Com utilitzar Wireshark a Windows: guia completa, pràctica i actualitzada

Alguna vegada t'has preguntat què passa realment a la teva xarxa quan navegues, jugues en línia o gestiones dispositius connectats? Si la simple curiositat pels misteris que circulen al teu WiFi t'ha picat, o si directament necessites una eina professional per analitzar el trànsit de xarxa i detectar problemes a la teva connexió, segurament el nom de Wireshark ja hagi cridat la teva atenció.

Doncs en aquest article descobriràs sense embuts tots els detalls sobre Wireshark: què és, per a què serveix exactament a Windows, com s'instal·la i els millors consells abans de començar a capturar dades.

Què és Wireshark? Desgranant el tità de l'anàlisi de xarxa

Wireshark és l'analitzador de protocols de xarxa més populars i reconeguts a nivell mundial. Aquesta eina gratuïta, de codi obert i potent permet capturar i examinar tot el trànsit de xarxa que passa a través del teu equip, ja sigui una màquina Windows, Linux, macOS, o fins i tot sistemes com FreeBSD i Solaris. Amb Wireshark pots veure, en temps real o després de l'enregistrament, exactament quins paquets entren i surten del teu ordinador, l'origen, la destinació, els protocols, i fins i tot descompondre'ls a fons per obtenir detalls de cada capa segons el model OSI.

A diferència de molts analitzadors, Wireshark destaca per la seva interfície gràfica intuïtiva, però també ofereix una potent versió de consola anomenada TShark per als que prefereixen la línia d'ordres o necessiten realitzar tasques automatitzades. La flexibilitat de Wireshark és tal que permet des d'analitzar una connexió mentre navegues, fins a realitzar auditories professionals de seguretat, solucionar colls d'ampolla de xarxa, o aprendre des de zero sobre com funcionen els protocols a Internet, tot des del teu PC!

Descàrrega i instal·lació de Wireshark a Windows

Instal·lar Wireshark a Windows és un procés senzill, però convé fer-ho pas a pas per no deixar cap serrell solt, sobretot pel que fa a permisos i drivers complementaris per a la captura.

• Descàrrega oficial: Accedeix a la web oficial de Wireshark i tria la versió per a Windows (32 o 64 bits segons el teu sistema).
• Executa l'instal·lador: Fes doble clic al fitxer descarregat i segueix l'assistent. Accepteu les opcions predeterminades si teniu dubtes.
• Drivers imprescindibles: Durant la instal·lació, l'instal·lador us demanarà instal·lar Npcap.Aquest component és essencial, ja que permet a la teva targeta de xarxa capturar paquets en mode «promiscu».
• Finalitza i reinicia: Un cop finalitzat el procés, reinicieu el vostre equip per assegurar-vos que tots els components estan preparats.

A punt! Ja es pot començar a fer servir Wireshark des del menú d'inici de Windows. Tingueu en compte que aquest programa s'actualitza amb freqüència, així que resulta recomanable comprovar si hi ha noves versions de tant en tant.

Com funciona Wireshark: captura i visualització de paquets

En obrir Wireshark, el primer que veuràs és el llistat de totes les interfícies de xarxa disponibles al sistema: targetes de xarxa cablejades, WiFi, i fins i tot adaptadors virtuals si utilitzes màquines virtuals com VMware o VirtualBox. Cadascuna daquestes interfícies representa un punt dentrada o sortida dinformació digital.

Per començar a capturar dades, només has de fer doble clic sobre la interfície desitjada. Des d'aquell moment, Wireshark mostrarà en temps real tots els paquets que circulen per aquesta targeta, classificant-los per columnes com a número de paquet, hora de captura, origen, destinació, protocol, mida i detalls addicionals.

Quan vulguis aturar la captura, prem el botó vermell de Stop. Podeu desar les captures en format .pcap per analitzar-les després, compartir-les o fins i tot exportar-les en diferents formats (CSV, text, comprimides, etc.). Aquesta flexibilitat és el que fa de Wireshark és una eina indispensable tant per a l'anàlisi puntual com per a auditories completes.

