![](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/Tutorial-de-Wireshark-para-principiantes.png)
Wireshark es uno de los analizadores de tráfico de red más potentes tanto para Mac como para Windows. Se puede utilizar para ver el tráfico de la red, analizar paquetes de datos e identificar cualquier actividad problemática o maliciosa.
Empezando con Wireshark
Instalación
Wireshark es descargable gratis y utilizar tanto para Mac como para Windows. Cuando lo instalas por primera vez, también hay un paquete adicional que debes instalar, al menos en Mac, así que asegúrate de leer los archivos Léame que ves cuando lo descargas por primera vez.
Descripción general de la interfaz de red
Una vez instalado y abierto, podrá ver inmediatamente en la sección de captura qué tarjetas de interfaz de red están recopilando tráfico. Su computadora debe estar conectada a las redes en las que desea examinar los paquetes.
En general, le recomendamos que verifique su tarjeta de interfaz de red (NIC) Ethernet o Wi-Fi. Ethernet debería funcionar en todas las situaciones, pero algunos usuarios de Windows han experimentado problemas para capturar paquetes en redes Wi-Fi.
capturar paquetes
Después de hacer doble clic en una NIC de la lista, Wireshark inmediatamente comienza a capturar paquetes y puede dejarlo ir y capturar paquetes durante el tiempo que desee.
Si está solucionando problemas con un sitio web en particular, le recomendamos que intente acceder a ese sitio web durante la adquisición. Una vez que crea que tiene suficientes datos, haga clic en el botón rojo de detener en la parte superior izquierda.
![](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370986_508_Tutorial-de-Wireshark-para-principiantes.jpg)
Análisis de los datos adquiridos.
Comprender la información del paquete
Una vez que comience a capturar datos con Wireshark, verá la cantidad total de paquetes capturados en la parte inferior de la pantalla. Inicialmente se mostrarán todos los paquetes, pero al usar filtros solo podrá ver los paquetes importantes.
Cada línea en la pantalla representa un único paquete, que muestra el intercambio de información a través de la red durante actividades como navegar por un sitio web o transferir archivos.
La importancia del filtrado
Su red está constantemente llena de transferencias de paquetes, no solo de sus actividades, sino también de IoT y los dispositivos inteligentes que mantienen la conexión a la red. El desafío al usar Wireshark es filtrar el ruido e identificar paquetes que no son inmediatamente relevantes para su objetivo de análisis actual. Wireshark ofrece herramientas para brindarle una descripción general completa de la actividad de la red, lo que le permite limitar y examinar los paquetes específicos que necesita analizar más a fondo.
Uso de las funciones de Wireshark
Explorando estadísticas y conversaciones
Comience accediendo al «Estadística» menú desplegable en Wireshark para obtener una descripción general de las propiedades de captura de paquetes (PCAP). Particularmente útil es la opción «Conversaciones», que revela todas las conversaciones entre direcciones IP dentro de los datos capturados.
Esta función le permite examinar varios protocolos, como TCP, y examinar detalles como la cantidad de bytes transferidos y la duración de las conversaciones entre direcciones IP.
![](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370986_181_Tutorial-de-Wireshark-para-principiantes.jpg)
Comprenda su red
Es esencial familiarizarse con las direcciones IP y MAC de los dispositivos de su red para realizar un análisis eficaz. Conocer estas direcciones ayuda a solucionar problemas e identificar dispositivos durante la investigación.
Identificación de actividad sospechosa.
Tenga cuidado con las comunicaciones extensas entre su dispositivo y direcciones IP desconocidas, que pueden indicar actividad sospechosa. Wireshark es una herramienta versátil para diagnosticar problemas de red, investigar posibles intentos de phishing y optimizar el ancho de banda mediante el monitoreo de las comunicaciones del dispositivo.
Profundizando más
La ventana de estadísticas de la conversación es el punto de partida para un análisis en profundidad. Desde aquí, puede hacer clic derecho en las direcciones IP y aplicar filtros para profundizar en paquetes específicos.
Por ejemplo, solo podría mostrar paquetes enviados hacia o desde una dirección IP particular. O solo puedes filtrar paquetes de una conversación específica entre 2 direcciones IP.
![Aplicar un filtro en Wireshark](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370986_816_Tutorial-de-Wireshark-para-principiantes.jpg)
Filtrado de datos específicos
Análisis de tráfico HTTP
- Centrarse en el tráfico HTTP: Para un posible análisis de seguridad, simplemente escriba «HTTP» en el filtro para identificar el tráfico no cifrado. Este paso es fundamental para identificar vulnerabilidades o actividad de phishing.
- Siguiendo transmisiones HTTP: profundice en paquetes HTTP específicos haciendo clic derecho en un paquete y seleccionando «Seguir», lo que revela el intercambio de datos completo dentro de la sesión.
![Aplicar un filtro HTTP en Wireshark](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370986_71_Tutorial-de-Wireshark-para-principiantes.jpg)
Navegando tráfico cifrado
- Análisis de tráfico seguro: aplique un filtro para el puerto TCP 443 para analizar el tráfico cifrado. Incluso si el contenido sigue siendo ilegible sin claves de descifrado, reconocer el flujo de tráfico protegido proporciona información valiosa.
