Usos y Aplicaciones

Wireshark encuentra aplicaciones en diversos escenarios, desde el análisis de redes empresariales hasta el diagnóstico de problemas de conectividad en el hogar. Los administradores de redes utilizan Wireshark para identificar cuellos de botella, analizar problemas de latencia y detectar posibles amenazas de seguridad. También se emplea en el desarrollo y pruebas de aplicaciones y protocolos de red, ayudando a garantizar su funcionalidad y seguridad.

Figura 2. Inicio Wireshark. Fuente: Bladimir Peláez.


En el ámbito de la seguridad informática, Wireshark es una herramienta imprescindible para los profesionales. Permite detectar actividades maliciosas, analizar ataques de red y examinar tráfico sospechoso. Al comprender los patrones de tráfico normal y anormal, los especialistas en seguridad pueden fortalecer las defensas de la red y protegerla contra posibles intrusiones.

Otra de las bondades de Wireshark está en  el monitoreo de red, ya que proporciona información detallada sobre el tráfico y la interacción entre dispositivos. Además, es una herramienta valiosa para la resolución de problemas en aplicaciones y servicios de red, ya que puede ayudar a identificar errores y optimizar el rendimiento.

Resolución de Problemas de Red

Wireshark es invaluable cuando los administradores de redes se enfrentan a problemas de conectividad, latencia o rendimiento en una red. Al capturar y analizar el tráfico en tiempo real, ellos pueden identificar rápidamente cuellos de botella, problemas de enrutamiento o errores en la configuración de dispositivos. Por ejemplo, si los usuarios se quejan de que una aplicación web es lenta, Wireshark puede ayudar a detectar si hay problemas con el protocolo HTTP o si hay una alta tasa de retransmisión en la comunicación entre el cliente y el servidor.

Análisis de Seguridad de Red

Wireshark es ampliamente utilizado para detectar y analizar actividades maliciosas en la red. Los especialistas en seguridad pueden usarlo Wireshark para examinar el tráfico en busca de comportamientos sospechosos, como intentos de intrusión, escaneos de puertos o tráfico relacionado con malware. La herramienta puede ayudar a descubrir ataques de denegación de servicio (DDoS) y tráfico no autorizado en la red, facilitando tomar medidas preventivas y mejorar la seguridad de la infraestructura.

Desarrollo y Depuración de Aplicaciones

Wireshark es útil para comprender el comportamiento de las aplicaciones en la red y solucionar problemas de comunicación. Al capturar y analizar el tráfico generado por una aplicación, los desarrolladores pueden ver cómo se transmiten y reciben los datos, si hay errores en los mensajes enviados o recibidos y si los protocolos se están siguiendo correctamente. Esta información es especialmente valiosa durante las etapas de desarrollo y pruebas para garantizar que las aplicaciones funcionen correctamente en un entorno de red real.

Monitorización del Tráfico en la Red

Wireshark puede utilizarse para capturar y analizar el tráfico de red durante un período prolongado. Así, los administradores obtienen una visión general del tráfico de la red, identifican tendencias o patrones y detectar picos de actividad inusuales. La monitorización con Wireshark es especialmente útil para evaluar el rendimiento y el uso de la red a lo largo del tiempo, contribuyendo con planificar mejoras y expansiones futuras.

Análisis de Vulnerabilidades

Wireshark es aplicable en pruebas de penetración y análisis de vulnerabilidades para evaluar la seguridad de una red o sistema. Al analizar el tráfico capturado, Wireshark puede identificar posibles vulnerabilidades, como contraseñas en texto claro o datos confidenciales transmitidos sin cifrar. Esto ayuda a los equipos de seguridad a tomar medidas proactivas para mejorar la seguridad y proteger la información sensible.

Depuración de Problemas de Protocolo

Cuando surge un problema relacionado con el funcionamiento de un protocolo específico, Wireshark analiza las interacciones entre los dispositivos y verifica si se siguen correctamente las especificaciones del protocolo. Si un protocolo no funciona como se espera, Wireshark revela si hay mensajes incorrectos, campos de datos malformados o problemas de secuencia que causan el mal funcionamiento.

Ejercicios con Wireshark

A continuación comparto algunos ejercicios usando Wireshark. Nota: los mismos son únicamente con fines demostrativos y éticos.

