Wireshark se erige como la herramienta esencial para analizar el tráfico de red. Esta guía rápida sumerge a los profesionales en la maestría de Wireshark, explorando cada comando, filtro y sintaxis esencial. Desde la captura de paquetes hasta el análisis forense, desentrañaremos los secretos de esta herramienta vital que impulsa la seguridad informática en el mundo digital.

Wireshark es posiblemente la herramienta más popular y poderosa que puede utilizar para capturar, analizar y solucionar problemas del tráfico de red. El único inconveniente al que se enfrentará al utilizar una herramienta tan detallada como Wireshark es memorizar todos los comandos, indicadores, filtros y sintaxis. Ahí es donde entramos nosotros.

Si usted es un administrador de red, un profesional de la seguridad o simplemente alguien con curiosidad sobre cómo funcionan las redes, aprender a utilizar Wireshark es una habilidad valiosa. Esta hoja de referencia de Wireshark proporcionará una base sólida y una referencia para utilizar Wireshark para monitorear y analizar el tráfico de su red.

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?

Columnas predeterminadas en una salida de captura de paquetes

NOMBREDESCRIPCIÓN
No.Número de fotograma desde el inicio de la captura del paquete.
TimeSegundos desde el primer fotograma.
Source (src)Dirección de origen, normalmente una dirección IPv4, IPv6 o Ethernet
Destination (dst)Dirección de destino
ProtocolProtocolo utilizado en la trama Ethernet, paquete IP o segmento TC
LengthLongitud de la trama en bytes

Operadores logicos

OPERADORDESCRIPCIÓNEJEMPLO
and or &&Y lógicoTodas las condiciones deben coincidir. 
o o ||O lógicoTodas o una de las condiciones deben coincidir
xor or ^^XOR lógicoModificaciones exclusivas: sólo una de las dos condiciones debe coincidir, no ambas. 
not or !No (Negación)No igual a 
[ n ] [ … ]Operador de subcadenaFiltrar una palabra o texto específico 

Filtrado de paquetes (filtros de visualización)

OPERADORDESCRIPCIÓNEJEMPLO
eq or ==Igualip.dest == 192.168.1.1
ne or !=No es igualip.dest! = 192.168.1.1
gt or >Mas grande quemarco.len > 10
it or <menos quemarco.len < 10
ge or >=Mayor que o igualmarco.len >= 10
le or <=Menor o igualmarco.len <= 10

Tipos de filtro

NOMBRE DESCRIPCIÓN
Capture filterFiltrar paquetes durante la captura
Display filterOcultar paquetes de una pantalla de captura

Modos de captura de Wireshark

NOMBREDESCRIPCIÓN
Promiscuous modeEstablece la interfaz para capturar todos los paquetes en un segmento de red al que está asociado.
Monitor modeConfigure la interfaz inalámbrica para capturar todo el tráfico que pueda recibir (solo Unix/Linux)

Misceláneas

NOMBREDESCRIPCIÓN
Slice Operator[ … ] – Rango de valores
Membership Operator{} – En
CTRL+EIniciar/Detener captura

Sintaxis del filtro de captura

SINTAXISPROTOCOLODIRECCIÓNHOSPEDADORESVALOROPERADOR LÓGICOEXPRESIONES
EjemploTCPsrc192.168.1.180yTCP DST 202.164.30.1

Sintaxis del filtro de visualización

SINTAXISPROTOCOLOCADENA 1CADENA 2OPERADOR DE COMPARACIÓNVALOROPERADOR LÓGICOEXPRESIONES
EjemplohttpdestinoIP==192.168.1.1ypuerto tcp

