Wireshark se erige como la herramienta esencial para analizar el tráfico de red. Esta guía rápida sumerge a los profesionales en la maestría de Wireshark, explorando cada comando, filtro y sintaxis esencial. Desde la captura de paquetes hasta el análisis forense, desentrañaremos los secretos de esta herramienta vital que impulsa la seguridad informática en el mundo digital.
Wireshark es posiblemente la herramienta más popular y poderosa que puede utilizar para capturar, analizar y solucionar problemas del tráfico de red. El único inconveniente al que se enfrentará al utilizar una herramienta tan detallada como Wireshark es memorizar todos los comandos, indicadores, filtros y sintaxis. Ahí es donde entramos nosotros.
Si usted es un administrador de red, un profesional de la seguridad o simplemente alguien con curiosidad sobre cómo funcionan las redes, aprender a utilizar Wireshark es una habilidad valiosa. Esta hoja de referencia de Wireshark proporcionará una base sólida y una referencia para utilizar Wireshark para monitorear y analizar el tráfico de su red.
¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?
Columnas predeterminadas en una salida de captura de paquetes
| NOMBRE | DESCRIPCIÓN |
|---|---|
| No. | Número de fotograma desde el inicio de la captura del paquete. |
| Time | Segundos desde el primer fotograma. |
| Source (src) | Dirección de origen, normalmente una dirección IPv4, IPv6 o Ethernet |
| Destination (dst) | Dirección de destino |
| Protocol | Protocolo utilizado en la trama Ethernet, paquete IP o segmento TC |
| Length | Longitud de la trama en bytes |
Operadores logicos
| OPERADOR | DESCRIPCIÓN | EJEMPLO |
|---|---|---|
| and or && | Y lógico | Todas las condiciones deben coincidir. |
| o o || | O lógico | Todas o una de las condiciones deben coincidir |
| xor or ^^ | XOR lógico | Modificaciones exclusivas: sólo una de las dos condiciones debe coincidir, no ambas. |
| not or ! | No (Negación) | No igual a |
| [ n ] [ … ] | Operador de subcadena | Filtrar una palabra o texto específico |
Filtrado de paquetes (filtros de visualización)
| OPERADOR | DESCRIPCIÓN | EJEMPLO |
|---|---|---|
| eq or == | Igual | ip.dest == 192.168.1.1 |
| ne or != | No es igual | ip.dest! = 192.168.1.1 |
| gt or > | Mas grande que | marco.len > 10 |
| it or < | menos que | marco.len < 10 |
| ge or >= | Mayor que o igual | marco.len >= 10 |
| le or <= | Menor o igual | marco.len <= 10 |
Tipos de filtro
| NOMBRE | DESCRIPCIÓN |
|---|---|
| Capture filter | Filtrar paquetes durante la captura |
| Display filter | Ocultar paquetes de una pantalla de captura |
Modos de captura de Wireshark
| NOMBRE | DESCRIPCIÓN |
|---|---|
| Promiscuous mode | Establece la interfaz para capturar todos los paquetes en un segmento de red al que está asociado. |
| Monitor mode | Configure la interfaz inalámbrica para capturar todo el tráfico que pueda recibir (solo Unix/Linux) |
Misceláneas
| NOMBRE | DESCRIPCIÓN |
|---|---|
| Slice Operator | [ … ] – Rango de valores |
| Membership Operator | {} – En |
| CTRL+E | Iniciar/Detener captura |
Sintaxis del filtro de captura
| SINTAXIS | PROTOCOLO | DIRECCIÓN | HOSPEDADORES | VALOR | OPERADOR LÓGICO | EXPRESIONES |
|---|---|---|---|---|---|---|
| Ejemplo | TCP | src | 192.168.1.1 | 80 | y | TCP DST 202.164.30.1 |
Sintaxis del filtro de visualización
| SINTAXIS | PROTOCOLO | CADENA 1 | CADENA 2 | OPERADOR DE COMPARACIÓN | VALOR | OPERADOR LÓGICO | EXPRESIONES |
|---|---|---|---|---|---|---|---|
| Ejemplo | http | destino | IP | == | 192.168.1.1 | y | puerto tcp |
Atajos de teclado: ventana de visualización principal
| ACELERADOR | DESCRIPCIÓN | ACELERADOR | DESCRIPCIÓN |
|---|---|---|---|
| Tabulador o Mayús+Tab | Muévase entre los elementos de la pantalla, por ejemplo, desde las barras de herramientas hasta la lista de paquetes y los detalles del paquete. | Alt+→ or Option→ | Pasar al siguiente paquete en el historial de selección. |
| ↓ | Pase al siguiente paquete o elemento detallado. | → | En el detalle del paquete, abre el elemento del árbol seleccionado. |
| ↑ | Pasar al paquete o elemento detallado anterior. | Mayús+→ | En el detalle del paquete, abre los elementos del árbol seleccionados y todos sus subárboles. |
