Cómo ver el tráfico de la red con wireshark

Wireshark es una herramienta interactiva para analizar el tráfico de red. Permite ver el contenido de todos los paquetes que entran y salen por una interfaz de red, lo cual es muy útil para monitorear el tráfico de una red (por ejemplo ver qué protocolos se están utilizando, que hosts están distribuyendo malware, etc.) Wireshark es el analizador de tráfico más utilizado y es el estándar de facto en el mundo de la seguridad informática, reemplazando al clásico tcpdump. Las características más interesantes de Wireshark son que permite examinar de forma interactiva cada paquete capturado, filtrar captura por protocolo/puerto/IP/etc. y guardar la captura en diferentes formatos, además se ser software libre libreado bajo la licencia GPLv2.



En este artículo explico brevemente cómo instalar y utilizar Wireshark para inspeccionar el tráfico de red.

En Debian/Ubuntu/Mint y derivados se debe instalar Wireshark mediante la instrucción:

$ sudo apt-get install wireshark

Una vez instalado se debe ejecutar como superusuario (root) para que Wireshark pueda utilizar las interfaces de red en modo promiscuo. El modo promiscuo se utiliza para capturar todo el tráfico que llega a una interfaz y no sólo el que corresponde a la dirección MAC (hw address) asignada a la misma (junto con el tráfico de broadcast).

$ sudo wireshark

Para comenzar a esnifar tráfico (sniffing) se debe abrir el icono "List the available capture interfaces..." que se encuentra más a la izquierda y luego presionar el botón "Start" de la interfaz desde la cual se desea capturar tráfico.

wireshark

En la siguiente imagen se observa una captura de tráfico con Wireshark. La parte superior contiene una lista de paquetes capturados (por defecto ordenados cronológicamente) y la parte inferior muestra el contenido del paquete que se está examinando. En este ejemplo se observa un host (192.168.122.145) haciendo ping ("echo request") a otro host (192.168.122.235) que le responde ("echo reply"). En la parte inferior de la ventana de Wireshark se está examinando el contenido de uno de los paquetes "echo reply" del protocolo ICMP.

wireshark

En el cuadro de texto superior es posible filtrar los paquetes con diferentes criterios, por ejemplo protocolo, dirección IP, dirección MAC, etc. Se recomienda leer el manual oficial de Wireshark para poder sacarle todo el jugo:

http://www.wireshark.org/docs/wsug_html_chunked/ChapterUsing.html

Cómo instalar wireshark en CentOS 6

En CentOS 6.3 se debe instalar Wireshark de la siguiente forma:

# yum install wireshark
# yum install wireshark-gnome

Luego es posible ejecutar Wireshark desde el menú Applications > Internet > Wireshark Network Analyzer (solicita automáticamente las credenciales de root) o ejecutar desde la consola como root:

# wireshark



 

Suscribirse

    Registrate para recibir las novedades y artículos por correo electrónico.

Linuxito en G+