1

TUTORIAL WIRESHARK – 1. INSTALACIÓN Y PRIMEROS PASOS

¿Qué es Wireshark?

Wireshark, antes conocido como Ethereal, es un software de análisis de protocolos que se basa en

las librerías Pcap y que, como he dicho anteriormente, se utiliza comúnmente como herramienta

para realizar un análisis de redes y aplicaciones en red. Wireshark soporta una gran cantidad de

protocolos (más de 450), como ICMP, HTTP, TCP, DNS, y un largo etcétera.

Funciona en varias plataformas, como Windows, OS X, Linux y UNIX. Es usado regularmente por

desarrolladores, profesionales de la seguridad y en muchos casos para la educación. Está

publicado bajo licencia GNU GPL versión 2.

Una de las ventajas que tiene Wireshark es que en un momento dado, podemos dejar capturando

datos en una red el tiempo que queramos y, posteriormente almacenarlos, con el fin de poder

realizar el análisis más adelante.

¿Cómo instalar Wireshark?

Muy sencillo. En Windows y OS X, abrimos la siguiente URL:

http://www.wireshark.org/download.html

Por otra parte, en linux:

sudo apt-get install wireshark

Ya lo tenemos instalado. Para iniciarlo, lo haremos en modo administrador o superusuario.

¿Cómo es Wireshark y cuáles son sus posibilidades?

Wireshark posee una interfaz gráfica, la cual facilita mucho su uso, aunque también disponemos

de una versión en modo texto llamada tshark.

2

Una de las virtudes de Wireshark es el filtrado que podemos hacer de los datos capturados.

Podemos filtrar protocolos, IP origen o destino, por un rango de direcciones IP, puertos o tráfico

unicast, entre una larga lista de opciones. Podemos introducir nosotros manualmente los filtros en

una casilla o seleccionar estos filtros de una lista:

3

Además, podremos seleccionar varias interfaces en las que capturar.

¿Cómo empiezo a capturar paquetes?

Si seleccionamos las opciones de interfaces de captura, nos aparecerá la siguiente pantalla.

Capturaremos siempre en modo promiscuo, con el fin de poder capturar los paquetes de la red en

la que estamos (no sólo los nuestros), aunque no todas las tarjetas de red son compatibles con

este modo. Para iniciar la captura, pulsaremos en “Start”.

4

Tras pulsar “Start”, obtendremos:

Esta ventana tiene 3 partes importantes:

1.- Aquí veremos los paquetes capturados. En este caso, vemos paquetes TCP desde y hacia

nuestro ordenador ( IP 192.168.142.33).

2.- En esta parte veremos el desglose y la información detallada de los paquetes capturados.

3.- Vemos el contenido de los paquetes.

5

2. UTILIZACIÓN DE FILTROS

En primer lugar , seleccionaremos la interfaz en la que queramos capturar. Por ejemplo wlan0:

Hacemos click en ‘Start’ y ya estará funcionando. Veremos que captura muchos paquetes, quizá demasiados.

Tenemos muchos protocolos en nuestra captura, pero podemos seleccionar uno de ellos.

Si nos fijamos, en el campo de texto, hemos puesto “cups”, para filtrar los paquetes del protocolo CUPS

(Common Unix Printing System), que se utiliza en los servidores de impresión

6

Como acabamos de ver, una vez iniciada la captura, podemos filtrar los paquetes capturados

según nuestras necesidades. Podemos conocer los paquetes DNS con los que ha interactuado

nuestro equipo filtrando por DNS. A continuación podemos ver una captura:

Otro de los filtros importantes, aunque no más que otros, es el de las peticiones realizadas. Estas

peticiones las podemos conocer aplicando el filtro “http.request“. De este modo, podremos

conocer todos los GET y POST que hayan sido realizados durante la captura. Podemos observar

una captura a continuación:

Por ejemplo, filtrando async-upload.php que se ejecuta al subir un archivo, como una foto, en este

caso, podemos comprobar que se ha subido correctamente.