![Filtrado de tráfico seguro en el puerto 443 en Wireshark](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370987_260_Tutorial-de-Wireshark-para-principiantes.jpg)
Técnicas de filtrado avanzadas
- Excluyendo protocolos comunes: Implementar filtros como
!ARP && !STP && !LLDP && !CDP
céntrese en el tráfico relevante mientras elimina el ruido de fondo del protocolo. - Identificación de inicios de conexión.: Uso
tcp.flags.syn == 1
para localizar los inicios de las conexiones TCP, destacando nuevos intentos de conexión. - Análisis de paquetes marcados.: Con
tcp.analysis.flags
aislar los paquetes marcados por Wireshark para una mayor investigación, lo que puede indicar posibles problemas o anomalías. - Conexión rota detectada: El filtro
tcp.flags.reset == 1
revela paquetes que indican restablecimientos de conexión, a menudo una señal de problemas de red o de seguridad.
Wireshark mejorado con botones personalizados
Para optimizar su flujo de trabajo en Wireshark, puede agregar botones de filtro personalizados para los filtros que utiliza con frecuencia.
Vaya al lado derecho de la barra de herramientas de filtro y haga clic en el icono «+» (más).
Asigne un nombre al botón (por ejemplo, «HTTPS» para tráfico seguro) e ingrese la expresión de filtro correspondiente (por ejemplo, tcp.port == 443
para HTTPS).
Una vez configurado, haga clic en «Aceptar» para agregar el botón. Esto crea un botón de acceso rápido para el filtro especificado, lo que le permite aplicarlo con un solo clic.
Consejo de eficiencia: Crear botones para tareas comunes, como aislar el tráfico HTTP o HTTPS cifrado, ahorra mucho tiempo durante el análisis y es muy recomendable tanto para usuarios principiantes como avanzados.
![Botón personalizado para tráfico seguro en Wireshark](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370987_436_Tutorial-de-Wireshark-para-principiantes.jpg)
Comprender las reglas para colorear.
La codificación de colores de Wireshark (por ejemplo, líneas negras para problemas de TCP, rojas para conexiones interrumpidas) ayuda a identificar rápidamente eventos de red. Personalice o explore estas configuraciones a través de «Reglas de color» en el menú «Ver».
![Reglas de coloración predeterminadas de Wireshark](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370987_50_Tutorial-de-Wireshark-para-principiantes.jpg)
Examen exhaustivo del contenido del paquete.
Una vez que haya navegado por el mar de tráfico de la red y haya identificado los paquetes de interés, observar más de cerca el contenido de cada paquete individual puede revelar una gran cantidad de información. Este análisis detallado es fundamental para comprender la naturaleza de los datos que se transfieren, identificar posibles amenazas a la seguridad y solucionar problemas de red.
Cómo verificar los detalles del paquete:
- Seleccionando un paquete: En la interfaz principal donde se enumeran los paquetes, haga clic en un paquete que haya identificado como interesante o relevante para su análisis. Esto podría deberse al filtro o a una anomalía que hayas notado en el flujo de tráfico.
- Panel de detalles del paquete: Después de la selección, los detalles del paquete se mostrarán en el panel central de Wireshark. Este panel desglosa la estructura del paquete y muestra cada capa de la pila de protocolos de red por la que pasa.
- Explorando la información del protocolo: amplía las capas de protocolo (por ejemplo, Ethernet, IP, TCP, HTTP) para ver detalles específicos. Busque indicadores de la intención del paquete, como direcciones de origen y destino, indicadores específicos del protocolo y datos de carga útil.
- Ir con la corriente: Para obtener una vista holística de la sesión de comunicación, haga clic derecho en el paquete y seleccione «Seguir» > «Transmitir TCP» (o «Transmitir UDP», según el protocolo). Esta acción compilará y mostrará la conversación completa a la que pertenece el paquete, permitiéndole leer la secuencia de mensajes intercambiados.
![Contenido del paquete en Wireshark](https://tecnodehoy.com.ar/wp-content/uploads/2024/11/1732370987_355_Tutorial-de-Wireshark-para-principiantes.jpg)
Formación práctica en ciberseguridad
Aplicación del mundo real con Análisis-de-tráfico-de-malware.net:
Esta plataforma ofrece un recurso invaluable para los entusiastas y profesionales de la ciberseguridad. Presenta capturas de paquetes reales (PCAP) de diversas infecciones de malware y ataques cibernéticos para su análisis.
como funciona: Los usuarios pueden descargar archivos PCAP específicos, cada uno acompañado de un conjunto de objetivos destinados a guiar el análisis hacia la comprensión de la naturaleza del malware o ataque. Este enfoque práctico permite tener experiencia práctica en la identificación y análisis del tráfico de red malicioso.
Resultado del aprendizaje: El sitio proporciona soluciones y análisis detallados para cada ejercicio, lo que permite a los usuarios comparar los resultados con opiniones de expertos. Este proceso mejora la comprensión del comportamiento del malware, los patrones de ataque y el uso eficaz de Wireshark con fines de ciberseguridad.
Valor educativo: Malware-Traffic-Analysis.net no es solo una herramienta de autoaprendizaje, sino que también lo utilizan programas de ciberseguridad de todo el mundo para capacitar a los estudiantes en seguridad de redes y análisis de malware.