Wireshark es el analizador de tráfico de red líder en el mundo, y una herramienta esencial para cualquier profesional de la seguridad o administrador de sistemas. Este software gratuito le permite analizar el tráfico de red en tiempo real, y suele ser la mejor herramienta para solucionar problemas en su red.
Los problemas más comunes que Wireshark puede ayudar a solucionar son los paquetes perdidos, los problemas de latencia y la actividad maliciosa en su red. Le permite poner el tráfico de su red bajo un microscopio, y proporciona herramientas para filtrar y profundizar en ese tráfico, acercándose a la causa raíz del problema. Los administradores lo utilizan para identificar dispositivos de red defectuosos que están dejando caer paquetes, problemas de latencia causados por máquinas que enrutan el tráfico por todo el mundo, y exfiltración de datos o incluso intentos de piratería contra su organización.
Wireshark es una poderosa herramienta que requiere un sólido conocimiento de los fundamentos de las redes. Para la mayoría de las empresas modernas, eso significa entender la pila TCP/IP, cómo leer e interpretar las cabeceras de los paquetes y cómo funcionan el enrutamiento, el reenvío de puertos y el DHCP, por ejemplo.
¿Qué hace Wireshark?
Wireshark intercepta el tráfico y convierte ese tráfico binario en un formato legible para el ser humano. Esto facilita la identificación del tráfico que atraviesa la red, la cantidad, la frecuencia, la latencia entre ciertos saltos, etc.
Aunque Wireshark admite más de dos mil protocolos de red, muchos de ellos esotéricos, poco comunes o antiguos, el profesional de la seguridad moderno encontrará que el análisis de los paquetes IP es de utilidad inmediata. La mayoría de los paquetes en su red son probablemente TCP, UDP e ICMP.
Dado el gran volumen de tráfico que cruza una red empresarial típica, las herramientas de Wireshark para ayudarle a filtrar ese tráfico son las que lo hacen especialmente útil. Los filtros de captura recogerán sólo los tipos de tráfico que le interesan, y los filtros de visualización le ayudarán a ampliar el tráfico que desea inspeccionar. El analizador de protocolos de red proporciona herramientas de búsqueda, incluyendo expresiones regulares y resaltado de colores, para que sea fácil encontrar lo que está buscando.
A veces la mejor manera de encontrar el tráfico anómalo es capturar todo y establecer una línea de base.
Cómo usar Wireshark
Es necesario saber lo que es normal para encontrar lo que es anormal, y Wireshark incluye herramientas para crear estadísticas de línea de base. Aunque Wireshark es un analizador de protocolos de red, y no un sistema de detección de intrusos (IDS), puede resultar extremadamente útil para localizar el tráfico malicioso una vez que se ha levantado una bandera roja.
Wireshark también puede utilizarse para interceptar y analizar el tráfico TLS cifrado. Las claves de sesión simétricas se almacenan en el navegador, y con la configuración apropiada del navegador (y el permiso y conocimiento del usuario) un administrador puede cargar esas claves de sesión en Wireshark y examinar el tráfico web no cifrado.
Wireshark viene con herramientas gráficas para visualizar las estadísticas. Esto facilita la detección de tendencias generales y la presentación de los resultados a los directivos menos técnicos.
Wireshark como herramienta de aprendizaje
Hay tantos usos prácticos de Wireshark que es fácil pasar por alto lo eficaz que puede ser como herramienta de aprendizaje. Levantar el capó de un coche es la mejor manera de entender cómo funciona un motor de combustión interna, y del mismo modo, levantar la tapa del tráfico de la red y ver volar los paquetes -incluso profundizar hasta el nivel de bytes, y examinar las cabeceras TCP- es una poderosa manera de aprender, y enseñar a otros cómo funciona Internet.
Demistificar el motor que hace funcionar nuestra economía de la información sólo puede conducir a decisiones empresariales mejor informadas y a una mejor política gubernamental, por no hablar de una mano de obra mejor cualificada. Wireshark ya es un elemento básico de los planes de estudio en muchos entornos de formación, pero los documentos son lo suficientemente completos en este momento como para que un aprendiz entusiasta pueda descargar fácilmente el analizador de protocolos de red, olfatear su punto de acceso wifi local y comenzar a examinar el tráfico.
Historia de Wireshark
Wireshark ha existido desde 1998, cuando fue inventado por Gerald Combs y llamado Ethereal. A lo largo de los años ha recibido cantidades gigantescas de apoyo de la comunidad y parches, y es ampliamente aceptado como el analizador de protocolos de red de facto disponible hoy en día.
Wireshark se ejecuta en todos los sistemas operativos principales y la mayoría de los menores, incluyendo las distros habituales de Linux, Windows, OS X, FreeBSD, NetBSD y OpenBSD. El programa es software libre, con licencia GPL, y por lo tanto es libre de usar, compartir y modificar.
Tutorial de Wireshark
Hay un montón de grandes recursos gratuitos sobre cómo aprender Wireshark, además de consejos y trucos para sacar el máximo provecho del software. Aquí están algunos de nuestros favoritos:
- Acabo de descargar Wireshark… ¿Y ahora qué? (PDF)
- Guía del usuario de Wireshark
- Cómo usar Wireshark: Un tutorial completo (Lifewire)
- Cómo usar Wireshark para capturar, filtrar e inspeccionar paquetes (How-To Geek)
Descarga gratuita de Wireshark
Descarga este analizador de protocolos de red en wireshark.org y empieza a husmear paquetes hoy mismo.