¿Qué es wireshark? Bien lo vamos a definir como un analizador de paquetes de red. Un monitor que mira directamente en el medio de transmisión y nos muestra lo que está sucediendo con el mayor detalle posible.
Deben saber que Wireshark es una herramienta sumamente compleja con cientos de elementos como, filtros, características, métricas, modos de capturas y tratar descubrirlas todas en un articulo tomaría muchas paginas, con lo cual solo vamos a mirar al tiburón desde la orilla, los que quieran darse un chapuzon en la descripción del cideo que dejo mas abajo les dejo suficiente documentación para que lo hagan
Podríamos pensar en Wireshark como un dispositivo de medición para examinar lo que sucede dentro de un cable de red, al igual que un electricista usa un voltímetro para examinar lo que sucede dentro de un cable eléctrico (pero a un nivel superior, por supuesto).
Características para destacar tenemos las siguientes:
- Disponible para Linux, macOS y Windows.
- Captura datos de paquetes en vivo desde una interfaz de red.
- Guardar paquete de datos capturados.
- Filtrar y busca paquetes con mucha flexibilidad.
¿Para qué sirve? En esencia, esta herramienta fue desarrollada para rastrear paquetes de datos que viajan a través de diferentes redes. Por tanto, Wireshark nos permite inspeccionar a profundidad el tráfico que circula por una red y así tomar decisiones adecuadas.
Sin una herramienta de análisis de paquetes (también llamada sniffer de paquetes), como Wireshark, podría ser un desafío comprender como ocurre la comunicación en una red. Aquí hay algunos usos comunes de Wireshark:
- Capturando datos de red en tiempo real
- Importación de paquetes de datos desde archivos de texto.
- Examinar paquetes de datos y sus detalles de protocolo
- Mostrar, filtrar y buscar paquetes de datos.
- Colorear paquetes de datos
- Solución de problemas de red.
- Generando estadísticas
Hay una gran variedad de posibles escenarios, pero vamos a enfocarnos en los siguientes dos que por mi experiencia podría decir que son los mas comunes, es decir lo que uno se encuentra con mayor frecuencia.
- Los administradores de red lo usan para solucionar problemas de red
- Por ejemplo aplicaciones, protocolos y servicios que no funcionen o no se comporten de forma normal, con Wireshark podemos monitorear y rastrear los paquetes y las tramas para diagnosticar el fallo con más certeza
- Consumo excesivo de ancho de banda por trafico broadcast o multicast sin causa aparente puede ser diagnosticado con mayor facilidad
- Los que nos dedicamos a la seguridad lo usamos para examinar problemas de seguridad dentro de la red.
Por ejemplo si notamos que un protocolo de red lleva algo que en teoría no debería llevar como una Shell remota empaquetada dentro de una consulta DNS
Dicho todo lo anterior que tal si vemos un poco de acción en un video que les he preparado para los fines, en el mismo vamos a ver cosas como:
- capturar en vivo desde una interfaz
- diferenciar un filtro de captura de un filtro de visualización
- explicar el código de colonización de wireshark
- diagnosticar el funcionamiento del protocolo DHCP
- Encontrar trafico multicast
- Encontrar problemas de seguridad de encapsulamiento DNS
- Identificar debilidad de TELNET como medio de administración remota
Espero lo disfruten:
Ciberseguridad Comprensible 