| Ctrl+ ↓ o F8 | Pase al siguiente paquete, incluso si la lista de paquetes no está enfocada. | Ctrl+→ | En el detalle del paquete, abre todos los elementos del árbol. |
| Ctrl+ ↑ o F7 | Pasar al paquete anterior, incluso si la lista de paquetes no está enfocada | Ctrl+← | En el detalle del paquete, cierra todo el árbol. |
| Ctrl+. | Pasar al siguiente paquete de la conversación (TCP, UDP o IP). | Backspace | En el detalle del paquete, salta al nodo principal. |
| Ctrl+, | Pasar al paquete anterior de la conversación (TCP, UDP o IP). | Return or Enter | En el detalle del paquete, alterna el elemento del árbol seleccionado. |
Protocolos – Valores
éter, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp y udp
Comandos de filtrado comunes
| USO | SINTAXIS DE FILTRO |
|---|---|
| Filtrar Wireshark por IP | ip.añadir == 10.10.50.1 |
| Filtrar por IP de destino | ip.dest == 10.10.50.1 |
| Filtrar por IP de origen | ip.src == 10.10.50.1 |
| Filtrar por rango de IP | dirección.ip >= 10.10.50.1 y dirección.ip <=10.10.50.100 |
| Filtrar por múltiples IPs | dirección.ip == 10.10.50.1 y dirección.ip == 10.10.50.100 |
| Filtrar la dirección IP | ! (dirección.ip == 10.10.50.1) |
| Filtrar subred | dirección.ip == 10.10.50.1/24 |
| Filtrar por puerto | tcp.puerto == 25 |
| Filtrar por puerto de destino | tcp.dstport == 23 |
| Filtrar por dirección IP y puerto | ip.addr == 10.10.50.1 y Tcp.port == 25 |
| Filtrar por URL | http.host == «nombre de host» |
| Filtrar por marca de tiempo | frame.time >= «02 de junio de 2019 18:04:00» |
| Filtrar indicador SYN | Tcp.flags.syn == 1 y tcp.flags.ack ==0 |
| Filtro de baliza Wireshark | wlan.fc.type_subtype = 0x08 |
| Filtro de transmisión Wireshark | eth.dst == ff:ff:ff:ff:ff:ff |
| Filtro de multidifusión Wireshark | (eth.dst[0] y 1) |
| Filtro de nombre de host | ip.host = nombre de host |
| filtro de dirección MAC | eth.addr == 00:70:f4:23:18:c4 |
| Filtro de bandera RST | tcp.flag.reset == 1 |
Elementos de la barra de herramientas principal
| ICONO DE LA BARRA DE HERRAMIENTAS | ELEMENTO DE LA BARRA DE HERRAMIENTAS | OPCIÓN DEL MENÚ | DESCRIPCIÓN |
| Comenzar | Capturar → Iniciar | Utiliza las mismas opciones de captura de paquetes que la sesión anterior, o utiliza los valores predeterminados si no se configuraron opciones | |
| Detener | Capturar → Detener | Detiene la captura actualmente activa | |
| Reanudar | Capturar → Reiniciar | Reiniciar la sesión de captura activa | |
| Opciones… | Capturar → Opciones… | Abre el cuadro de diálogo «Opciones de captura» | |
| Abierto… | Archivo →abrir… | Abre el cuadro de diálogo «Abrir archivo» para cargar una captura y verla | |
| Guardar como… | Archivo → Guardar como… | Guardar el archivo de captura actual | |
| Cerca | Archivo →Cerrar | Cerrar el archivo de captura actual | |
| Recargar | Ver → Recargar | Recargar el archivo de captura actual | |
| Buscar paquete… | Editar →Buscar paquete… | Buscar paquete según diferentes criterios | |
| Regresa | Ir → Volver | Retroceder en el historial de paquetes | |
| Avanzar | Ir → Adelante | Saltar hacia adelante en el historial de paquetes | |
| Ir al paquete… | Ir → Ir al paquete… | Ir al paquete específico | |
| Ir al primer paquete | Ir → Ir al primer paquete | Saltar al primer paquete del archivo de captura | |
| Ir al último paquete | Ir → Ir al último paquete | Saltar al último paquete del archivo de captura | |
| Desplazamiento automático en captura en vivo | Ver → Desplazamiento automático en Live Capture | Lista de paquetes de desplazamiento automático durante la captura en vivo | |
| colorear | Ver → Colorear | Colorear la lista de paquetes (o no) | |
| Acercarse | Ver → Acercar | Ampliar los datos del paquete (aumentar el tamaño de fuente) | |
| Disminuir el zoom | Ver → Alejar | Alejar los datos del paquete (disminuir el tamaño de fuente) | |
| Talla normal | Ver → Tamaño normal | Establecer el nivel de zoom nuevamente al 100% | |
| Cambiar el tamaño de las columnas | Ver → Cambiar tamaño de columnas | Cambiar el tamaño de las columnas para que el contenido se ajuste al ancho |
Preguntas frecuentes
¿Qué es Wireshark y cómo se utiliza?