Atajos de teclado: ventana de visualización principal

ACELERADORDESCRIPCIÓNACELERADORDESCRIPCIÓN
Tabulador o Mayús+TabMuévase entre los elementos de la pantalla, por ejemplo, desde las barras de herramientas hasta la lista de paquetes y los detalles del paquete.Alt+→ or Option→Pasar al siguiente paquete en el historial de selección.
Pase al siguiente paquete o elemento detallado.En el detalle del paquete, abre el elemento del árbol seleccionado.
 Pasar al paquete o elemento detallado anterior.Mayús+→En el detalle del paquete, abre los elementos del árbol seleccionados y todos sus subárboles.
Ctrl+ ↓ o F8 Pase al siguiente paquete, incluso si la lista de paquetes no está enfocada.Ctrl+→En el detalle del paquete, abre todos los elementos del árbol.
Ctrl+ ↑ o F7Pasar al paquete anterior, incluso si la lista de paquetes no está enfocadaCtrl+←En el detalle del paquete, cierra todo el árbol.
Ctrl+.Pasar al siguiente paquete de la conversación (TCP, UDP o IP).BackspaceEn el detalle del paquete, salta al nodo principal.
Ctrl+,Pasar al paquete anterior de la conversación (TCP, UDP o IP).Return or EnterEn el detalle del paquete, alterna el elemento del árbol seleccionado.

Protocolos – Valores

éter, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp y udp

Comandos de filtrado comunes

USOSINTAXIS DE FILTRO
Filtrar Wireshark por IPip.añadir == 10.10.50.1
Filtrar por IP de destinoip.dest == 10.10.50.1
Filtrar por IP de origenip.src == 10.10.50.1
Filtrar por rango de IPdirección.ip >= 10.10.50.1 y dirección.ip <=10.10.50.100
Filtrar por múltiples IPsdirección.ip == 10.10.50.1 y dirección.ip == 10.10.50.100
Filtrar la dirección IP! (dirección.ip == 10.10.50.1)
Filtrar subreddirección.ip == 10.10.50.1/24
Filtrar por puertotcp.puerto == 25
Filtrar por puerto de destinotcp.dstport == 23
Filtrar por dirección IP y puertoip.addr == 10.10.50.1 y Tcp.port == 25
Filtrar por URLhttp.host == “nombre de host”
Filtrar por marca de tiempoframe.time >= “02 de junio de 2019 18:04:00”
Filtrar indicador SYNTcp.flags.syn == 1 y tcp.flags.ack ==0
Filtro de baliza Wiresharkwlan.fc.type_subtype = 0x08
Filtro de transmisión Wiresharketh.dst == ff:ff:ff:ff:ff:ff
Filtro de multidifusión Wireshark(eth.dst[0] y 1)
Filtro de nombre de hostip.host = nombre de host
filtro de dirección MACeth.addr == 00:70:f4:23:18:c4
Filtro de bandera RSTtcp.flag.reset == 1

Elementos de la barra de herramientas principal

ICONO DE LA BARRA DE HERRAMIENTASELEMENTO DE LA BARRA DE HERRAMIENTASOPCIÓN DEL MENÚDESCRIPCIÓN 
ComenzarCapturar → IniciarUtiliza las mismas opciones de captura de paquetes que la sesión anterior, o utiliza los valores predeterminados si no se configuraron opciones
DetenerCapturar → DetenerDetiene la captura actualmente activa
ReanudarCapturar → ReiniciarReiniciar la sesión de captura activa
Opciones…Capturar → Opciones…Abre el cuadro de diálogo “Opciones de captura”
Abierto…Archivo →abrir…Abre el cuadro de diálogo “Abrir archivo” para cargar una captura y verla
Guardar como…Archivo → Guardar como…Guardar el archivo de captura actual
CercaArchivo →CerrarCerrar el archivo de captura actual
recargarRecargarVer → RecargarRecargar el archivo de captura actual
encontrar paqueteBuscar paquete…Editar →Buscar paquete…Buscar paquete según diferentes criterios
regresaRegresaIr → VolverRetroceder en el historial de paquetes
ve adelanteAvanzarIr → AdelanteSaltar hacia adelante en el historial de paquetes
ir al paqueteIr al paquete… Ir → Ir al paquete…Ir al paquete específico
ir al primer paqueteIr al primer paqueteIr → Ir al primer paqueteSaltar al primer paquete del archivo de captura
ir al último paqueteIr al último paqueteIr → Ir al último paqueteSaltar al último paquete del archivo de captura
Desplazamiento automático en captura en vivoVer → Desplazamiento automático en Live CaptureLista de paquetes de desplazamiento automático durante la captura en vivo
colorearcolorearVer → ColorearColorear la lista de paquetes (o no)
acercarseAcercarseVer → AcercarAmpliar los datos del paquete (aumentar el tamaño de fuente)
disminuir el zoomDisminuir el zoomVer → AlejarAlejar los datos del paquete (disminuir el tamaño de fuente)
talla normalTalla normalVer → Tamaño normalEstablecer el nivel de zoom nuevamente al 100%
cambiar el tamaño de la columnaCambiar el tamaño de las columnasVer → Cambiar tamaño de columnasCambiar el tamaño de las columnas para que el contenido se ajuste al ancho

Preguntas frecuentes

¿Qué es Wireshark y cómo se utiliza?

Wireshark se anuncia como “el analizador de protocolos de red más destacado y más utilizado del mundo”. Al ejecutar una captura, puede capturar el tráfico de su red y ver no solo el origen y el destino de los paquetes, sino también, a menudo, la información importante que contienen.

¿Wireshark puede ver mensajes de texto?

Normalmente no. Wireshark puede ver datos no cifrados en una red donde se encuentra en el medio. Para ver mensajes SMS, los mensajes deberán enviarse sin ningún cifrado a través de una red que usted controle, lo cual es poco probable que sea el caso. 

¿Qué debo buscar al usar Wireshark?

Esto depende completamente de tu intención. Si lo utiliza por motivos de seguridad, estaría analizando el tráfico en busca de anomalías y signos de infracciones. Esto podría incluir grandes cantidades de tráfico que pasan por puertos inusuales.

Si lo está utilizando como hacker o probador de penetración, buscará información confidencial que se envía a través de la red, como credenciales de inicio de sesión. 

Como administrador o ingeniero de red, es posible que esté buscando cuellos de botella u otros problemas que afecten el rendimiento de la red.

¿Cuáles son los 2 tipos de filtros utilizados por Wireshark?

1) Los filtros de captura se utilizan para especificar qué paquetes debe capturar Wireshark. Estos se configuran cuando comienza la captura. Puede establecer varios criterios, como buscar paquetes de una dirección IP de origen particular, usar solo un protocolo particular o paquetes enviados a través de un puerto específico. También puedes capturar todo el tráfico y ordenarlo más tarde.
2) Los filtros de visualización especifican qué paquetes deben mostrarse en la interfaz de Wireshark. Estos se aplican una vez completada la captura. Estos pueden ayudarle a delimitar los paquetes que está buscando. Al igual que los filtros de captura, puede utilizar muchos criterios diferentes, como mostrar solo puertos, direcciones IP o protocolos específicos, según sus necesidades.

¿Puede Wireshark ver de incógnito?

Sí. El modo incógnito no hace nada para ocultar o cifrar el tráfico de red, sólo impide que su navegador almacene su historial de navegación para esa sesión. Esto significa que habrá registros de red de su navegación y Wireshark podrá ver las conexiones.

La única advertencia a mencionar es que los sitios web que utilizan HTTPS cifran el tráfico hacia y desde el sitio web. Esto evitaría que Wireshark vea la información específica enviada y recibida desde un sitio web (como las credenciales de inicio de sesión), pero no impedirá que vea la dirección IP de destino y el sitio web asociado visitado.

¿Puedes rastrear a alguien con Wireshark?

Wireshark es una herramienta que se puede utilizar como parte de un kit para rastrear a alguien. Puede identificar una dirección IP y, dependiendo de otros factores (como si se utiliza cifrado), qué están haciendo dentro de la red.

¿Cómo se capturan paquetes en Wireshark?

Es tan simple como seleccionar la interfaz que deseas capturar y hacer clic para iniciar la captura. Wireshark comenzará a captar el tráfico y a mostrarlo inmediatamente. Eres libre de ver paquetes, transmisiones o aplicar filtros sobre la marcha.

¿Qué pueden hacer los piratas informáticos con Wireshark?

