LabEx
Iniciar SesiónÚnete Gratis

Analizar el tráfico IPv6 en Tshark

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá a analizar el tráfico de red IPv6 utilizando la herramienta de línea de comandos Tshark de Wireshark. Practicará técnicas esenciales, como capturar paquetes con filtros IPv6 y examinar detalles específicos de los paquetes, incluyendo límites de saltos y clases de tráfico.

A través de ejercicios prácticos, adquirirá experiencia en la captura de tráfico IPv6 en tiempo real y en la aplicación de filtros de visualización para analizar capturas guardadas. El laboratorio cubre comandos fundamentales hasta métodos de análisis avanzados utilizando las potentes características de Tshark.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/packet_capture -.-> lab-548911{{"Analizar el tráfico IPv6 en Tshark"}} wireshark/display_filters -.-> lab-548911{{"Analizar el tráfico IPv6 en Tshark"}} wireshark/capture_filters -.-> lab-548911{{"Analizar el tráfico IPv6 en Tshark"}} wireshark/packet_analysis -.-> lab-548911{{"Analizar el tráfico IPv6 en Tshark"}} end

Capturar tráfico IPv6 con -f "ip6"

En este paso, aprenderá cómo capturar el tráfico de red IPv6 utilizando la opción de filtro de captura -f "ip6" de Wireshark. Este filtro asegura que solo se capturen paquetes IPv6 durante el proceso de captura de tráfico de red. IPv6 es la última versión del Protocolo de Internet, diseñada para reemplazar a IPv4 con su mayor espacio de direcciones. Al analizar el tráfico de red, a menudo es útil centrarse en protocolos específicos como IPv6 para reducir el ruido en la captura.

  1. Primero, abra una terminal en su máquina virtual LabEx haciendo clic en el icono de la terminal en el escritorio Xfce o utilizando el atajo Ctrl+Alt+T. La terminal es donde ejecutará todos los comandos para este laboratorio.

  2. Navegue al directorio de trabajo predeterminado donde almacenaremos nuestros archivos de captura:

cd ~/project
  1. Inicie Wireshark con el filtro de captura IPv6. Este comando le dice a Wireshark que solo capture paquetes que utilicen el protocolo IPv6:
sudo wireshark -k -f "ip6" -i any

Desglosemos este comando:

  • -k inicia la captura inmediatamente cuando se inicia Wireshark
  • -f "ip6" aplica el filtro de captura IPv6 (solo se capturarán paquetes IPv6)
  • -i any captura desde todas las interfaces de red disponibles
  1. Debería ver que se abre la interfaz gráfica de usuario (GUI) de Wireshark y solo se capturan paquetes IPv6. Si no hay tráfico IPv6 en su red (lo cual es común en muchos entornos), puede generar algún tráfico de prueba realizando un ping a una dirección IPv6:
ping6 -c 4 ipv6.google.com

El comando ping6 envía paquetes ICMPv6 para probar la conectividad IPv6. La opción -c 4 envía exactamente 4 paquetes antes de detenerse.

  1. Observe los paquetes capturados en Wireshark. Todos los paquetes mostrados deben ser paquetes IPv6. La lista de paquetes mostrará información básica como:

    • Dirección IPv6 de origen (de dónde viene el paquete)
    • Dirección IPv6 de destino (a dónde va el paquete)
    • Protocolo (qué tipo de tráfico IPv6 es)
    • Longitud del paquete y otros detalles básicos

  2. Para detener la captura cuando haya terminado de analizar, haga clic en el botón rojo "Detener" en la barra de herramientas de Wireshark. Esto congelará la visualización de los paquetes para que pueda examinar el tráfico capturado sin que nuevos paquetes interfieran en su análisis.

