Wireshark

Wireshark, una herramienta multiplataforma con interfaz gráfica para el análisis de red, producto de la evolución de Ethereal. Incluye la herramienta Tshark en modo consola para capturas, análisis de red, entre otras posibilidades. Al usar las librerias pcap, su uso es similar a Tcpdump y Windump.

Este permite ver, aun nivel bajo y detallado, consultar todo lo que esta ocurriendo en la red. Es open source y multiplataforma. Se utiliza a menudo como mejor opción al momento de auditar redes usualmente redes Ethernet y es compatible con algunas otras.

Que es Tshark

Tshark es un analizador de protocolos de red. Permite capturar paquetes de datos desde una red en vivo, o leer los paquetes desde un archivo de captura previamente guardado, o imprimir un formulario descifrado los paquetes o escribir los paquetes en un archivo.

Utilización frecuente de Wireshark

• Administradores lo usan para resolver problemas en la red
• Ingenieros lo usan para examinar problemas de seguridad
• Desarrolladores lo usan para depurar la implementación de los protocolos de red
• Estudiantes los usan para aprender internamente cómo funciona una red

Características de Wireshark

• Disponible para Linux y Windows
• Captura de paquetes en vivo desde una interfaz de red
• Muestra los paquetes con información detallada de los mismos
• Abre y guarda paquetes capturados
• Importar y exportar paquetes en diferentes formatos
• Filtrado de información de paquetes
• Resaltado de paquetes dependiendo el filtro
• Crear estadísticas

Ventajas

• Entre sus cualidades nos encontramos con una enorme versatilidad que le lleva a soportar más de 480 protocolos distintos, además de la posibilidad de trabajar tanto con datos capturados desde una red durante una sesión con paquetes previamente capturados que hayan sido almacenados en el disco duro.

• Wireshark soporta el formato estándar de archivos tcpdump, es capaz de reconstruir sesiones TCP, y está apoyado en una completa interfaz gráfica que facilita enormemente su uso.

Instalación de Wireshark en Linux

Instalacion en Debian y Ubuntu

sudo aptitude install wireshark
sudo apt-get install wireshark

Instalacion en Centos y RedHat

yum install wireshark

Interfaz gráfica de Wireshark

Partes de la Ventana de Wireshark

La interfaz gráfica de Wireshark está principalmente dividida en las siguientes secciones :

• Barra de herramientas: Muestra todas las opciones a realizar sobre la pre y pos captura.
• Barra de herramientas principal: Están las opciones más usadas en Wireshark.
• Barra de filtros: Área donde se aplican filtros a la captura actual de manera rápida
• Listado de paquetes: Muestra un resumen de cada paquete que es capturado por Wireshark
• Panel de detalles de paquetes: Una vez seleccionado un paquete en el listado de paquetes, muestra información detallada del mismo.
• Panel de bytes de paquetes: Muestra los bytes del paquete seleccionado, y resalta los bytes correspondientes al campo seleccionado en el panel de detalles de paquetes.
• Barra de estado: Breve información acerca del estado actual de Wireshark y la captura.

Ejemplos de Uso en Consola

tshark -i eth0 -c 10
tshark -f "tcp port 25" -R "smtp" -i eth0

Enlaces externos

• Tutorial tcpdump
• Sitio Oficial winpcap
• Guía de uso wireshark

Fuentes

• Sitio Oficial
• Utilizacion del Tshark wireshark
• Instalación de Wireshark