Wireshark le permite capturar y monitorear el tráfico de la red. Potencialmente, un pirata informático puede obtener contraseñas y otra información confidencial que puede aprovechar contra un objetivo o una red de destino.

¿Cómo leo los registros de Wireshark?

Wire Shark como interfaz GUI que le permite ver el color del tráfico codificado y mostrado secuencialmente. Puede utilizar filtros para buscar información específica, ver los detalles disponibles en cualquier paquete (incluido el origen, el destino y posiblemente el contenido) o ver un flujo de comunicación entre dos puntos.

Conclusión:

En el vasto panorama de la ciberseguridad, dominar Wireshark es más que una habilidad; es un arte. Desde la identificación de amenazas hasta la solución de problemas de red, hemos explorado los comandos, filtros y sintaxis que hacen de Wireshark una fuerza poderosa. Al incorporar estos conocimientos, los profesionales elevan su capacidad para detectar y mitigar amenazas, fortaleciendo así la seguridad de las redes en un entorno digital cada vez más complejo.

Wireshark es una herramienta increíblemente poderosa para analizar y solucionar problemas del tráfico de red. Proporciona una gran cantidad de información que puede ayudarle a identificar problemas, localizarlos y comprender cómo se utiliza su red.

Esperamos que con el conocimiento y las técnicas cubiertos en esta hoja de referencia de Wireshark, ahora pueda capturar, filtrar y analizar paquetes con confianza con Wireshark. 

Hacking Wifi Profesional. Realiza Auditorias sobre Seguridad

Aprenderás a realizar Auditorias sobre redes Wifi como un Hacker Profesional. Hacking Wifi en WEP/WPA/WPA2 & Enterprise: https://achirou.com/hacking-wifi-profesional

Lo que aprenderás

  • Hackear Redes Wi-Fi
  • Ataques disponibles para atacar Redes Wi-Fi
  • Herramientas que ayudan a Hackear Redes Wi-Fi
  • Preparar un Entorno de Pruebas
  • Definiciones Teóricas necesarias de Wi-Fi
  • Creación de Diccionarios para Crackear contraseñas
  • Hacer un escaneo de las redes disponibles para atacar
  • Resolución de Errores Comunes
  • Atacar redes con cifrado WEP
  • Atacar redes con cifrado WPA2
  • Formas de capturar el Handshake
  • Crackear contraseñas de redes
  • Hacer ingeniería social para obtener la clave
  • Uso de Wifislax

Descripción

  • ¿Quieres aprender como realizar Auditorias en Redes Wifi?
  • ¿Deseas detectar vulnerabilidades como ser Contraseñas débiles en redes Wifi?
  • ¿Te interesa aprender como mejorar la seguridad en redes Wifi?
  • ¿Estás buscando aprender sobre herramientas de Hardware para realizar Auditorias y pruebas de seguridad en redes wifi?

Si la respuesta a alguna de estas preguntas es que si, este curso es para ti.

Empieza a aprender todo lo referido a redes wifi y su seguridad.

Iniciamos preparando el entorno de trabajo para la práctica, compartiéndote nuestra experiencia y recomendaciones como ser adaptadores compatibles.

Este curso inicia desde 0 así que también veremos los conceptos básicos que debes saber en relación a redes y wifi.

Luego empezamos con las fases de recolección de información, diccionarios para fuerza bruta para vulnerar en un principio redes WEP y WPA2, capturar handshake, realizar ataques de fuerza bruta es decir crackear contraseñas de redes wifi, utilizaremos herramientas como ser wifislax y resolveremos los errores mas comunes.

Sumate a esta furmacion profesional llena de practica y asistencia a tus dudas y problemas sobre el contenido dado. Nos vemos en clase

Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 500.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma.

Y junto a mi compañero Walter Coto, con mas de 390 mil estudiantes, donde con él hemos dictado formaciones profesionales en conjunto en la plataforma de Udemy.

Recuerda que tendrás acceso de por vida al curso, recibirás actualizaciones y respuestas a tus preguntas a través de la plataforma de Udemy.

Empieza a aprender ya mismo!

¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?