Wireshark se anuncia como «el analizador de protocolos de red más destacado y más utilizado del mundo». Al ejecutar una captura, puede capturar el tráfico de su red y ver no solo el origen y el destino de los paquetes, sino también, a menudo, la información importante que contienen.
¿Wireshark puede ver mensajes de texto?
Normalmente no. Wireshark puede ver datos no cifrados en una red donde se encuentra en el medio. Para ver mensajes SMS, los mensajes deberán enviarse sin ningún cifrado a través de una red que usted controle, lo cual es poco probable que sea el caso.
¿Qué debo buscar al usar Wireshark?
Esto depende completamente de tu intención. Si lo utiliza por motivos de seguridad, estaría analizando el tráfico en busca de anomalías y signos de infracciones. Esto podría incluir grandes cantidades de tráfico que pasan por puertos inusuales.
Si lo está utilizando como hacker o probador de penetración, buscará información confidencial que se envía a través de la red, como credenciales de inicio de sesión.
Como administrador o ingeniero de red, es posible que esté buscando cuellos de botella u otros problemas que afecten el rendimiento de la red.
¿Cuáles son los 2 tipos de filtros utilizados por Wireshark?
1) Los filtros de captura se utilizan para especificar qué paquetes debe capturar Wireshark. Estos se configuran cuando comienza la captura. Puede establecer varios criterios, como buscar paquetes de una dirección IP de origen particular, usar solo un protocolo particular o paquetes enviados a través de un puerto específico. También puedes capturar todo el tráfico y ordenarlo más tarde.
2) Los filtros de visualización especifican qué paquetes deben mostrarse en la interfaz de Wireshark. Estos se aplican una vez completada la captura. Estos pueden ayudarle a delimitar los paquetes que está buscando. Al igual que los filtros de captura, puede utilizar muchos criterios diferentes, como mostrar solo puertos, direcciones IP o protocolos específicos, según sus necesidades.
¿Puede Wireshark ver de incógnito?
Sí. El modo incógnito no hace nada para ocultar o cifrar el tráfico de red, sólo impide que su navegador almacene su historial de navegación para esa sesión. Esto significa que habrá registros de red de su navegación y Wireshark podrá ver las conexiones.
La única advertencia a mencionar es que los sitios web que utilizan HTTPS cifran el tráfico hacia y desde el sitio web. Esto evitaría que Wireshark vea la información específica enviada y recibida desde un sitio web (como las credenciales de inicio de sesión), pero no impedirá que vea la dirección IP de destino y el sitio web asociado visitado.
¿Puedes rastrear a alguien con Wireshark?
Wireshark es una herramienta que se puede utilizar como parte de un kit para rastrear a alguien. Puede identificar una dirección IP y, dependiendo de otros factores (como si se utiliza cifrado), qué están haciendo dentro de la red.
¿Cómo se capturan paquetes en Wireshark?
Es tan simple como seleccionar la interfaz que deseas capturar y hacer clic para iniciar la captura. Wireshark comenzará a captar el tráfico y a mostrarlo inmediatamente. Eres libre de ver paquetes, transmisiones o aplicar filtros sobre la marcha.
¿Qué pueden hacer los piratas informáticos con Wireshark?
Wireshark le permite capturar y monitorear el tráfico de la red. Potencialmente, un pirata informático puede obtener contraseñas y otra información confidencial que puede aprovechar contra un objetivo o una red de destino.
