Principal Redes Cómo leer paquetes en Wireshark

Cómo leer paquetes en Wireshark



Para muchos expertos en TI, Wireshark es la herramienta de referencia para el análisis de paquetes de red. El software de código abierto le permite examinar de cerca los datos recopilados y determinar la raíz del problema con mayor precisión. Además, Wireshark opera en tiempo real y utiliza códigos de colores para mostrar los paquetes capturados, entre otros ingeniosos mecanismos.

Cómo leer paquetes en Wireshark

En este tutorial, explicaremos cómo capturar, leer y filtrar paquetes usando Wireshark. A continuación, encontrará instrucciones paso a paso y desgloses de las funciones básicas de análisis de red. Una vez que domine estos pasos fundamentales, podrá inspeccionar el flujo de tráfico de su red y solucionar problemas con mayor eficiencia.

Análisis de paquetes

Una vez que se capturan los paquetes, Wireshark los organiza en un panel de lista de paquetes detallado que es increíblemente fácil de leer. Si desea acceder a la información de un solo paquete, sólo tiene que ubicarlo en la lista y hacer clic. También puede ampliar aún más el árbol para acceder a los detalles de cada protocolo contenido en el paquete.

Para obtener una descripción general más completa, puede mostrar cada paquete capturado en una ventana separada. Así es cómo:

cómo borrar la memoria en kodi
  1. Seleccione el paquete de la lista con el cursor y luego haga clic con el botón derecho.
  2. Abra la pestaña Ver desde la barra de herramientas de arriba.
  3. Seleccione Mostrar paquete en ventana nueva en el menú desplegable.

Nota: es mucho más fácil comparar los paquetes capturados si los abre en ventanas separadas.

Como se mencionó, Wireshark utiliza un sistema de codificación por colores para la visualización de datos. Cada paquete está marcado con un color diferente que representa diferentes tipos de tráfico. Por ejemplo, el tráfico TCP generalmente se resalta en azul, mientras que el negro se usa para indicar paquetes que contienen errores.

Por supuesto, no tienes que memorizar el significado detrás de cada color. En su lugar, puede comprobar en el acto:

  1. Haga clic derecho en el paquete que desea examinar.
  2. Seleccione la pestaña Ver de la barra de herramientas en la parte superior de la pantalla.
  3. Elija Reglas para colorear en el panel desplegable.

Verás la opción de personalizar la coloración a tu gusto. Sin embargo, si solo desea cambiar las reglas de coloreado temporalmente, siga estos pasos:

  1. Haga clic derecho en el paquete en el panel de lista de paquetes.
  2. De la lista de opciones, seleccione Colorear con filtro.
  3. Elige el color con el que quieres etiquetarlo.

Número

El panel de la lista de paquetes le mostrará la cantidad exacta de bits de datos capturados. Dado que los paquetes están organizados en varias columnas, es bastante fácil de interpretar. Las categorías predeterminadas son:

  • No. (Número): Como se mencionó, puede encontrar el número exacto de paquetes capturados en esta columna. Los dígitos seguirán siendo los mismos incluso después de filtrar los datos.
  • Hora: como habrás adivinado, aquí se muestra la marca de tiempo del paquete.
  • Origen: Muestra dónde se originó el paquete.
  • Destino: Muestra el lugar donde se guardará el paquete.
  • Protocolo: Muestra el nombre del protocolo, normalmente en una abreviatura.
  • Longitud: Muestra la cantidad de bytes que contiene el paquete capturado.
  • Información: la columna incluye cualquier información adicional sobre un paquete en particular.

Hora

A medida que Wireshark analiza el tráfico de la red, se marca la hora de cada paquete capturado. Luego, las marcas de tiempo se incluyen en el panel de la lista de paquetes y están disponibles para una inspección posterior.

Wireshark no crea las marcas de tiempo en sí. En cambio, la herramienta de análisis los obtiene de la biblioteca Npcap. Sin embargo, la fuente de la marca de tiempo es en realidad el kernel. Es por eso que la precisión de la marca de tiempo puede variar de un archivo a otro.

Puede elegir el formato en el que se mostrarán las marcas de tiempo en la lista de paquetes. Además, puede establecer la precisión preferida o el número de lugares decimales que se muestran. Además de la configuración de precisión predeterminada, también hay:

  • Segundos
  • décimas de segundo
  • Centésimas de segundo
  • milisegundos
  • Microsegundos
  • nanosegundos

Fuente

Como sugiere su nombre, la fuente del paquete es el lugar de origen. Si desea obtener el código fuente de un repositorio de Wireshark, puede descargarlo utilizando un cliente Git. Sin embargo, el método requiere que tengas una cuenta de GitLab. Es posible hacerlo sin uno, pero es mejor registrarse por si acaso.

