5 consejos para sacar el máximo partido a Wireshark

Wireshark tiene varios trucos bajo la manga, desde capturar tráfico remoto hasta crear reglas de firewall basadas en paquetes capturados. Siga leyendo para obtener consejos más avanzados si desea utilizar Wireshark como un profesional.

Ya hemos cubierto el uso básico de Wireshark, así que asegúrese de leer nuestro artículo original para obtener una introducción a esta poderosa herramienta de análisis de red.

Resolución de nombre de red

Al capturar paquetes, es posible que le moleste que Wireshark solo muestre direcciones IP. Puede convertir direcciones IP en nombres de dominio usted mismo, pero esto no es muy conveniente.

Wireshark puede resolver automáticamente estas direcciones IP en nombres de dominio, aunque esta función no está habilitada de forma predeterminada. Cuando habilita esta opción, verá nombres de dominio en lugar de direcciones IP cuando sea posible. La desventaja es que Wireshark tendrá que buscar cada nombre de dominio, contaminando el tráfico capturado con consultas DNS adicionales.

Puede activar esta configuración abriendo la ventana de preferencias desde Editar -> Preferencias, haciendo clic en Resolución de nombres panel y haciendo clic en “Habilitar la resolución de nombres de red“Casilla de verificación.

Empiece a capturar automáticamente

Puede crear un acceso directo especial utilizando los argumentos de la línea de comandos de Wirshark si desea comenzar a capturar paquetes sin demora. Necesita saber el número de la interfaz de red que desea utilizar, según el orden en que Wireshark muestre las interfaces.

Cree una copia del acceso directo de Wireshark, haga clic derecho en él, vaya a su ventana Propiedades y cambie los argumentos de la línea de comando. Añadir -i # -k al final del atajo, reemplazando # con el número de la interfaz que desea utilizar. La opción -i especifica la interfaz, mientras que la opción -k le dice a Wireshark que comience a capturar de inmediato.

Si está utilizando Linux u otro sistema operativo que no sea Windows, simplemente cree un acceso directo con el siguiente comando o ejecútelo desde una terminal para comenzar a capturar de inmediato:

wirehark -i # -k

Para obtener más accesos directos a la línea de comandos, consulte Página de manuel de Wireshark.

Captura de tráfico de computadoras remotas

Wireshark captura el tráfico de las interfaces locales de su sistema de forma predeterminada, pero esta no siempre es la ubicación desde la que desea capturar. Por ejemplo, es posible que desee capturar el tráfico de un enrutador, servidor u otra computadora que se encuentre en una ubicación diferente en la red. Aquí es donde entra en juego la función de captura remota de Wireshark. Esta función solo está disponible en Windows en este momento; la documentación oficial de Wireshark recomienda a los usuarios de Linux utilizar un túnel SSH.

En relación :  Los Sims 4 es gratis para PC (si eres rápido)

Primero, necesitará instalar WinPcap en el sistema remoto. WinPcap viene con Wireshark, por lo que no necesita instalar WinPCap si Wireshark ya está instalado en el sistema remoto.

Una vez que no se llame, abra la ventana Servicios en la computadora remota; haga clic en Inicio, escriba services.msc en el cuadro de búsqueda del menú Inicio y presione Entrar. Busque el Protocolo de captura remota de paquetes service de la lista e inícielo. Este servicio está deshabilitado de forma predeterminada.

Pinchalo Opción de capturas enlace en Wireshark, luego seleccione Distante desde la caja de la interfaz.

Ingrese la dirección del sistema remoto y 2002 como el puerto. Debe tener acceso al puerto 2002 en el sistema remoto para conectarse, por lo que es posible que deba abrir este puerto en un firewall.

Después de iniciar sesión, puede seleccionar una interfaz en el sistema remoto de la lista desplegable Interfaz. Haga clic en Inicio después de seleccionar la interfaz para iniciar la captura remota.

Wireshark en una terminal (TShark)

Si no tiene una GUI en su sistema, puede usar Wireshark desde una terminal con el comando TShark.

Primero, emita el tshark -D orden. Este comando le dará los números de sus interfaces de red.

Una vez que lo haya hecho, ejecute el tshark -i # comando, reemplazando # con el número de la interfaz en la que desea capturar.

TShark actúa como Wireshark, imprimiendo el tráfico que captura en la terminal. utilizar Ctrl-C cuando quieras dejar de capturar.

Imprimir paquetes en el terminal no es el comportamiento más útil. Si queremos inspeccionar el tráfico con más detalle, podemos pedirle a TShark que lo guarde en un archivo que podamos inspeccionar más tarde. En su lugar, use este comando para volcar el tráfico a un archivo:

tshark -i # -w nombre de archivo

TShark no le mostrará los paquetes a medida que se capturan, pero los contará a medida que los capture. Puedes usar el Archivo -> Abierto opción en Wireshark para abrir el archivo de captura más tarde.

Para obtener más información sobre las opciones de la línea de comandos de TShark, consulte su página de manual.

Creación de reglas de ACL de firewall

Si es un administrador de red a cargo de un firewall y utiliza Wireshark para buscar, puede tomar medidas en función del tráfico que ve, tal vez para bloquear el tráfico sospechoso. Wireshark’s Reglas de ACL de firewall La herramienta genera los comandos que necesitará para crear reglas de firewall en su firewall.

En relación :  Use su Mac para solucionar problemas de su conexión Wi-Fi

Primero, seleccione un paquete en el que desea crear una regla de firewall haciendo clic en él. Después de eso, haga clic en el Herramientas menú y seleccione Reglas de ACL de firewall.

Utilizar el Producto para seleccionar su tipo de firewall. Wireshark es compatible con Cisco IOS, varios tipos de firewalls de Linux, incluidos iptables y firewall de Windows.

Puedes usar el Filtrado para crear una regla basada en la dirección MAC, dirección IP, puerto o dirección IP y puerto del sistema. Es posible que vea menos opciones de filtro, dependiendo de su producto de firewall.

De forma predeterminada, la herramienta crea una regla que niega el tráfico entrante. Puede cambiar el comportamiento de la regla desmarcando la casilla Entrante o Negar casillas de verificación. Después de crear una regla, use el Copiar para copiarlo, luego ejecútelo en su firewall para aplicar la regla.


¿Quieres que escribamos algo específico sobre Wireshark en el futuro? Háganos saber en los comentarios si tiene alguna solicitud o idea.

Moyens Staff
El personal de Moyens I/O lo ha motivado, brindándole consejos sobre tecnología, desarrollo personal, estilo de vida y estrategias que lo ayudarán.