Com utilitzar Wireshark per detectar problemes de xarxa

Si et dediques a xarxes, seguretat o desenvolupament i vols entendre què circula pels teus cables i Wi‑Fi, treballar amb Wireshark és un element imprescindble. Aquest analitzador de paquets de codi obert amb dècades devolució que permet capturar, disseccionar i estudiar trànsit a nivell de paquet amb una precisió quirúrgica.

En aquest article ho analitzem en profunditat: des de la seva llicència i patrocini fins als seus paquets a GNU/Linux, passant per utilitats de consola, formats suportats, requisits de compilació, permisos de captura i un repàs històric i funcional realment complet.

Què és Wireshark i per a què serveix avui

En essència, Wireshark és un analitzador de protocols i capturador de trànsit que et permet posar una interfície en mode promiscu o monitor (si el sistema ho suporta) i veure trames que no anirien dirigides al teu MAC, analitzar converses, reconstruir fluxos, pintar paquets segons regles i aplicar filtres de visualització molt expressius. A més, inclou TShark (versió en terminal) i un conjunt d'utilitats per a tasques com ara reordenar, partir, fusionar i convertir captures.

Tot i que el seu ús recorda a tcpdump, aporta una interfície gràfica moderna basada en Qt amb filtrat, ordenació i dissecció profunda per a milers de protocols. Si estàs en un switch, recorda que la manera promiscu no garanteix veure tot el trànsit: per a escenaris complets necessitaràs port mirroring o taps de xarxa, cosa que també esmenta la seva documentació com a pràctiques recomanades.

Llicència, fundació i model de desenvolupament

Wireshark es distribueix sota GNU GPL v2 i, en moltes parts, com a “GPL v2 o posterior”. Algunes utilitats de la font s'acullen a llicències diferents però compatibles, com és el cas de l'eina demaneu amb GPLv3+, la qual cosa no afecta el binari resultant de l'analitzador. No hi ha garantia explícita o implícita; es fa servir sota la teva responsabilitat, com és habitual en programari lliure.

La Fundació Wireshark coordina el desenvolupament i la distribució. Depèn de donacions de persones i organitzacions que basen la seva feina a Wireshark. El projecte compta amb milers d'autors registrats i figures històriques com ara Gerald Combs, Gilbert Ramirez i Guy Harris entre els seus mantenidors més visibles.

Wireshark funciona a Linux, Windows, macOS i altres Unix-like (BSD, Solaris, etc.). Es publiquen paquets oficials per a Windows i macOS, ia GNU/Linux sol arribar com a paquet estàndard o addicional en distribucions com Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD o OpenBSD. També hi ha disponibilitat en sistemes de tercers com Homebrew, MacPorts, pkgsrc o OpenCSW.

Per compilar des de codi, necessitareu Python 3; AsciiDoctor per a la documentació; i eines com Perl i GNU flex (el lex clàssic no serveix). La configuració mitjançant CMake permet activar o desactivar suports concrets, per exemple les biblioteques de compressió amb -DENABLE_ZLIB=OFF, -DENABLE_LZ4=OFF o -DENABLE_ZSTD=OFF, o el suport de libsmi amb -DENABLE_SMI=OFF si prefereixes no carregar MIBs.

Paquets i biblioteques en sistemes basats en Debian

En entorns Debian/Ubuntu i derivats, l'ecosistema Wireshark es divideix en múltiples paquets. A continuació tens un desglossament amb funcions, mides aproximades i dependències. Aquests paquets permeten triar des del GUI complet fins a biblioteques i eines de desenvolupament per integrar disseccions a les teves pròpies aplicacions.

wireshark

Aplicació gràfica per capturar i analitzar trànsit amb interfície Qt. Mida estimada: 10.59 MB. Instal·lació: sudo apt install wireshark

Entre les opcions d'arrencada trobareu paràmetres per triar interfície (-i), filtres de captura (-f), límit de snapshot, mode monitor, llistes de tipus d'enllaç, filtres de visualització (-Y), “Decode As” i preferències, així com formats de sortida a fitxer i comentaris de captura. L'aplicació també permet perfilat de configuració i estadístiques avançades des de la interfície.