Una vez que haya registrado una cuenta, siga estos pasos:

  1. Asegúrate de que Git sea funcional usando este comando: |_+_|
  2. Vuelva a verificar si su dirección de correo electrónico y nombre de usuario están configurados.
  3. A continuación, haga un clon de la fuente de Workshark. Usa el |_+_| URL SSH para realizar la copia.
  4. Si no tiene una cuenta de GitLab, pruebe la URL HTTPS: |_+_|

Todas las fuentes se copiarán posteriormente en su dispositivo. Tenga en cuenta que la clonación puede demorar un tiempo, especialmente si tiene una conexión de red lenta.

Destino

Si desea conocer la dirección IP del destino de un paquete en particular, puede usar el filtro de visualización para ubicarlo. Así es cómo:

  1. Introduzca |_+_| en la caja de filtro de Wireshark. Luego, haga clic en Entrar.
  2. El panel de la lista de paquetes se reconfigurará solo para mostrar el destino del paquete. Encuentre la dirección IP que le interesa desplazándose por la lista.
  3. Una vez que haya terminado, seleccione Borrar en la barra de herramientas para volver a configurar el panel de la lista de paquetes.

Protocolo

Un protocolo es una pauta que determina la transmisión de datos entre diferentes dispositivos que están conectados a la misma red. Cada paquete de Wireshark contiene un protocolo y puede mostrarlo utilizando el filtro de visualización. Así es cómo:

  1. En la parte superior de la ventana de Wireshark, haga clic en el cuadro de diálogo Filtrar.
  2. Ingrese el nombre del protocolo que desea examinar. Por lo general, los títulos de los protocolos se escriben en minúsculas.
  3. Haga clic en Entrar o Aplicar para habilitar el filtro de visualización.

Longitud

La longitud de un paquete de Wireshark está determinada por la cantidad de bytes capturados en ese fragmento de red en particular. Ese número generalmente se corresponde con el número de bytes de datos sin procesar que se enumeran en la parte inferior de la ventana de Wireshark.

Si desea examinar la distribución de longitudes, abra la ventana Longitudes de paquetes. Toda la información se divide en las siguientes columnas:

  • Longitudes de paquetes
  • Contar
  • Promedio
  • Valor mín./Valor máx.
  • Calificar
  • Por ciento
  • Tasa de ráfaga
  • Inicio de ráfaga

Información

Si hay anomalías o elementos similares dentro de un paquete capturado en particular, Wireshark lo notará. Luego, la información se mostrará en el panel de la lista de paquetes para un examen más detenido. De esa manera, tendrá una imagen clara del comportamiento atípico de la red, lo que resultará en reacciones más rápidas.

Preguntas frecuentes adicionales

¿Cómo puedo filtrar los datos del paquete?

El filtrado es una característica eficiente que le permite ver los detalles de una secuencia de datos en particular. Hay dos tipos de filtros Wireshark: captura y visualización. Los filtros de captura están ahí para restringir la captura de paquetes para satisfacer demandas específicas. En otras palabras, puede filtrar diferentes tipos de tráfico aplicando un filtro de captura. Como sugiere el nombre, los filtros de visualización le permiten concentrarse en un elemento particular del paquete, desde la longitud del paquete hasta el protocolo.

Aplicar un filtro es un proceso bastante sencillo. Puede escribir el título del filtro en el cuadro de diálogo en la parte superior de la ventana de Wireshark. Además, el software normalmente completará automáticamente el nombre del filtro.

Alternativamente, si desea revisar los filtros predeterminados de Wireshark, haga lo siguiente:

1. Abra la pestaña Analizar en la barra de herramientas en la parte superior de la ventana de Wireshark.

¿Cómo se eliminan los mensajes de Messenger en el iPhone?

2. En la lista desplegable, seleccione Filtro de visualización.

3. Navegue por la lista y haga clic en el que desee aplicar.

Finalmente, aquí hay algunos filtros Wireshark comunes que pueden ser útiles:

• Para ver solo la dirección IP de origen y destino, utilice: |_+_|

• Para ver únicamente el tráfico SMTP, escriba: |_+_|

• Para capturar todo el tráfico de la subred, aplique: |_+_|

• Para capturar todo excepto el tráfico ARP y DNS, utilice: |_+_|

¿Cómo capturo los datos del paquete en Wireshark?