Filtrar paquetes IPv6 con -Y "ipv6"

En este paso, aprenderá cómo aplicar filtros de visualización para analizar el tráfico IPv6 capturado utilizando la opción de filtro de visualización -Y "ipv6" de Wireshark. Este filtro muestra solo los paquetes IPv6 de un archivo de captura existente, lo que le ayuda a centrarse en el tráfico IPv6 y a ignorar los paquetes de otros protocolos.

  1. Primero, asegúrese de tener un archivo de captura del paso anterior. Si no es así, capturaremos un poco de tráfico IPv6 primero. El siguiente comando inicia Wireshark para capturar solo paquetes IPv6 en todas las interfaces:
cd ~/project
sudo wireshark -k -f "ip6" -i any -w ipv6_capture.pcapng

(Deje que se ejecute durante 10 - 15 segundos para capturar suficientes paquetes, luego detenga la captura haciendo clic en el botón de detención en Wireshark)

  1. Ahora filtraremos los paquetes IPv6 capturados utilizando la función de filtro de visualización de Wireshark. La opción -Y nos permite especificar qué mostrar del archivo de captura:
sudo wireshark -r ipv6_capture.pcapng -Y "ipv6"

Este comando hace dos cosas principales:

  • -r le dice a Wireshark que lea del archivo de captura especificado (ipv6_capture.pcapng)
  • -Y aplica el filtro de visualización "ipv6" que muestra solo los paquetes IPv6

  1. Cuando se abra Wireshark, verá solo paquetes IPv6 mostrados en la interfaz. Observe que la barra de filtro de visualización en la parte superior muestra "ipv6" como el filtro activo. Esto significa que todos los paquetes que no son IPv6 se ocultan temporalmente de la vista.

  2. Intentemos algunos filtros IPv6 más específicos para entender cómo funcionan los filtros de visualización. Estos ejemplos muestran cómo reducir el tráfico:

## Filtrar solo paquetes ICMP IPv6 (como el tráfico de ping6)
sudo wireshark -r ipv6_capture.pcapng -Y "icmpv6"

## Filtrar tráfico IPv6 que involucre una dirección específica (aquí se usa localhost ::1 como ejemplo)
sudo wireshark -r ipv6_capture.pcapng -Y "ipv6.addr == ::1"
  1. A medida que pruebe diferentes filtros, observe cómo la lista de paquetes se actualiza inmediatamente. Este filtrado en tiempo real le ayuda a encontrar rápidamente patrones de tráfico específicos en archivos de captura grandes. La sintaxis de los filtros de visualización es poderosa: puede combinar condiciones para crear filtros muy específicos.

Verificar límites de saltos con -z ip6_hop,tree

En este paso, aprenderá cómo analizar los valores de límite de saltos (Hop Limit) de IPv6 utilizando la función de estadísticas de Wireshark. El campo de límite de saltos en IPv6 es similar al campo TTL (Time To Live) en IPv4: especifica cuántos routers (saltos) puede atravesar un paquete antes de ser descartado. Este es un mecanismo crucial para evitar que los paquetes circulen indefinidamente en la red.

  1. Primero, navegue al directorio del proyecto donde trabajaremos con los archivos de captura. Esto asegura que todos nuestros archivos se mantengan organizados en un solo lugar:
cd ~/project
  1. Si aún no ha creado un archivo de captura, lo crearemos ahora para capturar específicamente tráfico IPv6. El filtro -f "ip6" le dice a Wireshark que solo capture paquetes IPv6, mientras que -i any significa que escuchará en todas las interfaces disponibles:
sudo wireshark -k -f "ip6" -i any -w ipv6_hoplimit.pcapng

(Deje que la captura se ejecute durante 10 - 15 segundos para recopilar suficientes paquetes, luego deténgala haciendo clic en el botón de detención en Wireshark)

