Como usar Wireshark para detectar problemas de rede

Se traballas en redes, seguridade ou desenvolvemento e queres saber que está a suceder cos teus cables e wifi, traballar con Wireshark É un elemento esencial. Isto analizador de paquetes de código aberto con décadas de evolución que permite capturar, diseccionar e estudar o tráfico a nivel de paquete con precisión cirúrxica.

Neste artigo analizámolo en profundidade: dende a súa licenza e patrocinio ata os seus paquetes en GNU/Linux, incluíndo utilidades de consola, formatos compatibles, requisitos de compilación, permisos de captura e unha visión xeral histórica e funcional verdadeiramente completa.

Que é Wireshark e para que se usa hoxe en día?

En esencia, Wireshark é un analizador de protocolos e dispositivo de captura de tráfico o que che permite poñer unha interface en modo promiscuo ou monitor (se o sistema o admite) e visualizar fotogramas que non se enviarían ao teu Mac, analizar conversas, reconstruír fluxos, colorear paquetes segundo regras e aplicar filtros de visualización moi expresivos. Ademais, inclúe TShark (versión terminal) e un conxunto de utilidades para tarefas como reordenar, dividir, fusionar e converter capturas de pantalla.

Aínda que o seu uso lembra a tcpdump, proporciona unha interface gráfica moderna baseada en Qt con filtrado, clasificación e disección profunda para miles de protocolos. Se estás nun conmutador, lembra que o modo promiscuo non garante que verás todo o tráfico: para escenarios completos necesitarás a creación de portos ou as conexións de rede, que a súa documentación tamén menciona como prácticas recomendadas.

Licenza, fundación e modelo de desenvolvemento

Wireshark distribúese baixo GNU GPL v2 e en moitos lugares, como “GPL v2 ou posterior”. Algunhas utilidades do código fonte están licenciadas baixo licenzas diferentes pero compatibles, como a ferramenta pidl con GPLv3+, que non afecta o binario resultante do analizador. Non hai garantía expresa nin implícita; o seu uso é baixo o seu propio risco, como é habitual co software libre.

La Fundación Wireshark Coordina o desenvolvemento e a distribución. Depende das doazóns de particulares e organizacións cuxo traballo se basea en Wireshark. O proxecto conta con miles de autores rexistrados e figuras históricas como Gerald Combs, Gilbert Ramirez e Guy Harris entre os seus partidarios máis destacados.

Wireshark funciona en Linux, Windows, macOS e outros sistemas tipo Unix (BSD, Solaris, etc.). Os paquetes oficiais publícanse para Windows e macOS, e en GNU/Linux adoita incluírse como un paquete estándar ou complementario en distribucións como Debian, Ubuntu, Fedora, CentOS, RHEL, Arch, Gentoo, openSUSE, FreeBSD, DragonFly BSD, NetBSD e OpenBSD. Tamén está dispoñible en sistemas de terceiros como Homebrew, MacPorts, pkgsrc ou OpenCSW.

Para compilar desde código, necesitarás Python 3; AsciiDoctor para a documentación; e ferramentas como Perl e GNU flex (o lex clásico non funcionará). A configuración con CMake permíteche activar ou desactivar soporte específico, por exemplo, bibliotecas de compresión con -DENABLE_ZLIB=DESACTIVADO, -DENABLE_LZ4=DESACTIVADO ou -DENABLE_ZSTD=DESACTIVADO, ou compatibilidade con libsmi con -DENABLE_SMI=OFF se prefire non cargar MIBs.

Paquetes e bibliotecas en sistemas baseados en Debian

En entornos Debian/Ubuntu e derivados, o ecosistema Wireshark divídese en varios paquetesA continuación móstrase unha descrición detallada das características, tamaños aproximados e dependencias. Estes paquetes permítenche escoller desde unha interface gráfica de usuario completa ata bibliotecas e ferramentas de desenvolvemento para integrar diseccións nas túas propias aplicacións.

wireshark

Aplicación gráfica para capturar e analizar o tráfico cunha interface Qt. Tamaño estimado: 10.59 MBInstalacións: sudo apt install wireshark

Entre as súas opcións de inicio atoparás parámetros para escoller a interface (-i), filtros de captura (-f), límite de instantáneas, modo de monitorización, listas de tipos de ligazón, filtros de visualización (-Y), “Descodificar como” e preferencias, así como formatos de saída de ficheiros e capturar comentarios. A aplicación tamén permite perfís de configuración e estatísticas funcións avanzadas da interface.

tiburón

Versión de consola para captura e análise desde a liña de comandos. Tamaño estimado: 429 KBInstalacións: sudo apt install tshark

Permite seleccionar interfaces, aplicar filtros de captura e visualización, definir condicións de parada (tempo, tamaño, número de paquetes), usar búferes circulares, imprimir detalles, volcados hexadecimais e JSON e exportar obxectos e claves TLS. Tamén pode colorear a saída nun terminal compatible. axustar o rexistro de rexistro por dominios e niveis de detalle. Recoméndase precaución se activa BPF JIT a nivel de kernel, xa que pode ter implicacións de seguridade.

wireshark-común

Ficheiros comúns para Wireshark e Tshark (por exemplo, dicionarios, configuracións e utilidades de liña). Tamaño estimado: 1.62 MBInstalacións: sudo apt install wireshark-common

Este paquete inclúe utilidades como capinfos (información do ficheiro de captura: tipo, encapsulamento, duración, taxas, tamaños, hashes e comentarios), tipo de captura (identificar os tipos de ficheiros), tapa de descarga (dispositivo de captura lixeiro que usa pcapng/pcap con parada automática e búferes circulares), editarcap (editar/dividir/converter capturas, axustar marcas de tempo, eliminar duplicados, engadir comentarios ou segredos), fusioncap (fusionar ou concatenar varias capturas), mmdbresolve (resolver a xeolocalización IP con bases de datos MMDB), randpkt (xerador de paquetes sintéticos multiprotocolo), tiburón cru (disección bruta con saída de campo), reordenarcap (reordenar por marca temporal), tiburón (daemon con API para procesar capturas) e texto2pcap (converter volcados hexadecimais ou texto estruturado en capturas válidas).

libwireshark18 e libwireshark-datos

Biblioteca central de disección de paquetes. Proporciona os analizadores de protocolos empregados por Wireshark/TShark. Tamaño aproximado da biblioteca: 126.13 MBInstalacións: sudo apt install libwireshark18 y sudo apt install libwireshark-data

Inclúe compatibilidade con un gran número de protocolos e opcións, como activar ou desactivar diseccións específicas, heurísticas e "Descodificar como" desde a interface ou a liña de comandos; grazas a isto, podes adaptar o disección do tráfico real do seu entorno.

libwiretap15 e libwiretap-dev

Wiretap é unha biblioteca para ler e escribir en varios formatos de ficheiro de captura. Os seus puntos fortes son a variedade de formatos que admite; as súas limitacións son: Non filtra nin realiza captura directa.Instalacións: sudo apt install libwiretap15 y sudo apt install libwiretap-dev

A variante -dev proporciona a biblioteca estática e as cabeceiras C para integrar operacións de lectura/escritura nas ferramentas. Isto permíteche desenvolver utilidades que manipulan datos. pcap, pcapng e outros contedores como parte das nosas propias canles.

libwsutil16 e libwsutil-dev

Un conxunto de utilidades compartidas por Wireshark e bibliotecas relacionadas: funcións auxiliares para a manipulación de cadeas, almacenamento en búfer, cifrado, etc. Instalación: sudo apt install libwsutil16 y sudo apt install libwsutil-dev

O paquete -dev inclúe cabeceiras e unha biblioteca estática para que as aplicacións externas poidan vincular utilidades comúns sen ter que reimplementar as rodas. É a base de varias funcións compartidas que empregan Wireshark e TShark.

desenvolvemento de Wireshark

Ferramentas e ficheiros para crear novos "disectores". Ofrece scripts como idl2wrs, así como dependencias para compilar e probar. Tamaño estimado: 621 KBInstalacións: sudo apt install wireshark-dev

Inclúe utilidades como asn2deb (xera paquetes Debian para a monitorización de BER desde ASN.1) e idl2deb (paquetes para CORBA). E, sobre todo, idl2wrsEsta ferramenta transforma un IDL CORBA no esqueleto dun plugin C para analizar o tráfico GIOP/IIOP. Este fluxo de traballo baséase en scripts de Python (wireshark_be.py e wireshark_gen.py) e admite a disección heurística por defecto. A ferramenta busca os seus módulos en PYTHONPATH/paquetes-do-sitio ou no directorio actual e acepta a redirección de ficheiros para xerar o código.

wireshark-doc

Documentación do usuario, guía de desenvolvemento e referencia de Lua. Tamaño estimado: 13.40 MBInstalacións: sudo apt install wireshark-doc

Recomendado se queres afondar máis extensións, scripts e APIA documentación en liña no sitio web oficial actualízase con cada versión estable.

Permisos de captura e seguridade

En moitos sistemas, a captura directa require privilexios elevados. Por este motivo, Wireshark e TShark delegan a captura a un servizo de terceiros. tapa de descargaUn binario deseñado para executarse con privilexios (set-UID ou capacidades) para minimizar a superficie de ataque. Executar toda a GUI como root non é unha boa práctica; é preferible capturar con dumpcap ou tcpdump e analizar sen privilexios para reducir os riscos.

O historial do proxecto inclúe incidentes de seguridade en disectores ao longo dos anos, e algunhas plataformas como OpenBSD retiraron a antiga instancia de Ethereal por ese motivo. Co modelo actual, o illamento da captura e as actualizacións constantes melloran a situación, pero sempre é aconsellable... siga as notas de seguridade E, se detectas actividade sospeitosa, sabe como bloquear conexións de rede sospeitosas e evita abrir capturas de pantalla non fiables sen revisión previa.

Formatos de ficheiro, compresión e fontes especiais

Wireshark le e escribe en pcap e pcapng, así como en formatos doutros analizadores como snoop, Network General Sniffer, Microsoft Network Monitor e moitos dos moitos listados por Wiretap anteriormente. Pode abrir ficheiros comprimidos se foron compilados con bibliotecas para pcapng. GZIP, LZ4 e ZSTDEn particular, GZIP e LZ4 con bloques independentes permiten saltos rápidos, mellorando o rendemento da GUI en capturas grandes.

O proxecto documenta características como AIX iptrace (onde un HUP ao daemon se pecha de xeito limpo), compatibilidade con rastrexos Lucent/Ascend, Toshiba ISDN ou CoSine L2 e indica como capturar a saída textual nun ficheiro (por exemplo, con telnet <equipo> | tee salida.txt ou usando a ferramenta escrita) para importalo máis tarde con text2pcap. Estas rutas lévanche fóra de capturas "convencionais" cando empregues equipos que non se volquen directamente sobre a tapa.

Utilidades da suite e categorías de opcións

Ademais de Wireshark e TShark, a distribución inclúe varias ferramentas que abarcan tarefas moi específicasSen copiar o texto de axuda literalmente, aquí tes un resumo organizado por categorías para que saibas o que fai cada unha e as opcións que atoparás:

• tapa de descargaCaptura de pcap/pcapng “pura e sinxela”, selección de interface, filtros BPF, tamaño do búfer, rotación por tempo/tamaño/ficheiros, creación de búferes en anel, comentarios de captura e saída en formato lexible por máquinaAdvirte contra a activación do JIT de BPF debido a riscos potenciais.
• capinfosMostra o tipo de ficheiro, a encapsulación, as interfaces e os metadatos; o número de paquetes, o tamaño do ficheiro, a lonxitude total, o límite de instantáneas, a cronoloxía (primeira/última), as taxas medias (bps/Bps/pps), o tamaño medio dos paquetes, os hashes e os comentarios. Permite obter saídas tabulares ou detalladas e formatos lexibles por máquina.
• tipo de captura: identifica o tipo de ficheiro de captura para unha ou máis entradas con opcións de axuda e versión.
• editarcapSelecciona/elimina rangos de paquetes, encaixa/corta, axusta as marcas de tempo (incluíndo a orde estrita), elimina duplicados con xanelas configurables, engade comentarios por fotograma, divide a saída por número ou tempo, cambia o contedor e a encapsulación, traballa con segredos de descifrado e comprime a saída. É a ferramenta multiusos para "limpar" capturas.
• fusioncapcombina varias capturas nunha soa, xa sexa por concatenación lineal ou mestura baseada en marcas de tempo, controla snaplen, define o tipo de saída, o modo de fusión de IDB e a compresión final.
• reordenarcap: reordena un ficheiro por marca de tempo xerando unha saída limpa e, se xa está ordenado, pode evitar escribir o resultado para aforrar E/S.
• texto2pcap: converte volcados hexadecimais ou texto con expresión regular a captura válida; recoñece desprazamentos en varias bases de datos, marcas de tempo con formatos strptime (incluíndo precisión fraccionaria), detecta ASCII adxunto se corresponde e pode antepoñer cabeceiras "ficticias" (Ethernet, IPv4/IPv6, UDP/TCP/SCTP, EXPORTED_PDU) con portos, enderezos e etiquetas indicado.
• tiburón cruLector orientado a campos "en bruto"; permite definir o protocolo de encapsulación ou disección, desactivar as resolucións de nomes, definir filtros de lectura/visualización e decidir o formato de saída do campo, útil para a interacción con outras ferramentas.
• randpktXera ficheiros con paquetes aleatorios de tipos como ARP, BGP, DNS, Ethernet, IPv4/IPv6, ICMP, TCP/UDP, SCTP, Syslog, USB-Linux, etc., especificando a conta, o tamaño máximo e o contedor. Ideal para probas e demostracións.
• mmdbresolveConsultar as bases de datos de MaxMind (MMDB) para mostrar a xeolocalización dos enderezos IPv4/IPv6, especificando un ou máis ficheiros de base de datos.
• tiburón: daemon que expón unha API (modo "gold") ou un socket clásico (modo "classic"); admite perfís de configuración e contrólase desde clientes para a análise e buscas no servidor, útil en automatización e servizos.

Arquitectura, características e limitacións

Wireshark baséase en libpcap/Npcap para a captura e nun ecosistema de bibliotecas (libwireshark, libwiretap, libwsutil) que separan a disección, os formatos e as utilidades. Permite a detección de chamadas VoIP, a reprodución de audio en codificacións compatibles, a captura de tráfico USB bruto e o filtrado en redes Wi-Fi (se atravesan Ethernet monitorizada). complementos para novos protocolos escrito en C ou Lua. Tamén pode recibir tráfico remoto encapsulado (por exemplo, TZSP) para análise en tempo real desde outra máquina.

Non é un IDS nin emite alertas; o seu papel é pasivo: inspecciona, mide e mostra. Aínda así, as ferramentas auxiliares proporcionan estatísticas e fluxos de traballo, e os materiais de formación están dispoñibles facilmente (incluíndo aplicacións educativas orientadas ao 2025 que ensinan filtros, rastrexo, identificación básica de pegadas dixitais do sistema operativo, análise en tempo real, automatización, tráfico cifrado e integración con prácticas de DevOps). Este aspecto educativo complementa a funcionalidade principal de diagnóstico e resolución de problemas.

Compatibilidade e ecosistema

As plataformas de construción e probas inclúen Linux (Ubuntu), Windows e macOSO proxecto tamén menciona unha ampla compatibilidade con outros sistemas tipo Unix e distribución a través de xestores de terceiros. Nalgúns casos, as versións máis antigas do sistema operativo requiren ramas previas (por exemplo, Windows XP coa versión 1.10 ou anterior). En xeral, pódese instalar desde repositorios ou binarios oficiais na maioría dos entornos sen grandes problemas.

Intégranse con simuladores de rede (ns, OPNET Modeler) e pódense usar ferramentas de terceiros (por exemplo, Aircrack para 802.11) para producir capturas que Wireshark abre sen dificultade. En nome de legalidade e ética estritasLembra capturar só en redes e en escenarios para os que teñas autorización expresa.

Nome, sitios web oficiais e datos de control

O sitio web oficial é wireshark.orgcon descargas no seu subdirectorio /download e documentación en liña para usuarios e desenvolvedores. Hai páxinas con control de autoridade (por exemplo, GND) e listas de ligazóns ao repositorio de código, ao rastreador de erros e ao blog do proxecto, útiles para manterse ao día das novidades e informar sobre problemas.

Antes de comezar a capturar, verifica os permisos e as capacidades do teu sistema, decide se usarás dumpcap/tcpdump para volcar ao disco e analizar sen privilexios e prepara filtros de captura e visualización coherentes co teu obxectivo. Cunha boa metodoloxía, Wireshark simplifica o complexo e ofréceche exactamente o que necesitas. A visibilidade que necesitas para diagnosticar, aprender ou auditar redes de calquera tamaño.

Artigo relacionado:

Que facer nas primeiras 24 horas despois dun ataque informático: contas móbiles, de PC e en liña

Daniel Terraza

Editor especializado en temas de tecnoloxía e internet con máis de dez anos de experiencia en diferentes medios dixitais. Traballei como editor e creador de contidos para empresas de comercio electrónico, comunicación, marketing online e publicidade. Tamén escribín en sitios web de economía, finanzas e outros sectores. O meu traballo tamén é a miña paixón. Agora, a través dos meus artigos en Tecnobits, intento explorar todas as novidades e novas oportunidades que cada día nos ofrece o mundo da tecnoloxía para mellorar as nosas vidas.