En este laboratorio, aprenderá cómo capturar y analizar el tráfico de red utilizando Wireshark, un analizador de protocolos de red popular. El análisis del tráfico de red es esencial en ciberseguridad, ya que permite la identificación de posibles amenazas y la monitorización de las actividades de la red.
Al final de este laboratorio, habrá adquirido experiencia práctica en la captura y el análisis de paquetes de red con Wireshark, lo cual es una habilidad valiosa para investigar incidentes de seguridad.
Skills Graph
%%%%{init: {'theme':'neutral'}}%%%%
flowchart RL
wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"])
wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview")
wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture")
wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters")
wireshark/WiresharkGroup -.-> wireshark/colorizing_rules("Colorizing Rules")
wireshark/WiresharkGroup -.-> wireshark/follow_tcp_stream("Follow TCP Stream")
wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets")
wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis")
subgraph Lab Skills
wireshark/interface -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
wireshark/packet_capture -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
wireshark/display_filters -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
wireshark/colorizing_rules -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
wireshark/follow_tcp_stream -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
wireshark/export_packets -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
wireshark/packet_analysis -.-> lab-415956{{"Captura y Analiza el Tráfico de Red con Wireshark"}}
end
Captura de Tráfico de Red
En este paso, aprenderemos cómo iniciar Wireshark, capturar tráfico de red y guardarlo para su análisis. La captura de paquetes de red le permite ver todos los datos que fluyen a través de sus interfaces de red, proporcionando visibilidad de las comunicaciones de la red.
¿Qué es un Paquete de Red?
Antes de comenzar, comprendamos qué es un paquete de red (network packet). Un paquete es una unidad de datos formateada que se transmite a través de una red. Cuando realiza cualquier actividad en Internet (como visitar un sitio web, enviar un correo electrónico o ver un video), los datos se dividen en fragmentos más pequeños o "paquetes" y se envían a través de la red a su destino.
Cada paquete contiene:
Direcciones de origen y destino (similares a las direcciones del remitente y del destinatario en una carta)
Carga útil (payload) (el contenido real de los datos o el mensaje)
Metadatos (metadata) (información sobre cómo manejar el paquete)
Aplicación en el mundo real: En ciberseguridad, comprender la estructura de los paquetes es fundamental para detectar comportamientos sospechosos. Por ejemplo, un paquete con direcciones de origen o puertos de destino inusuales podría indicar que alguien está intentando escanear su red.
Iniciar Wireshark
Primero, abramos Wireshark ejecutando el siguiente comando en la terminal:
wireshark
Después de ejecutar este comando, se abrirá la aplicación Wireshark. Debería ver la interfaz principal de Wireshark que muestra las interfaces de red disponibles.
La salida se verá similar a esto:
Nota para principiantes: Si esta es la primera vez que usa Wireshark, no se preocupe por todas las opciones que ve. Nos centraremos en las funciones esenciales necesarias para la captura y el análisis básicos de paquetes.
Seleccionar una Interfaz de Red
Antes de poder capturar paquetes, debe elegir qué interfaz de red (network interface) monitorear. Cada interfaz representa una conexión de red diferente en su sistema.
En la ventana principal de Wireshark, verá una lista de interfaces de red disponibles. Cada interfaz tiene un pequeño gráfico al lado que muestra la actividad actual.
Para este laboratorio, haga doble clic en la interfaz eth1. Esta es típicamente la interfaz Ethernet principal. Si no ve eth1, seleccione cualquier interfaz que muestre actividad (un gráfico en movimiento).
Consejo: El gráfico al lado de cada interfaz muestra el nivel de actividad de la red en esa interfaz. Elegir una interfaz con más actividad producirá resultados de captura más interesantes.
Qué está sucediendo: Cuando selecciona una interfaz, le está diciendo a Wireshark en qué "tubería de red" escuchar. Diferentes interfaces pueden mostrar diferentes tipos de tráfico; por ejemplo, conexiones Wi-Fi frente a Ethernet.