Primers passos: consells abans de fer una captura a Windows

Perquè les primeres captures amb Wireshark siguin útils i no acabin plenes de soroll irrellevant o dades confuses, hi ha diverses recomanacions clau que convé seguir:

• Tanca programes innecessaris: Abans d'iniciar una captura, sal d'aplicacions que generin trànsit de fons (actualitzacions, xats, clients de correu, jocs…). Així evitaràs barrejar trànsit irrellevant.
• Controla el tallafocs: Els tallafocs poden bloquejar o modificar trànsit. Considereu desactivar-lo temporalment si busques una captura completa.
• Captura només el rellevant: Si vols analitzar una aplicació concreta, espera un o dos segons després d'iniciar la captura per llançar l'app, i fes el mateix en tancar abans de parar l'enregistrament.
• Coneix la teva interfície activa: Assegureu-vos de seleccionar la targeta de xarxa correcta, especialment si tens diversos adaptadors o estàs en una xarxa virtual.

Seguint aquestes pautes, les captures seran molt més netes i útils per a qualsevol anàlisi posterior.

Filtres a Wireshark: com centrar-te en allò que realment importa

Una de les característiques més potents de Wireshark són els filtres. Hi ha dos tipus fonamentals:

• Filtres de captura: S'apliquen abans de començar a capturar, permetent recollir només el trànsit que us interessa des del primer moment.
• Filtres de visualització: S'apliquen a la llista de paquets ja capturada, permetent mostrar només aquells que compleixen els teus criteris.

Entre els filtres més habituals hi ha:

• Per protocol: Filtra només paquets HTTP, TCP, DNS, etc.
• Per adreça IP: Per exemple, mostrar només paquets de o cap a una IP concreta usant ip.src == 192.168.1.1 o ip.dst == 8.8.8.8.
• Per port: Limita els resultats a un port específic (tcp.port == 80).
• Per cadena de text: Localitza paquets que contenen una paraula clau dins del contingut.
• Per adreça MAC, longitud de paquet o rang d'IP.

A més, els filtres es poden combinar amb operadors lògics (i, or, no) per a cerques molt precises, com tcp.port == 80 and ip.src == 192.168.1.1.

Què pots capturar i analitzar amb Wireshark a Windows?

Wireshark és capaç d'interpretar més de 480 protocols diferents, des dels bàsics com TCP, UDP, IP, fins a protocols específics d'aplicacions, IoT, VoIP, i molts d'altres. Això significa que podeu examinar tot tipus de trànsit de xarxa, des de simples peticions de DNS, fins a sessions xifrades de SSH, connexions HTTPS, transferències FTP o el trànsit SIP de la telefonia per Internet.

A més, Wireshark és compatible amb formats estàndard de captura com tcpdump (libpcap), pcapng i altres, i permet comprimir i descomprimir captures a l'acte usant GZIP per estalviar espai. Per al trànsit xifrat (TLS/SSL, IPsec, WPA2…), si tens les claus correctes, fins i tot pots desxifrar les dades i veure'n el contingut original.

Captura de trànsit en detall: recomanacions addicionals

Abans d'iniciar qualsevol captura important, seguiu aquest protocol per maximitzar la utilitat de la informació recollida:

• Trieu la interfície correcta: Normalment el teu adaptador actiu serà el de la connexió que estàs usant. Si tens dubtes, revisa des de la configuració de xarxa de Windows quina està connectada.
• Prepara l'escena: Obre només els programes o apps que generin el trànsit que vols analitzar.
• Aïlla el fenomen: Si busques analitzar el trànsit d'una aplicació, segueix la seqüència: inicia l'app després de començar la captura, fes l'acció que vols analitzar i tanca l'app abans d'aturar l'enregistrament.
• Guarda la captura: Atura l'enregistrament, vés a Fitxer > Desa i tria format .pcap o el que prefereixis.