¿Cómo leo los registros de Wireshark?
Wire Shark como interfaz GUI que le permite ver el color del tráfico codificado y mostrado secuencialmente. Puede utilizar filtros para buscar información específica, ver los detalles disponibles en cualquier paquete (incluido el origen, el destino y posiblemente el contenido) o ver un flujo de comunicación entre dos puntos.
Conclusión:
En el vasto panorama de la ciberseguridad, dominar Wireshark es más que una habilidad; es un arte. Desde la identificación de amenazas hasta la solución de problemas de red, hemos explorado los comandos, filtros y sintaxis que hacen de Wireshark una fuerza poderosa. Al incorporar estos conocimientos, los profesionales elevan su capacidad para detectar y mitigar amenazas, fortaleciendo así la seguridad de las redes en un entorno digital cada vez más complejo.
Wireshark es una herramienta increíblemente poderosa para analizar y solucionar problemas del tráfico de red. Proporciona una gran cantidad de información que puede ayudarle a identificar problemas, localizarlos y comprender cómo se utiliza su red.
Esperamos que con el conocimiento y las técnicas cubiertos en esta hoja de referencia de Wireshark, ahora pueda capturar, filtrar y analizar paquetes con confianza con Wireshark.
Hacking Wifi Profesional. Realiza Auditorias sobre Seguridad
Aprenderás a realizar Auditorias sobre redes Wifi como un Hacker Profesional. Hacking Wifi en WEP/WPA/WPA2 & Enterprise: https://achirou.com/hacking-wifi-profesional
Lo que aprenderás
- Hackear Redes Wi-Fi
- Ataques disponibles para atacar Redes Wi-Fi
- Herramientas que ayudan a Hackear Redes Wi-Fi
- Preparar un Entorno de Pruebas
- Definiciones Teóricas necesarias de Wi-Fi
- Creación de Diccionarios para Crackear contraseñas
- Hacer un escaneo de las redes disponibles para atacar
- Resolución de Errores Comunes
- Atacar redes con cifrado WEP
- Atacar redes con cifrado WPA2
- Formas de capturar el Handshake
- Crackear contraseñas de redes
- Hacer ingeniería social para obtener la clave
- Uso de Wifislax
Descripción
- ¿Quieres aprender como realizar Auditorias en Redes Wifi?
- ¿Deseas detectar vulnerabilidades como ser Contraseñas débiles en redes Wifi?
- ¿Te interesa aprender como mejorar la seguridad en redes Wifi?
- ¿Estás buscando aprender sobre herramientas de Hardware para realizar Auditorias y pruebas de seguridad en redes wifi?
Si la respuesta a alguna de estas preguntas es que si, este curso es para ti.
Empieza a aprender todo lo referido a redes wifi y su seguridad.
Iniciamos preparando el entorno de trabajo para la práctica, compartiéndote nuestra experiencia y recomendaciones como ser adaptadores compatibles.
Este curso inicia desde 0 así que también veremos los conceptos básicos que debes saber en relación a redes y wifi.
Luego empezamos con las fases de recolección de información, diccionarios para fuerza bruta para vulnerar en un principio redes WEP y WPA2, capturar handshake, realizar ataques de fuerza bruta es decir crackear contraseñas de redes wifi, utilizaremos herramientas como ser wifislax y resolveremos los errores mas comunes.
Sumate a esta furmacion profesional llena de practica y asistencia a tus dudas y problemas sobre el contenido dado. Nos vemos en clase
Yo soy Álvaro Chirou, tengo más de 20 Años de experiencia trabajando en Tecnología, eh dado disertaciones en eventos internacionales como OWASP, tengo más de 500.000 estudiantes en Udemy y 100 formaciones profesionales impartidas en la misma.
Y junto a mi compañero Walter Coto, con mas de 390 mil estudiantes, donde con él hemos dictado formaciones profesionales en conjunto en la plataforma de Udemy.
Recuerda que tendrás acceso de por vida al curso, recibirás actualizaciones y respuestas a tus preguntas a través de la plataforma de Udemy.
¿Te gustaría enterarte de cuando lanzamos descuentos al Máximo o Nuevos Cursos?
Como estás sr Álvaro saludos dsd Venezuela oye veo mucho sus videos y me gustaría una de esas guías gratis de hashcat y nmap 584143440529 WhatsApp
Hola, pronto llegaran mas guías de NMAP https://achirou.com/?s=nmap y tengo programada una para hascat =). Saludos