tauró

Versió en consola per a captura i anàlisi en línia de comandes. Mida estimada: 429 KB. Instal·lació: sudo apt install tshark

Permet seleccionar interfícies, aplicar filtres de captura i visualització, definir condicions de parada (temps, mida, nombre de paquets), fer servir buffers circulars, imprimir detalls, bolcats hex i JSON, i exportar objectes i claus TLS. També podeu pintar la sortida en terminal compatible i ajustar el registre de logs per dominis i nivells de detall. Es recomana prudència si habilites JIT de BPF a nivell de nucli, ja que pot tenir implicacions de seguretat.

wireshark-common

Fitxers comuns per a wireshark i tshark (per exemple, diccionaris, configuracions i utilitats de línia). Mida estimada: 1.62 MB. Instal·lació: sudo apt install wireshark-common

Aquest paquet incorpora utilitats com capinfos (informació de fitxers de captura: tipus, encapsulació, durada, taxes, mides, hashes i comentaris), captype (identificar tipus de fitxers), dumpcap (capturador lleuger que utilitza pcapng/pcap amb autoestop i buffers circulars), editcap (editar/partir/convertir captures, ajustar timestamps, eliminar duplicats, afegir comentaris o secrets), mergecap (fusionar o concatenar diverses captures), mmdbresolve (resoldre geolocalització IP amb bases MMDB), randpkt (generador de paquets sintètics de múltiples protocols), rawshark (dissecció crua amb sortida de camps), reordercap (reordena per timestamp), sharkd (daemon amb API per processar captures) i text2pcap (convertir hexdumps o text estructurat en captures vàlides).

libwireshark18 i libwireshark-data

Biblioteca central de dissecció de paquets. Proporciona els analitzadors de protocol que utilitza Wireshark/TShark. Mida aproximada de la lib: 126.13 MB. Instal·lació: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Inclou suport per a una quantitat enorme de protocols i opcions com habilitar o deshabilitar disseccions concretes, heurístiques i “Decode As” des de la interfície o la línia d'ordres; gràcies a això pots adaptar la dissecció al trànsit real del teu entorn.

libwiretap15 i libwiretap-dev

Wiretap és la biblioteca per llegir i escriure múltiples formats de fitxers de captura. Els seus punts forts són la varietat de formats; les seves limitacions: no filtra ni realitza captura directa. Instal·lació: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

La variant -dev aporta la biblioteca estàtica i capçaleres C per integrar lectura/escriptura a les teves eines. Així podràs desenvolupar utilitats que manipulin pcap, pcapng i altres contenidors com a part de pipelins propis.

libwsutil16 i libwsutil-dev

Conjunt d'utilitats compartides per Wireshark i llibreries relacionades: funcions auxiliars de cadenes, buffers, xifratge, etc. Instal·lació: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

El paquet -dev inclou capçaleres i biblioteca estàtica perquè aplicacions externes puguin enllaçar utilitats comuns sense reimplementar rodes. És la base de múltiples funcions compartides que empren Wireshark i TShark.

wireshark-dev

Eines i fitxers per crear nous “dissectors”. Aporta scripts com a idl2wrs, a més de dependències per compilar i provar. Mida estimada: 621 KB. Instal·lació: sudo apt install wireshark-dev

Inclou utilitats com asn2deb (genera paquets Debian per a monitorització BER des d'ASN.1) e idl2deb (paquets per a CORBA). I, sobretot, idl2wrs, que converteix un IDL de CORBA a l'esquelet d'un plugin en C per disseccionar trànsit GIOP/IIOP. Aquest flux s'assenta en scripts Python (wireshark_be.py i wireshark_gen.py) i suporta dissecció heurística per defecte. L'eina cerca els seus mòduls a PYTHONPATH/site-packages o al directori actual, i accepta redirecció a fitxer per generar el codi.

wireshark-doc

Documentació de lusuari, guia de desenvolupament i referència de Lua. Mida estimada: 13.40 MB. Instal·lació: sudo apt install wireshark-doc

Recomanable si aprofundiràs en extensions, scripting i APIs. La documentació en línia al lloc oficial s'actualitza amb cada versió estable.