Així aconseguiràs fitxers nets i fàcils d'analitzar, sense trànsit escombraries barrejat.

Exemples il·lustratius: anàlisi de trànsit amb Wireshark

Suposem que tens dos ordinadors a la xarxa local i un deixa d'accedir a Internet. Podeu utilitzar Wireshark per capturar el trànsit d'aquesta màquina i veure si hi ha errors en resoldre adreces DNS, si els paquets no arriben al router, o si un tallafocs està bloquejant les comunicacions.

Un altre cas típic: detectar si una web no xifra correctament el teu login. Si feu login en un lloc web sense HTTPS i apliqueu un filtre HTTP combinat amb el vostre nom d'usuari, podríeu veure fins i tot la contrasenya viatjant en clar per la xarxa, una demostració real del risc de llocs web insegurs.

Wireshark i la seguretat: riscos, atacs i mesures de protecció

El poder de Wireshark és també el seu risc més gran: en males mans pot facilitar captures de credencials, espionatge, o revelar informació sensible. Aquí algunes amenaces i recomanacions:

• Credential stuffing (atacs per força bruta de credencials): Si captures trànsit SSH, Telnet o altres serveis, pots observar intents d'accés automatitzats. Para atenció a sessions més llargues (solen ser reeixides), mides de paquet i nombre d'intents per detectar patrons sospitosos.
• Risc del trànsit extern: Filtra tot el trànsit SSH que no provingui de la teva xarxa interna: si veus connexions de fora, alerta!
• Contrasenyes en text pla: Si una web transmet usuaris i contrasenyes sense xifrar, ho veuràs a la captura. Mai utilitzis Wireshark per obtenir aquestes dades en xarxes alienes. Recorda que fer-ho sense permís és il·legal.
• Consentiment i legalitat: Només analitza trànsit de xarxes pròpies o amb autorització explícita. La llei és molt clara en aquest aspecte i l'ús indegut pot comportar greus conseqüències.
• Transparència i ètica: Si treballes en un entorn corporatiu, informa els usuaris sobre l'anàlisi i la finalitat del mateix. El respecte a la privadesa és tan important com la seguretat tècnica.

Alternatives a Wireshark: altres opcions per analitzar xarxes

Wireshark és la referència indiscutible, però hi ha altres eines que poden complementar o, en situacions específiques, substituir-ne l'ús:

• tcpdump: Ideal per a entorns Unix/Linux, funciona en línia d'ordres. És lleuger, ràpid i flexible per a captures ràpides o tasques automatitzades.
• Cloudshark: Plataforma web per carregar, analitzar i compartir captures de paquets des del navegador. Molt útil per a entorns col·laboratius.
• SmartSniff: Enfocat a Windows, senzill d'usar per a captures puntuals i visualització de converses entre clients i servidors.
• ColaSoft Capsa: Analitzador gràfic de xarxa que destaca per la simplicitat de la seva interfície i opcions específiques per escanejar ports, exportació i visualització compacta.

L'elecció de la millor alternativa depèn de les vostres necessitats concretes: rapidesa, interfície gràfica, col·laboració en línia, o compatibilitat amb maquinari específic.

Configuració avançada: mode promiscu, monitor i resolució de noms

El mode promiscu permet a la targeta de xarxa capturar no només els paquets destinats a ella, sinó tot el trànsit que circula per la xarxa on està connectada• És crucial per analitzar xarxes corporatives, hubs compartits o escenaris de pentesting.

A Windows, accedeix a Captura > Opcions, selecciona la interfície i marca la casella de manera promiscu. Tingues en compte que a les xarxes Wi-Fi, llevat de maquinari molt concret, només veuràs el trànsit del teu propi dispositiu.

D'altra banda, la resolució de noms converteix adreces IP en noms de domini llegibles (per exemple, 8.8.8.8 a google-public-dns-a.google.com) Podeu activar o desactivar aquesta opció des d'Edició > Preferències > Name Resolution.