Captura de Tráfico HTTP

La captura de tráfico HTTP en Wireshark se realiza mediante una técnica llamada "captura de paquetes" en la interfaz de red seleccionada. Wireshark se coloca en modo de escucha pasiva en la interfaz, capturando y analizando todo el tráfico que fluye a través de esa interfaz de red, incluido el tráfico HTTP.

A continuación, te explico cómo funciona la captura de tráfico HTTP en Wireshark:

Selección de la Interfaz

Figura 3. Selección de Interfaz de Red Wireshark. Fuente: Bladimir Peláez.


Antes de iniciar la captura, debes seleccionar la interfaz de red que deseas monitorear. Wireshark mostrará una lista de todas las interfaces disponibles en tu sistema, como conexiones Ethernet, Wi-Fi, VPN, entre otras. Elige la interfaz relevante a través de la cual se transmitirá el tráfico HTTP que deseas capturar.

Inicio de Captura de Paquetes

Figura 4. Inicio de Captura de Paquetes. Fuente: Bladimir Peláez.


Una vez seleccionada la interfaz, puedes iniciar la captura de tráfico haciendo clic en el botón Iniciar en la barra de herramientas de Wireshark, o mediante el atajo de teclado Ctrl + E (Cmd + E en Mac). Wireshark comenzará a escuchar y registrar todos los paquetes que pasan por la interfaz seleccionada.

Generación de Tráfico HTTP

Figura 5. Generación de Tráfico HTTP. Fuente: Bladimir Peláez.


Para capturar tráfico HTTP, es necesario generar actividad en tu navegador web o en cualquier otra aplicación que utilice el protocolo HTTP. Por ejemplo, puedes navegar por un sitio web, realizar búsquedas o iniciar sesión en una plataforma en línea. A medida que interactúas con los servicios y recursos web, tu navegador generará solicitudes HTTP y recibirá respuestas del servidor.

Detención de la Captura

Figura 6. Detención de la captura de Paquetes. Fuente: Bladimir Peláez.


Una vez realizadas las actividades de navegación o interacción en línea deseada, puedes detener la captura de tráfico haciendo clic en el botón Detener (representado por un cuadrado azul) en la barra de herramientas de Wireshark, o mediante el atajo de teclado Ctrl + E (Cmd + E en Mac). La captura se detendrá y Wireshark dejará de registrar nuevos paquetes.

Filtrado de Paquetes

Figura 7. Filtrado de Paquetes. Fuente: Bladimir Peláez.


Después de detener la captura, verás una lista de paquetes capturados en la ventana principal de Wireshark. Para enfocarte únicamente en el tráfico HTTP, puedes aplicar un filtro de visualización específico. Puedes escribir "http" en la barra de filtro y presionar Enter para filtrar solo los paquetes que utilizan el protocolo HTTP.

Análisis de los Paquetes

Figura 8. Análisis de Paquetes I. Fuente: Bladimir Peláez.
Figura 9. Análisis de Paquetes II. Fuente: Bladimir Peláez.


Ahora puedes examinar los paquetes capturados que utilizan el protocolo HTTP. Wireshark te mostrará detalles sobre cada paquete, incluidos los encabezados HTTP, los métodos (GET, POST, etc.), las URL, las cookies y otros datos relevantes de la comunicación.

¿Qué son los archivos PCAP?

Figura 10. Archivo PCAP. Fuente: Bladimir Peláez.


Los archivos PCAP (Packet Capture) son un formato estándar utilizado por Wireshark y otras herramientas de análisis de tráfico de red para almacenar los datos capturados durante una sesión de captura de paquetes. Estos archivos son esenciales para guardar y compartir la información registrada en una captura para su posterior análisis y referencia.

Características de los archivos PCAP

Los archivos PCAP contienen una secuencia de paquetes de red capturados, junto con toda la información necesaria para su análisis. Algunas de las características clave de los archivos PCAP son:

Estructura de Datos: tienen una estructura de datos bien definida que almacena información sobre cada paquete capturado e  incluye campos como la marca de tiempo, la longitud del paquete, datos de enlace, datos de la capa de red y más, valioso en el análisis detallado de cada paquete.

Compatibilidad Cruzada: Los archivos PCAP son altamente portables y son compatibles con diversas plataformas y sistemas operativos. Esto permite compartir y analizar las capturas de paquetes en diferentes entornos sin problemas de compatibilidad.

Compactación: Los archivos PCAP se pueden comprimir para reducir el tamaño de almacenamiento. Esto es especialmente útil cuando se trata de capturas de larga duración que pueden ocupar mucho espacio en el disco duro. La compresión no afecta la integridad de los datos y se puede descomprimir fácilmente para su análisis.

Contenido Completo: Los archivos PCAP almacenan el contenido completo de cada paquete capturado, lo que significa que no se pierde ningún detalle importante durante la captura. Esto es esencial para un análisis preciso de los datos y la identificación de problemas en la red.

Geolocalización en Wireshark

La geolocalización de direcciones IP es una función interesante con la cual es posible identificar la ubicación geográfica aproximada de una dirección IP con base en la información disponible en bases de datos de geolocalización. Para habilitar la geolocalización en Wireshark, es necesario configurar una base de datos de geolocalización. Wireshark utiliza la base de datos de geolocalización de MaxMind, una de las más populares y ampliamente utilizadas para este propósito.

A continuación veremos un ejemplo práctico de cómo habilitar la geolocalización en wireshark.

Descargar la Base de Datos de Geolocalización de MaxMind

Figura 11. Sitio MAXMIND. Fuente: Bladimir Peláez.


Ve al sitio web de MaxMind y descarga la base de datos GeoLite2 City (la versión gratuita). Asegúrate de seguir los términos y condiciones de uso.

Instalar la Base de Datos: sigue las instrucciones de instalación proporcionadas por MaxMind para integrar con Wireshark.

Configurar Preferencias

Figura 12. Editar Preferencias. Fuente: Bladimir Peláez.


Abre Wireshark y ve a la pestaña Editar. Luego selecciona Preferencias y busca la sección Nombres de direcciones. Aquí, puedes habilitar la resolución de nombres y seleccionar GeoIP: GeoLite2-City como la base de datos para la geolocalización.

¿Cómo ver la geolocalización en Wireshark?

Ya configurada correctamente la base de datos de geolocalización en Wireshark, puedes ver la información de geolocalización de direcciones IP capturadas en la columna Ubicación en el panel de detalles de Wireshark. Cuando capturas tráfico de red en Wireshark, verás que las direcciones IP se resuelven automáticamente a nombres de host (si has habilitado la resolución de nombres). Además, se mostrará la ubicación geográfica aproximada de la dirección IP en la columna "Ubicación" con detalles como el país, región, ciudad, código postal y coordenadas geográficas (latitud y longitud).

Figura 13. Geolocalización Wireshark. Fuente: Bladimir Peláez.


Es importante tener en cuenta que la geolocalización de direcciones IP no es precisa al 100%. La ubicación proporcionada por la base de datos de geolocalización es solo una aproximación basada en la información disponible en la base de datos. Algunos factores que pueden afectar la precisión de la geolocalización incluyen el uso de proxies, VPNs y direcciones IP dinámicas.

Comunidad y Desarrollo Continuo

Wireshark cuenta con una comunidad activa de desarrolladores y usuarios en todo el mundo. Esta comunidad trabaja en conjunto para mantener y mejorar constantemente la herramienta. Actualizaciones frecuentes y mejoras en la detección de nuevos protocolos garantizan que Wireshark siga siendo relevante y actualizado en un entorno tecnológico cambiante. La herramienta es de código abierto, lo que significa que cualquier persona puede contribuir al desarrollo o informar sobre problemas y errores. Esta filosofía de colaboración ha sido fundamental para la evolución y el éxito de Wireshark.


Conclusión

Wireshark ha demostrado ser una herramienta esencial para el análisis de redes y protocolos. Su capacidad para capturar y analizar paquetes en tiempo real, junto con una interfaz amigable y una comunidad de apoyo, la convierten en una opción preferida para los profesionales de redes y seguridad. Wireshark es una prueba viviente del poder del software de código abierto y la colaboración comunitaria.

Con su desarrollo continuo, seguirá siendo una herramienta confiable y esencial para el análisis de redes en el futuro. A medida que las redes evolucionan y se vuelven más complejas, Wireshark continuará siendo una aliada indispensable para aquellos que se dedican a mantener, optimizar y proteger la conectividad en el mundo digital.

💡
Las opiniones y comentarios emitidos en este artículo son propiedad única de su autor y no necesariamente representan el punto de vista de Listopro.

Listopro Community da la bienvenida a todas las razas, etnias, nacionalidades, credos, géneros, orientaciones, puntos de vista e ideologías, siempre y cuando promuevan la diversidad, la equidad, la inclusión y el crecimiento profesional de los profesionales en tecnología.