Permisos de captura i seguretat

En molts sistemes, la captura directa exigeix ​​privilegis elevats. Per aquesta raó, Wireshark i TShark deleguen la captura a dumpcap, un binari dissenyat per executar-se amb permisos (set-UID o capacitats) i minimitzar la superfície d'atac. Executar tot el GUI com a root no és bona pràctica; és preferible capturar amb dumpcap o tcpdump i analitzar sense privilegis per reduir riscs.

L'historial del projecte recull incidents de seguretat en dissectors al llarg dels anys, i algunes plataformes com OpenBSD van retirar l'antic Ethereal al seu dia per aquest motiu. Amb el model actual, l'aïllament de la captura i les actualitzacions constants milloren el panorama, però sempre convé seguir les notes de seguretat i, si detectes activitat sospitosa, saber com bloquejar connexions de xarxa sospitoses i evitar obrir captures no fiables sense revisions prèvies.

Formats de fitxer, compressió i fonts especials

Wireshark llegeix i escriu pcap i pcapng, a més de formats d'altres analitzadors com ara snoop, Network General Sniffer, Microsoft Network Monitor i els múltiples llistats per Wiretap més amunt. Podeu obrir fitxers comprimits si es va compilar amb biblioteques per GZIP, LZ4 i ZSTD; en particular, GZIP i LZ4 amb blocs independents permeten salts ràpids, millorant el rendiment del GUI en captures grans.

El projecte documenta particularitats com AIX iptrace (on un HUP al daemon tanca en net), suport de traces Lucent/Ascend, Toshiba ISDN o CoSine L2, i indica com capturar la sortida textual a fitxer (p. ex., amb telnet <equipo> | tee salida.txt o usant l'eina script) per importar-la després amb text2pcap. Aquestes rutes et treuen de captures “convencionals” quan uses equipament que no bolca pcap directament.

Utilitats de la suite i categories d'opcions

A més de Wireshark i TShark, la distribució inclou diverses eines que cobreixen tasques molt específiques. Sense copiar text d'ajuda literal, aquí tens un resum organitzat per categories perquè sàpigues què fa cadascuna i quines opcions trobaràs:

• dumpcap: captura “pura i dura” a pcap/pcapng, selecció d'interfície, filtres BPF, mida de buffer, rotació per temps/mida/arxius, creació de ring-buffers, comentaris de captura i sortida en format llegible per màquina. Adverteix sobre activar JIT de BPF per possibles riscos.
• capinfos: mostra tipus de fitxer, encapsulació, interfícies i metadades; nombre de paquets, mida del fitxer, longitud total, límit de snapshot, cronologia (primer/últim), taxes mitjanes (bps/Bps/pps), mida mitjana de paquet, hashes i comentaris. Permet eixida en taula o detallada i formats “machine‑readable”.
• captype: identifica el tipus de fitxer de captura d'una o més entrades amb opcions d'ajuda i versió.
• editcap: selecciona/elimina rangs de paquets, retalla (snap/chop), ajusta timestamps (inclosa ordre estricta), elimina duplicats amb finestres configurables, afegeix comentaris per trama, parteix sortides per nombre o temps, canvia contenidor i encapsulació, treballa amb secrets de desxifrat i comprimeix sortides. És la navalla multiusos per “sanejar” captures.
• mergecap: combina múltiples captures en una, ja sigui per concatenació lineal o barreja basada en timestamps, controla snaplen, defineix tipus de sortida, mode de fusió d'IDB i compressió final.
• reordercap: reordena un fitxer per timestamp generant una sortida neta i, si ja està ordenat, pot evitar escriure el resultat per estalviar I/O.
• text2pcap: converteix hexdumps o text amb regex a captura vàlida; reconeix òfsets en diverses bases, timestamps amb formats strptime (inclosa precisió fraccional), detecta ASCII adjunt si escau, i pot anteposar capçaleres “dummy” (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) amb ports, adreces i etiquetes indicades.
• rawshark: lector “cru” orientat a camps; permet fixar encapsulació o protocol de dissecció, desactivar resolucions de noms, posar filtres de lectura/visualització i decidir el format de sortida de camps, útil per a pipeline amb altres eines.
• randpkt: genera fitxers amb paquets aleatoris de tipus com ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB‑Linux, etc., establint compte, mida màxima i contenidor. Ideal per proves i donem.
• mmdbresolve: consulta bases MaxMind (MMDB) per mostrar geolocalització d'adreces IPv4/IPv6, especificant un o més fitxers de base.
• sharkd: dimoni que exposa una API (mode “gold”) o socket clàssic (mode “classic”); suporta perfils de configuració i es controla des de clients per a dissecció i cerques server‑side, útil en automatització i serveis.