Comenzar a Capturar Paquetes
Una vez que seleccione una interfaz, Wireshark debería comenzar a capturar paquetes automáticamente. Si no lo hace, puede iniciar la captura manualmente haciendo clic en el icono de aleta de tiburón azul en la barra de herramientas o presionando Ctrl+E.
A medida que se ejecuta la captura, verá que los paquetes aparecen en tiempo real en la ventana principal:
Deje que la captura se ejecute durante aproximadamente 30-60 segundos para recopilar suficiente tráfico de red para el análisis.
Nota de seguridad: Recuerde, Wireshark captura todo el tráfico que fluye a través de la interfaz de red seleccionada. Cuando se usa en un entorno de producción o en una red compartida, asegúrese de tener permiso para realizar dicha supervisión, ya que puede capturar información confidencial.
Qué esperar: Durante la captura, es probable que vea diferentes líneas de colores que aparecen rápidamente en la pantalla. Cada línea representa un paquete, y los colores indican diferentes protocolos (como azul para TCP, verde claro para HTTP).
Comprender la Lista de Paquetes
Mientras captura, observe la lista principal de paquetes en la ventana de Wireshark. Cada línea representa un solo paquete con varias columnas de información:
No.: El número de paquete en esta sesión de captura
Time: Cuándo se capturó el paquete
Source: La dirección IP o el nombre de host del dispositivo que envía
Destination: La dirección IP o el nombre de host del dispositivo que recibe
Protocol: El protocolo de red utilizado (TCP, UDP, HTTP, etc.)
Length: El tamaño del paquete en bytes
Info: Detalles adicionales sobre el paquete
Wireshark usa diferentes colores para resaltar varios protocolos, lo que facilita la identificación de diferentes tipos de tráfico.
Inmersión profunda: La codificación de colores es una característica poderosa de Wireshark. Por ejemplo, el rojo se usa a menudo para indicar errores, el azul claro para el tráfico TCP y el verde claro para el tráfico HTTP. Esta sugerencia visual le ayuda a identificar rápidamente el tráfico que le interesa.
Consejo de clasificación: Puede hacer clic en cualquier encabezado de columna para ordenar la lista de paquetes. Por ejemplo, hacer clic en el encabezado "Protocol" agrupará protocolos similares, lo cual es útil cuando se buscan tipos específicos de tráfico.
Detener la Captura
Después de capturar durante 30-60 segundos, detenga la captura haciendo clic en el icono cuadrado rojo en la barra de herramientas o presionando Ctrl+E nuevamente.
¿Por qué detenerse?: Si bien Wireshark puede capturar paquetes indefinidamente, detenerse después de un período razonable ayuda a mantener el tamaño del archivo manejable y facilita el análisis. Para investigaciones específicas, puede ejecutar capturas durante períodos más largos.
Guardar los Paquetes Capturados
Ahora guardemos el tráfico de red capturado para su análisis posterior:
Haga clic en File en el menú en la parte superior de la ventana de Wireshark
Seleccione Save As
Navegue al directorio /home/labex/project
Ingrese capture.pcapng como el nombre del archivo
Haga clic en el botón Save
El diálogo de guardar se verá así:
El formato de archivo .pcapng es el formato nativo de Wireshark para almacenar capturas de paquetes. Contiene toda la información sobre sus paquetes capturados y se puede volver a abrir en Wireshark para su posterior análisis.
Conocimiento extendido: Wireshark también admite el formato .pcap más antiguo y otros formatos para importar/exportar. El formato .pcapng proporciona más funciones que el formato .pcap más antiguo, como el soporte para múltiples capturas de interfaz y anotaciones de paquetes.
Ahora ha capturado con éxito el tráfico de red y lo ha guardado para su análisis. En el siguiente paso, exploraremos cómo analizar estos datos capturados.
Comprender la Interfaz de Wireshark
Ahora que ha capturado tráfico de red, aprendamos cómo analizarlo utilizando la interfaz de Wireshark. Comprender esta interfaz es esencial para un análisis eficaz del tráfico de red.
El Diseño de la Interfaz de Wireshark
La interfaz de Wireshark se divide en tres paneles principales:
Panel de Lista de Paquetes (Packet List Pane) (superior): Muestra todos los paquetes capturados con información básica
Panel de Detalles del Paquete (Packet Details Pane) (medio): Muestra información detallada sobre el paquete seleccionado
Panel de Bytes del Paquete (Packet Bytes Pane) (inferior): Muestra los datos sin procesar (raw data) del paquete seleccionado en formato hexadecimal y ASCII
Para examinar un paquete en detalle, simplemente haga clic en él en el Panel de Lista de Paquetes. Los detalles de ese paquete aparecerán en los paneles inferiores.
Este diseño de tres paneles le permite ver tanto una visión general de alto nivel como detalles de bajo nivel, lo cual es crucial para un análisis de red completo.
Consejo de personalización: Wireshark le permite personalizar el diseño de la interfaz. Puede cambiar el tamaño de cada panel arrastrando los divisores entre ellos, u ocultar un panel por completo haciendo clic con el botón derecho en un divisor y seleccionando "Hide" (Ocultar). Si accidentalmente oculta un panel, puede restaurarlo a través de View > Panes en el menú.
Navegando por la Interfaz de Wireshark
Para inspeccionar un paquete en detalle:
Haga clic en un paquete en el Panel de Lista de Paquetes
Los detalles de ese paquete aparecerán en los paneles inferiores
Explore el Panel de Detalles del Paquete para ver información estructurada sobre el paquete
Vea el Panel de Bytes del Paquete para comprender la representación hexadecimal y ASCII sin procesar del paquete
Consejo de práctica: Intente seleccionar diferentes paquetes en el Panel de Lista de Paquetes y observe cómo los otros dos paneles se actualizan para mostrar información sobre el paquete seleccionado. Pruebe paquetes con diferentes tipos de protocolo para ver la información variable que contienen.
Comprender el Panel de Detalles del Paquete
El Panel de Detalles del Paquete muestra información en capas del paquete que refleja la pila de protocolos de red (network protocol stack):
Capa de Trama (Frame Layer): Información física sobre la captura del paquete (tiempo de captura, longitud de la trama)
Capa Ethernet: Contiene la dirección MAC y otra información de la capa de enlace (link layer)
Capa de Protocolo de Internet (IP) (Internet Protocol (IP) Layer): Contiene información de la dirección IP
Capa de Transporte (TCP/UDP) (Transport Layer (TCP/UDP)): Contiene números de puerto e información de la sesión
Capa de Aplicación (HTTP, DNS, etc.) (Application Layer (HTTP, DNS, etc.)): Contiene datos específicos de la aplicación
Conocimiento básico: Esta reflexión en capas sigue el modelo OSI (Open Systems Interconnection) o el modelo TCP/IP, que es el modelo estándar para la comunicación de red. Comprender estas capas le ayuda a comprender cómo funciona la comunicación de red.
Visualización: Piense en estas capas como un sobre dentro de un sobre. La capa más externa (Frame) contiene todo. Dentro de eso está la capa Ethernet, luego la capa IP, y así sucesivamente. Cada capa agrega su propia información de direccionamiento y control para garantizar que los datos lleguen a su destino correctamente.
Comprobación de los Detalles del Paquete
Para comprender un paquete específico en profundidad:
Haga clic en un paquete en el Panel de Lista de Paquetes
En el Panel de Detalles del Paquete, expanda las secciones haciendo clic en la flecha (►) junto a cada campo
A medida que selecciona diferentes campos en el Panel de Detalles del Paquete, los bytes correspondientes se resaltarán en el Panel de Bytes del Paquete
Esto le permite inspeccionar cada aspecto de un paquete, desde la trama Ethernet de bajo nivel hasta los datos de la aplicación de alto nivel.
Por ejemplo, si selecciona un paquete HTTP y expande la sección "Hypertext Transfer Protocol", puede ver los detalles de la solicitud o respuesta HTTP:
Método de solicitud (request method) (GET, POST, etc.)
Información del encabezado (header information) (User-Agent, Content-Type, etc.)
Código de estado (status code) y mensaje de respuesta
Ejercicio práctico: Intente encontrar un paquete HTTP y expandir sus detalles. Verifique la URL de la solicitud, el código de estado u otra información interesante del encabezado HTTP. Si no puede encontrar un paquete HTTP, intente abrir un sitio web en la red para generar algo de tráfico HTTP.
Consejo para la resolución de problemas: Al investigar problemas de red, preste especial atención a los campos resaltados en rojo o que contengan palabras como "error", "warning" o "malformed". Estos a menudo indican posibles problemas que podrían estar causando problemas de red.
Uso de las Herramientas de Navegación de Wireshark
Wireshark proporciona varias herramientas de navegación útiles para ayudarle a navegar a través de la captura:
Barra de herramientas de filtro (Filter Toolbar): Ubicada en la parte superior de la ventana principal, lo que le permite filtrar los paquetes mostrados
Herramientas de zoom (Zoom Tools): Le permiten acercar o alejar la vista del eje de tiempo
Codificación de colores (Color Coding): Diferentes tipos de paquetes usan diferentes colores, lo que facilita la identificación visual
Función de búsqueda (Find Feature) (Ctrl+F): Le permite buscar información específica dentro del contenido del paquete
Opciones de visualización de tiempo (Time Display Options): De forma predeterminada, Wireshark muestra el tiempo en relación con el inicio de la captura. Puede cambiar esto haciendo clic con el botón derecho en la columna Time y seleccionando un "Time Display Format" diferente, como la hora absoluta o la fecha y hora.
Atajo de navegación: Presione Ctrl+G para saltar a un número de paquete específico, lo cual es útil cuando se analizan capturas grandes o cuando se siguen referencias a paquetes específicos en la documentación.
Al familiarizarse con estas herramientas, podrá navegar y analizar las capturas de red de manera más eficaz.
Uso de Filtros de Visualización (Display Filters)
Los filtros de visualización (display filters) son una de las características más poderosas de Wireshark, que le permiten concentrarse en tipos específicos de tráfico. Esto hace que el análisis sea más manejable al mostrar solo los paquetes que le interesan.
Por qué los Filtros son Importantes
Imagine tener miles o incluso millones de paquetes en su captura. Encontrar información específica en una cantidad tan grande de datos puede ser muy difícil. Los filtros de visualización le permiten "reducir la búsqueda" a solo los paquetes relevantes para su análisis.
Ejemplo del mundo real: Al solucionar un problema de una aplicación web, es posible que solo le interese el tráfico HTTP a un servidor específico. Usando filtros, puede concentrarse instantáneamente solo en esos paquetes, ignorando el tráfico de red no relacionado.
Aplicación de Filtros Básicos
Para aplicar un filtro, escríbalo en la barra de filtros en la parte superior de la ventana. Por ejemplo, para mostrar solo el tráfico TCP, ingrese:
tcp
Presione Enter o haga clic en el botón de flecha azul para aplicar el filtro.
El resultado mostrará solo paquetes TCP:
Aquí hay algunos otros filtros útiles que puede probar:
http: Muestra solo el tráfico HTTP
dns: Muestra solo el tráfico DNS
ip.addr == 8.8.8.8: Muestra el tráfico hacia o desde la dirección IP 8.8.8.8
tcp.port == 443: Muestra solo el tráfico HTTPS
Para borrar el filtro y ver todos los paquetes nuevamente, haga clic en el botón "X" junto a la barra de filtros.
Ayuda de sintaxis de filtro: La barra de filtros de Wireshark tiene asistencia integrada. A medida que escribe, resaltará la sintaxis en verde si es válida o en rojo si hay un error. También puede presionar Ctrl+Space para obtener sugerencias de autocompletado.
Consejo de historial: Wireshark recuerda sus filtros utilizados anteriormente. Haga clic en la flecha hacia abajo en el lado derecho de la barra de filtros para ver su historial de filtros.
Técnicas Avanzadas de Filtrado
Más allá de los filtros básicos, Wireshark admite expresiones de filtro más complejas:
Operadores de comparación: No solo es igual (==)
tcp.len > 100: Paquetes TCP de más de 100 bytes
frame.time_delta <= 0.1: Paquetes con una diferencia de tiempo ≤ 0.1 segundos del paquete anterior
Condiciones compuestas:
http && !(tcp.port == 80): Tráfico HTTP pero no en el puerto HTTP estándar
(ip.src == 192.168.1.100 && ip.dst == 8.8.8.8) || (ip.src == 8.8.8.8 && ip.dst == 192.168.1.100): Comunicación entre un dispositivo específico y un servidor DNS
Contiene y coincide:
http contains "password": Tráfico HTTP que contiene la cadena "password"
tcp matches "GET [^ ]+ HTTP": Paquetes TCP que coinciden con una expresión regular para las solicitudes GET
Consejo de eficiencia: Dominar las expresiones de filtro puede mejorar drásticamente su eficiencia al analizar el tráfico de red. Considere guardar las expresiones de filtro de uso común para una aplicación rápida.
Uso del Constructor de Expresiones (Expression Builder)
Si no está seguro de la sintaxis exacta del filtro, Wireshark ofrece un constructor de expresiones (Expression builder):
Haga clic en el botón "Expression..." junto a la barra de filtros
Explore la lista de nombres de campo o comience a escribir para buscar
Seleccione un campo, elija una relación (==, >, contains, etc.) e ingrese un valor
Haga clic en "OK" para aplicar el filtro
Esto le ayuda a crear filtros complejos sin necesidad de memorizar la sintaxis exacta.
Uso de Reglas de Coloración (Coloring Rules)
Wireshark usa colores para ayudarle a identificar rápidamente diferentes tipos de tráfico. Para ver las reglas de coloración:
Vaya a View > Coloring Rules en el menú
Se abrirá un diálogo que muestra las reglas de coloración actuales
Las reglas de coloración se aplican en orden de arriba a abajo. La primera regla que coincide con un paquete determina su color. Puede habilitar o deshabilitar reglas marcando o desmarcando las casillas junto a ellas.
Cierre el diálogo Coloring Rules cuando haya terminado de verlas.
Reglas personalizadas: Crear sus propias reglas de color es muy útil para aquellos que realizan con frecuencia tipos específicos de análisis. Por ejemplo, podría crear colores especiales para el tráfico a los servidores internos de su empresa o para aplicaciones específicas de interés.
Color vs. Filtro: Recuerde que las reglas de coloración resaltan los paquetes pero aún muestran todo, mientras que los filtros en realidad eliminan los paquetes que no coinciden de la vista. A menudo, es útil usar la coloración para obtener una visión general, luego aplicar filtros para concentrarse en problemas específicos.
Siguiendo Flujos TCP (TCP Streams)
Una de las características de análisis más poderosas de Wireshark es la capacidad de seguir flujos TCP (TCP streams). Un flujo TCP representa la conversación completa entre dos hosts.
¿Qué es un Flujo TCP?
TCP (Transmission Control Protocol) es uno de los protocolos de comunicación más comunes utilizados en Internet. Proporciona una transferencia de datos confiable y ordenada. Un flujo TCP es la colección de todos los paquetes intercambiados en una sola conexión TCP, que representa la conversación completa entre dos puntos finales (endpoints).
Por ejemplo, cuando su navegador se conecta a un sitio web, establece una conexión TCP, envía solicitudes y recibe respuestas a través de esa conexión. Todo este intercambio constituye un flujo TCP.
Por qué es importante: Las comunicaciones de red a menudo involucran muchos paquetes separados que solo tienen sentido cuando se ven juntos. La función de flujo TCP reconstruye estas comunicaciones fragmentadas en una conversación coherente, lo que facilita mucho la comprensión de lo que está sucediendo a nivel de aplicación.
Siguiendo un Flujo TCP
Para seguir un flujo TCP:
Encuentre un paquete TCP en su captura (puede usar el filtro tcp si es necesario)
Se abrirá una nueva ventana que muestra la conversación completa. El texto en rojo representa los datos enviados desde el cliente al servidor, y el texto en azul representa los datos enviados desde el servidor al cliente.
Comprender los colores: El texto rojo (cliente a servidor) a menudo incluye solicitudes, comandos o datos cargados. El texto azul (servidor a cliente) generalmente incluye respuestas, contenido descargado o mensajes de estado. Esta codificación de colores le ayuda a comprender rápidamente la dirección de la comunicación.
Analizando el Contenido del Flujo TCP
La ventana de flujo TCP proporciona varias opciones útiles para el análisis:
Opciones de visualización de contenido (Content display options) (esquina superior derecha):
ASCII: Muestra el contenido como texto, ideal para HTTP y otros protocolos basados en texto
Hex Dump: Muestra el contenido en hexadecimal y ASCII, útil para flujos que contienen datos binarios
C Arrays: Muestra los datos como matrices del lenguaje de programación C
Raw: Muestra solo los datos sin procesar (raw data)
Probemos el formato YAML para ver los datos en un formato más legible.
Navegación por el flujo (Stream navigation) (menú desplegable):
Si su captura contiene múltiples flujos TCP, puede usar este menú para navegar entre ellos
Los números de flujo comienzan en 0 y aumentan en el orden en que se encontraron
Función de búsqueda:
Use Ctrl+F para buscar dentro del contenido del flujo
Esto ayuda a localizar cadenas o patrones específicos en flujos grandes
Consejo de análisis: Diferentes opciones de visualización pueden revelar diferentes perspectivas. Por ejemplo, cambie a la vista "Hex Dump" para ver tanto los valores hexadecimales a la izquierda como su representación ASCII a la derecha. Esto es útil al analizar protocolos que mezclan texto y datos binarios.
Guardando Flujos TCP
Guardar flujos TCP es valioso para la documentación o el análisis fuera de línea:
Haga clic en el botón Save As (Guardar como) en la ventana de flujo TCP
Navegue al directorio /home/labex/project
Ingrese tcp_stream.txt como nombre de archivo
Haga clic en Save (Guardar)
Este archivo guardado contiene el texto de toda la conversación TCP y se puede revisar más tarde o compartir con otros.
Encontrando Flujos Interesantes
En escenarios del mundo real, las capturas a menudo contienen cientos o miles de diferentes flujos TCP. Para encontrar los interesantes:
Use filtros de visualización (display filters) para reducir el alcance (por ejemplo, http o tcp.port == 3001)
Busque paquetes clave (como inicios de conexión o paquetes que contienen contenido específico)
Use la función "Follow TCP Stream" (Seguir flujo TCP) en esos paquetes
También puede filtrar para un flujo específico una vez que lo haya identificado. En la ventana de flujo TCP, observe el valor del "Stream index" (índice de flujo) (como "TCP Stream: 5"). Puede usar el filtro tcp.stream eq 5 para mostrar solo todos los paquetes de ese flujo específico.
Estrategia de investigación: Al analizar posibles incidentes de seguridad, preste atención a los números de puerto inusuales, las conexiones a direcciones IP inesperadas o las comunicaciones que ocurren en momentos inusuales. Seguir estos flujos a menudo revela actividad maliciosa.
Comprender los Patrones de Comunicación TCP
A medida que examine múltiples flujos TCP, comenzará a reconocer patrones en las comunicaciones TCP:
Handshake de tres vías (Three-way handshake): La secuencia SYN, SYN-ACK, ACK que inicia una conexión
Transferencia de datos (Data transfer): Los principales intercambios de solicitud-respuesta
Cierre de cuatro vías (Four-way closure): Las secuencias FIN y ACK que terminan una conexión
Al examinar estos patrones, puede determinar dónde ocurren los problemas de comunicación, como los establecimientos de conexión fallidos o las terminaciones prematuras.
Herramientas de Análisis Estadístico (Statistical Analysis Tools)
Wireshark ofrece varias herramientas estadísticas para ayudar a analizar su captura. Estas herramientas proporcionan información sobre los patrones generales de la red y pueden ayudar a identificar actividades inusuales.
Por qué es Importante el Análisis Estadístico
Si bien el análisis paquete por paquete es esencial para una investigación profunda, el análisis estadístico le ayuda a:
Identificar los principales patrones de actividad en su red
Descubrir tráfico anómalo o posibles problemas
Comprender el uso de recursos y el rendimiento de la red
Identificar los hosts y servicios más activos
La imagen completa: Piense en el análisis de paquetes como examinar árboles individuales, mientras que el análisis estadístico le brinda una vista de todo el bosque. Ambas perspectivas son necesarias para un análisis completo de la red.
Uso de Herramientas Estadísticas
Para acceder a estas herramientas, explore el menú Statistics (Estadísticas) y pruebe las siguientes opciones:
Jerarquía de Protocolos (Protocol Hierarchy)
La Jerarquía de Protocolos muestra la distribución de protocolos en su captura:
Haga clic en Statistics > Protocol Hierarchy (Estadísticas > Jerarquía de Protocolos)
Se abrirá una ventana que muestra una vista de árbol de todos los protocolos detectados
Los porcentajes indican cuánto de su tráfico usa cada protocolo
Esta vista le ayuda a identificar rápidamente:
Qué protocolos están consumiendo la mayor parte del ancho de banda
Tráfico de red inesperado o potencialmente no deseado
La composición general de su tráfico de red
Consejo de análisis: Las distribuciones de protocolos inusuales podrían indicar problemas de red o problemas de seguridad. Por ejemplo, una cantidad anormalmente alta de tráfico DNS podría sugerir actividad de tunelización DNS o comunicación de malware.
Conversaciones (Conversations)
Las estadísticas de Conversaciones enumeran todas las conexiones entre puntos finales (endpoints):
Haga clic en Statistics > Conversations (Estadísticas > Conversaciones)
Seleccione la pestaña para el nivel de protocolo que desea examinar (Ethernet, IPv4, TCP, etc.)
La lista muestra qué hosts se están comunicando y cuántos datos intercambiaron
Esta herramienta es particularmente útil para:
Identificar qué pares de dispositivos están intercambiando la mayor cantidad de datos
Descubrir comunicaciones inesperadas entre dispositivos
Encontrar posibles conexiones no autorizadas
Función interactiva: Puede hacer clic derecho en cualquier conversación y seleccionar "Apply as Filter" (Aplicar como filtro) para mostrar solo los paquetes que pertenecen a esa conversación. Esto facilita la investigación de comunicaciones específicas.
Puntos Finales (Endpoints)
Las estadísticas de Puntos Finales enumeran todos los dispositivos en su captura:
Haga clic en Statistics > Endpoints (Estadísticas > Puntos Finales)
Seleccione la pestaña para el nivel de protocolo que desea examinar
La lista muestra todos los dispositivos involucrados en el tráfico
Use esta herramienta para:
Identificar los dispositivos más activos en su red
Encontrar dispositivos desconocidos o inesperados
Analizar patrones de tráfico por dirección IP o dirección MAC
Mapeo de red: La herramienta Puntos Finales esencialmente crea un mapa de todos los dispositivos que se comunican en su red. En contextos de seguridad, esto ayuda a identificar dispositivos no autorizados o sistemas no autorizados.
Gráfico de E/S (I/O Graph)
El Gráfico de E/S muestra el volumen de tráfico a lo largo del tiempo:
Haga clic en Statistics > I/O Graph (Estadísticas > Gráfico de E/S)
El gráfico muestra cómo cambia el volumen de tráfico durante la duración de la captura
Puede agregar múltiples gráficos con diferentes filtros para comparar diferentes tipos de tráfico
Esta visualización es excelente para:
Identificar picos de tráfico o patrones inusuales
Correlacionar eventos de red con el tiempo
Comparar diferentes tipos de tráfico durante el mismo período de tiempo
Uso avanzado: Haga clic en el botón "+" para agregar líneas de gráfico adicionales con filtros de visualización específicos. Por ejemplo, podría tener una línea que muestre todo el tráfico, otra que muestre solo el tráfico HTTP y una tercera que muestre el tráfico DNS. Esto facilita la visualización de las relaciones entre diferentes protocolos.
Aplicaciones Prácticas del Análisis Estadístico
Estas herramientas estadísticas son particularmente valiosas en escenarios como:
Solución de problemas de red: Identificar qué aplicaciones o dispositivos están consumiendo un ancho de banda excesivo
Monitoreo de seguridad: Detectar patrones de tráfico inusuales que podrían indicar intrusiones o malware
Línea base de red (Network baseline): Establecer patrones de tráfico normales para ayudar a identificar futuras anomalías
Optimización del rendimiento: Determinar qué protocolos o conexiones están dominando el uso de la red
Características Estadísticas Avanzadas
A medida que se sienta más cómodo con Wireshark, explore estas características estadísticas adicionales:
Tiempo de Respuesta del Servicio (Service Response Time): Mide cuánto tiempo tardan los servicios en responder a las solicitudes
Estadísticas HTTP: Proporciona un desglose detallado del tráfico y el rendimiento HTTP
Estadísticas DNS: Muestra patrones de consulta y respuesta DNS
Información de Expertos (Expert Information): Destaca posibles problemas o anomalías detectadas por Wireshark
Estas estadísticas avanzadas proporcionan información más profunda para tareas de análisis especializadas.
¡Felicitaciones! Ahora ha aprendido los conceptos básicos del análisis del tráfico de red con Wireshark. Estas habilidades forman una base para un análisis de red más avanzado e investigaciones de ciberseguridad.
Resumen
En este laboratorio, ha aprendido las habilidades esenciales para capturar y analizar el tráfico de red utilizando Wireshark. Primero, instaló Wireshark y configuró los permisos necesarios para la captura de paquetes. Luego, capturó tráfico de red en vivo (live network traffic) desde su sistema y lo guardó para su posterior análisis. Finalmente, exploró varias técnicas de análisis, como los filtros de visualización (display filters), las reglas de coloración (coloring rules) y el seguimiento de flujos TCP (following TCP streams).
Las habilidades que ha adquirido son fundamentales para la resolución de problemas de red y las investigaciones de ciberseguridad. El análisis del tráfico de red le permite identificar amenazas de seguridad, solucionar problemas de red y de aplicaciones, comprender las funciones del protocolo en detalle y supervisar el rendimiento de la red. A medida que avance en su viaje de ciberseguridad, puede aprovechar estos conceptos básicos para desarrollar técnicas de análisis de paquetes más avanzadas, incluida la detección de malware, la detección de intrusiones y la informática forense de redes (network forensics).