Una vez que haya descargado Wireshark en su dispositivo, puede comenzar a monitorear su conexión de red. Para capturar paquetes de datos para un análisis completo, esto es lo que debe hacer:

1. Inicie Wireshark. Verá una lista de redes disponibles, así que haga clic en la que desea examinar. También puede aplicar un filtro de captura si desea identificar el tipo de tráfico.

2. Si desea inspeccionar varias redes, use el control Mayús + clic izquierdo.

3. A continuación, haga clic en el icono de aleta de tiburón del extremo izquierdo en la barra de herramientas de arriba.

4. También puede iniciar la captura haciendo clic en la pestaña Capturar y seleccionando Iniciar en la lista desplegable.

5. Otra forma de hacerlo es usando la combinación de teclas Control – E.

A medida que el software toma los datos, los verá aparecer en el panel de la lista de paquetes en tiempo real.

Byte de tiburón

Si bien Wireshark es un analizador de red muy avanzado, es sorprendentemente fácil de interpretar. El panel de la lista de paquetes es extremadamente completo y está bien organizado. Toda la información se distribuye en siete colores diferentes y se marca con códigos de colores claros.

Además, el software de código abierto viene con una serie de filtros fácilmente aplicables que facilitan el monitoreo. Al habilitar un filtro de captura, puede identificar qué tipo de tráfico desea que Wireshark analice. Y una vez que se obtienen los datos, puede aplicar varios filtros de visualización para búsquedas específicas. Con todo, es un mecanismo altamente eficiente que no es demasiado difícil de dominar.

¿Utiliza Wireshark para el análisis de redes? ¿Qué opinas de la función de filtrado? Háganos saber en los comentarios a continuación si hay una característica útil de análisis de paquetes que omitimos.

Artículos De Interés

Archivo de la etiqueta: Wondershare Photo Recovery

Archivo de la etiqueta: Wondershare Photo Recovery

Microsoft Emulator para Windows 10X presenta soporte para dispositivos de pantalla única

Microsoft Emulator para Windows 10X presenta soporte para dispositivos de pantalla única

La Elección Del Editor

Cómo crear un correo electrónico de iCloud
Cómo crear un correo electrónico de iCloud
Si su ID de Apple no es una cuenta de correo electrónico de iCloud.com, cree una ahora para acceder al correo electrónico de Apple. Incluso si no tienes una ID de Apple, aún puedes crear un correo electrónico de iCloud.
Cómo reparar el código de error de Hulu p-dev320
Cómo reparar el código de error de Hulu p-dev320
El código de error de Hulu p-dev320 puede estar relacionado con problemas de red cuando utilizas la plataforma de transmisión. A continuación, le indicamos cómo solucionar los problemas de transmisión de Hulu cuando ve este mensaje.
Cómo deshabilitar las sugerencias de búsqueda de la barra de direcciones en Firefox 55
Cómo deshabilitar las sugerencias de búsqueda de la barra de direcciones en Firefox 55
Es posible deshabilitar las sugerencias de búsqueda de la barra de direcciones en Firefox 55. En este artículo, revisaremos dos métodos sobre cómo se puede hacer.
Microsoft Mouse and Keyboard Center está disponible con soporte ARM64
Microsoft Mouse and Keyboard Center está disponible con soporte ARM64
Microsoft actualiza su software Mouse and Keyboard Center con soporte ARM64, lo que hace posible instalar el paquete de aplicaciones en dispositivos como Surface Pro X. El cambio se ha introducido en Mouse and Keyboard Center 12. Mouse and Keyboard Center 12 admite los siguientes dispositivos nuevos a partir de en la versión 12: Microsoft Ergonomic Mouse Microsoft Ergonomic
Skype perderá SMS Connect en favor de la aplicación Your Phone
Skype perderá SMS Connect en favor de la aplicación Your Phone
Si está utilizando la función SMS Connect en Skype, tendrá que cambiar a la aplicación Your Phone después del 30 de agosto de 2019. Su teléfono seguirá siendo el software de consumo exclusivo para enviar mensajes de texto desde su PC. Anuncio Un nuevo anuncio en el sitio web de Microsoft explica el movimiento. Después de una disponibilidad limitada, decidimos eliminar los SMS
¿Qué es un archivo RPM?
¿Qué es un archivo RPM?
Un archivo RPM es un archivo del administrador de paquetes de Red Hat que se utiliza para almacenar archivos de instalación en sistemas operativos Linux. Aquí se explica cómo abrir uno.
Eliminar Cast to Device desde el menú contextual en Windows 10
Eliminar Cast to Device desde el menú contextual en Windows 10
Vea cómo deshacerse del comando del menú contextual Transmitir a dispositivo en el Explorador de archivos en Windows 10.