Arquitectura, característiques i limitacions

Wireshark es recolza en libpcap/Npcap per capturar, i en un ecosistema de llibreries (libwireshark, libwiretap, libwsutil) que separen dissecció, formats i utilitats. Permet detecció de trucades VoIP, reproducció d'àudio en codificacions compatibles, captura de trànsit USB en brut, filtratge en xarxes Wi‑Fi (si travessen Ethernet monitoritzada) i plugins per a protocols nous escrits a C o Lua. També podeu rebre trànsit remot encapsulat (per exemple, TZSP) per analitzar-lo en temps real des d'una altra màquina.

No és un IDS ni llança alertes; el seu paper és passiu: inspecciona, mesura i mostra. Tot i així, les eines auxiliars faciliten estadístiques i fluxos, i hi ha material de formació per tot arreu (fins i tot apps didàctiques orientades a 2025 que ensenyen filtres, sniffing, OS fingerprinting bàsic, anàlisi en temps real, automatització, trànsit xifrat o integració amb pràctiques DevOps). Aquest vessant educatiu complementa el nucli de diagnòstic i troubleshooting.

Compatibilitat i ecosistema

Les plataformes de construcció i proves inclouen Linux (Ubuntu), Windows i macOS. El projecte cita a més compatibilitat àmplia amb sistemes Unix-like addicionals, i distribució a través de gestors tercers. En alguns casos, versions antigues del SO exigeixen branques prèvies (per exemple, Windows XP amb 1.10 o anteriors). El més normal és que puguis instal·lar des de repositoris o binaris oficials a la majoria d'entorns sense problemes.

S'integren amb simuladors de xarxa (ns, OPNET Modeler), i es poden fer servir eines de tercers (p. ex., Aircrack per a 802.11) per produir captures que Wireshark obre sense complicacions. En nom de estricta legalitat i ètica, recorda capturar només a xarxes i escenaris per als quals tinguis autorització expressa.

Nom, llocs oficials i dades de control

El lloc web oficial és wireshark.org, amb descàrregues al subdirectori /download i documentació en línia per a usuaris i desenvolupadors. Hi ha pàgines amb control d'autoritat (p. ex., GND) i llistats d'enllaços a repositori de codi, seguiment d'errors i bloc del projecte, útils per seguir novetats i reportar incidències.

Abans de posar-te a capturar, verifica permisos i capacitats del teu sistema, decideix si utilitzaràs dumpcap/tcpdump per bolcar a disc i analitzar sense privilegis, i prepara filtres de captura i visualització coherents amb el teu objectiu. Amb una bona metodologia, Wireshark fa senzill el complex i et dóna exactament la visibilitat que necessites per diagnosticar, aprendre o auditar xarxes de qualsevol mida.

Article relacionat:

Què fer en les primeres 24 hores després d'un hackeig: mòbil, PC i comptes en línia

Daniel Terrasa

Redactor especialitzat en temes de tecnologia i internet amb més de deu anys d'experiència a diferents mitjans digitals. He treballat com a editor i creador de continguts per a empreses de comerç electrònic, comunicació, màrqueting en línia i publicitat. També he escrit a webs d'economia, finances i altres sectors. La meva feina és també la meva passió. Ara, a través dels meus articles a Tecnobits, intento explorar totes les novetats i noves oportunitats que el món de la tecnologia ens ofereix dia a dia per millorar les nostres vides.