  1. Ahora usaremos Tshark (la versión de línea de comandos de Wireshark) para analizar los valores de límite de saltos. La opción -z ip6_hop,tree genera un árbol estadístico que muestra la distribución de los valores de límite de saltos en los paquetes capturados:
sudo tshark -r ipv6_hoplimit.pcapng -z ip6_hop,tree
  1. La salida mostrará tres piezas importantes de información sobre cada valor de límite de saltos encontrado en los paquetes:
  • El valor real del límite de saltos (valores comunes son 64, 128 o 255)
  • Cuántos paquetes tenían ese límite de saltos específico
  • Qué porcentaje del total de paquetes representa ese valor
  1. Así es como se ve una salida típica. Sus números reales pueden variar dependiendo del tráfico de su red:
===================================================================
IPv6 Hop Limit Tree
===================================================================
Hop Limit    Count     %
      64       12    60%
     128        6    30%
     255        2    10%
===================================================================
  1. Para una vista más detallada que incluya direcciones IPv6, podemos usar este comando. La opción -q hace que la salida sea más silenciosa al suprimir la información del recuento de paquetes:
sudo tshark -r ipv6_hoplimit.pcapng -z ip6_hop,ipv6 -q

Mostrar detalles con -V

En este paso, exploraremos cómo examinar en profundidad los paquetes IPv6 utilizando el modo detallado (verbose) de Wireshark. La bandera -V es especialmente útil cuando necesitas ver todos los detalles técnicos que componen un paquete de red, capa por capa. Esto ayuda a entender cómo interactúan diferentes protocolos en la comunicación IPv6.

  1. Primero, coloquémonos en el directorio de trabajo correcto. Esto asegura que podamos acceder fácilmente a nuestros archivos de captura:
cd ~/project
  1. Si aún no tienes un archivo de captura, crearemos uno nuevo específicamente para tráfico IPv6. El siguiente comando inicia una captura en vivo:
sudo wireshark -k -f "ip6" -i any -w ipv6_verbose.pcapng

(Deja que la captura se ejecute durante unos 10 - 15 segundos para recopilar suficiente datos, luego deténla manualmente)

  1. Ahora usaremos tshark para examinar en detalle los paquetes capturados. El modo detallado (-V) es lo que nos da la desglose completo:
sudo tshark -r ipv6_verbose.pcapng -V -c 5

Desglosando este comando:

  • -r especifica el archivo de entrada a leer
  • -V activa la salida detallada que muestra todas las capas de protocolo
  • -c 5 limita la salida a 5 paquetes para un análisis inicial más fácil
  1. La salida mostrará varias secciones importantes:
  • Información del marco (mostrando cuándo y cómo se capturó el paquete)
  • Capa Ethernet (direcciones MAC y detalles de la capa de enlace)
  • Especificaciones de IPv6 (incluyendo versión, clase de tráfico y etiquetas de flujo)
  • Protocolos de la capa de transporte (si es TCP, UDP o ICMPv6)
  • Datos de la carga útil real cuando están disponibles
  1. Cuando trabajamos con protocolos específicos, podemos combinar filtros con la salida detallada. Este ejemplo se centra solo en los paquetes ICMPv6:
sudo tshark -r ipv6_verbose.pcapng -Y "icmpv6" -V -c 3
  1. Para la documentación o un análisis posterior, podemos guardar la salida detallada en un archivo de texto. Esto crea un registro permanente de nuestro examen:
sudo tshark -r ipv6_verbose.pcapng -V > ipv6_packet_details.txt

Resumen

En este laboratorio, has aprendido técnicas clave para analizar el tráfico IPv6 utilizando Tshark, la herramienta de línea de comandos de Wireshark. Practicaste la captura de paquetes IPv6 con el filtro -f "ip6" y la monitorización de interfaces utilizando -i any, mientras verificabas los resultados con tráfico de prueba ping6.

Además, exploraste el análisis avanzado de IPv6 aplicando filtros de visualización como -Y "ipv6", examinando los límites de saltos con -z ip6_hop,tree y viendo estructuras detalladas de paquetes utilizando la opción detallada -V. Estas habilidades permiten una inspección y resolución de problemas eficientes del tráfico IPv6 en entornos de red.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante