OpenWebinars

Redes y Sistemas

Wireshark: Qué es y ejemplos de uso

Si quieres aprender qué es Wireshark, para qué sirve, sus caracterísiticas, ventajas y desventajas y conocer unos ejemplos de uso, te lo explicamos aquí.

Rafael Altube

Rafael Altube

Lectura 6 minutos

Publicado el 7 de enero de 2021

Compartir

Qué es Whireshark

A finales del año 1997, a Gerald Combs le surgió la necesidad de una herramienta para rastrear la red en busca de problemas y quería saber y aprender más sobre ellas mismas, por lo que comenzó a escribir Ethereal (el nombre con el que surgió originariamente el proyecto Wireshark) como una forma de resolver esos problemas y aparte avanzar en su carrera y metas.

Comenzó con un desarrollo costoso cuanto menos, con problemas y pausas en el mismo en torno a mitad del año 1998, con la versión 0.2.0. Tras poco empezaron a incluir parches, informes de errores y otros componentes iniciales y fue poco a poco mejor el proyecto avanzando hacia un camino prometedor y de éxito total.

Poco tiempo después ese mismo año, Gilbert Ramirez vio su potencial y se integró al proyecto y contribuyó con un disector (un plugin que permite al programa principal descomponer un paquete de datos siguiendo unos argumentos y características) de bajo nivel, así fue su comienzo.

En ese mismo año, en torno a octubre de 1998, Guy Harris buscaba algo más y mejor en lo que involucrarse que tcpview, por lo que comenzó a aplicar parches y contribuir con más disectores a Ethereal.

A finales de ese mismo año, Richard Sharpe, que se encontraba investigando y trabajando más a fondo sobre TCP/IP, vio un poco su potencial y posible futuro en esos trabajos y empezó a analizarlo para ver si era compatible con los protocolos que necesitaba. No fue así en un principio, pero comprobó que se podrían agregar fácilmente nuevos protocolos. Entonces comenzó a contribuir más disectores, parches y más funcionalidades complementarias.

La lista de colaboradores en el proyecto ha sido muy larga y extensa y cada vez ha ido a más, y casi todas comenzaron con un protocolo que necesitaban y que Wireshark no manejaba ya, así fue cada vez más grande y potente el proyecto en sí. Su método más habitual era copiar un disector existente y contribuir con más código y el existente al equipo.

En el año 2006, el proyecto cambio de aires y de nombre, comenzó a llamarse Whireshark, hasta el día de hoy.

En el año 2008, después de muchos años de desarrollo, Wireshark finalmente llegó a la versión 1.0. Después de tantos años y mucho código de por medio, esta versión fue considerada completa, al menos con las características mínimas implementadas. Su lanzamiento coincidió con la primera Conferencia de Desarrolladores y Usuarios de Wireshark, llamada Sharkfest.

En el año 2015 Wireshark lanzó su versión 2.0, que presentaba una nueva interfaz de usuario.

Whireshark tiene detrás una historia interesante y conviene mencionarla con detalles, ya era hace años un software muy conocido y lo sigue siendo aún más a día de hoy, esencial en el análisis de redes para administrador y analistas de red y para profesionales de la ciberseguridad y arrojando información capaz de solucionar problemas por medio de paquetes de la misma red.

Es un software líder desde hace años en el mundo de las redes, llevando muchos años en funcionamiento, progresando en las mismas y analizándolas. Permitiendo analizarlas en tiempo real y también por medio de importar ficheros de red, que contienen estos paquetes de información.

Para qué sirve Wireshark

Los problemas que este software es capaz de llegar a abordar van desde paquetes caídos, problemas de latencia y hasta actividad maliciosa en su red, por ejemplo, por medio de peticiones HTTP. Permite analizar la red como si viéramos una placa con un microscopio en un laboratorio por así decirlo y proporciona herramientas y comandos para filtrar y analizar con más detalles el tráfico de red, acercándose a la causa raíz del problema.

Los administradores de sistemas y de red lo usan para identificar dispositivos defectuosos que están descartando paquetes, problemas de latencia en peticiones causadas por máquinas defectuosas que enrutan el tráfico de red a cualquier lado del mundo posible y exfiltraciones de datos o incluso intento de ataque con malware o de piratería contra una organización.

Esté analizador de redes es una herramienta poderosa que requiere un conocimiento sólido de los conceptos de estas mismas. Eso se traduce para las empresas de hoy en día modernas en comprender sobre protocolos HTTP y sus servicios, la pila de TCP / IP, analizar y comprender los encabezados de los paquetes que se reciben con muchos metadatos a veces complejos, así como el enrutamiento y como se entrelazan unos a otros, el reenvío de puertos y DHCP, por ejemplo.

Características Wireshark

Podríamos escribir solo un artículo nombrando las características principales y todos sus poderes y que abanico de oportunidades nos traen, pero solo las comentaremos brevemente por encima.

  • Permite seguir el rastro a los paquetes TCP stream, podemos ver todo lo relacionado con dicho paquete, el antes y el después, pudiendo aplicarles filtros personalizados a estos mismos sin perder el flujo.
  • Se puede decodificar los paquetes y exportar en formatos específicos y guardar dichos objetos.
  • Permite ver estadísticas de los paquetes capturados incluyendo un resumen, jerarquía de protocolos, conversaciones, puntos finales y gráfica de flujos entre otros.
  • Análisis fácil e informativo mediante resolución de nombres por mac, por red, etc… y reensamblaje de paquetes.
  • Cuenta con una herramienta de líneas de comandos para ejecutar funcionalidades llamada TShark, similar al terminal de linux. Entre los comandos más destacados, podemos mencionar rawshark, editcap, mergecap, text2pcap.

Wireshark: Ventajas y desventajas de uso

Whireshark siendo un software tan grande y robusto analizador de red y paquetes, es casi evidente que tiene más ventajas que desventajas, muchas más. Es lo que hace que sea un software tan usado y conocido. Cuando lo empiecen a usar se darán cuenta de todo lo que se puede llegar a hacer con él.

Entre sus ventajas más destacadas encontramos que tiene un soporte detrás de esas analíticas que saca brutal, con mucho personal a cargo de nuevas funciones, parches y solucionando errores que la comunidad detecta, eso incluye su documentación extensa y no muy laboriosa de leer y aplicar, aparte también cuenta con una comunidad enorme, que ayuda a la mínima de cambio cuando alguien necesita buscar algo muy específico en esos paquetes de red y disectores. Captura también todo tipo de paquetes al analizar la red. Muestra errores y problemas en niveles por debajo del protocolo HTTP. Guardar y restaurar los datos empaquetados capturados, en ficheros pcap.

Entre sus desventajas, que también tiene, aunque sean lo de menos importancia, cabe destacar que al analizar la red no se pueden modificar datos de los paquetes, solo mediante ficheros de red, sus pcap. Y la interfaz que usa no está mal, pero es poco intuitiva y se le podría dar un pulido y ponerla más funcional e intuitiva, por los tiempos en los que nos encontramos.

Uso práctico y sencillo de Whireshark

Mediante este ejemplo en la interfaz veréis como hacer una búsqueda mediante GET para sacar solo los paquetes que nos interesan y no muchos otros que no nos aportan nada.

Podemos buscar por cierto protocolo, ya sea GET, POST o algún otro y usando el operador “and” unirlo y concatenar esa búsqueda con más parámetros, como que esos paquetes contengan en la ruta cierta cadena, como la de “user”

Imagen 1 en Wireshark: Qué es y ejemplos de uso

O los podemos buscar para que en la url contenga “/user” que quizás nos de algo más preciso en la url, como es este caso, pero no significa que esto funcione siempre.

Imagen 2 en Wireshark: Qué es y ejemplos de uso

Al final se tratará en un fichero pcap, de hacer muchas búsquedas y rebuscar entre los paquetes, sus raw y demás información hasta obtener alguna incidencia o quizás no porque no la haya. Pero al final será un trabajo arduo, ya que un análisis de red contiene muchísima información y no es fácil detectar salvo que tengamos indicios claros, de dónde puede provenir cualquier actividad maliciosa o fuera de lugar en nuestra red.

En el siguiente enlace encontrareis la documentación de whireshark con todos los tipos de parámetros disponibles y todo muy detallado de cómo usarlo, como comenté antes, sin documentación es muy buena. https://www.wireshark.org/docs/

Enlaces a destacar sobre Whireshark

Whireshark cuenta con su propio Reddit, en donde la comunica pone sus dudas o mejoras y las comparte con el resto de personas, cuenta con más de 3600 miembros y post muy interesantes que encontrareis ordenando por top y todo el tiempo esté Reddit. https://www.reddit.com/r/wireshark/

Compartir este post

También te puede interesar

Qué es TCP/IP
Blog

Qué es TCP/IP

Actualmente la mayoría de ordenadores están conectados a alguna red (internet, intranet, etc.) y casi todos lo hacen utilizando el modelo TCP/IP....

Angel Robledano
Icono de la tecnología
Curso

Redes TCP/IP

Principiante
4 h. y 48 min.

Consigue comprender las características principales de la pila de protocolos de Internet TCP/IP para ser capaz de configurar...

Alberto Molina
4.4