LabEx
EntrarÚnete

Explora y Personaliza la Interfaz de Wireshark

WiresharkBeginner
Practicar Ahora

Introducción

En este laboratorio, aprenderá sobre la interfaz de Wireshark y sus componentes, que son cruciales para el análisis y la resolución de problemas del tráfico de red. Explorará las diferentes partes de la GUI (interfaz gráfica de usuario) de Wireshark, comprenderá sus funciones y obtendrá experiencia práctica en la personalización de la interfaz.

Al final de este laboratorio, estará familiarizado con el diseño básico de Wireshark y bien preparado para comenzar a analizar el tráfico de red.

Iniciando Wireshark

En este paso, vamos a iniciar Wireshark y a familiarizarte con su interfaz inicial. Wireshark es una herramienta muy útil en el campo del análisis de redes. Es un potente analizador de protocolos de red, lo que significa que puede capturar y examinar el tráfico de datos que fluye a través de tu red. Esto es crucial para comprender cómo se comunican los diferentes dispositivos en tu red, detectar posibles amenazas de seguridad y solucionar problemas de red.

Iniciando Wireshark desde la Terminal

Primero, aprenderemos cómo iniciar Wireshark usando la terminal. La terminal es una interfaz basada en texto que te permite interactuar con tu computadora escribiendo comandos.

  1. Asegúrate de estar en el entorno de escritorio de tu VM (Máquina Virtual) LabEx. La Máquina Virtual (VM) es como una computadora separada que se ejecuta dentro de tu computadora real, y el entorno de escritorio es la interfaz gráfica donde puedes ver iconos y ventanas.
  2. Abre una terminal. Puedes hacer esto de dos maneras. Puedes hacer clic en el icono de la terminal en la barra de tareas, que generalmente se encuentra en la parte inferior o superior de tu pantalla. O, puedes usar un atajo de teclado: presiona Ctrl+Alt+T simultáneamente.
  3. Una vez que la terminal esté abierta, debes escribir un comando para iniciar Wireshark. En la terminal, escribe el siguiente comando y luego presiona Enter:
wireshark

Este comando le dice a la computadora que inicie el programa Wireshark.

  1. Después de presionar Enter, debes esperar unos segundos para que Wireshark se inicie. Una vez que esté listo, deberías ver la ventana principal de Wireshark aparecer en tu pantalla, como se muestra a continuación:
Wireshark Main Window

Comprendiendo la Pantalla Inicial

Cuando Wireshark se abre por primera vez, hay varios elementos importantes en la pantalla que debes conocer.

  • Hay una pantalla de bienvenida que proporciona información básica sobre Wireshark. Esto puede darte una visión general de lo que la herramienta puede hacer.
  • Verás una lista de interfaces de red disponibles. Las interfaces de red son como puertas a través de las cuales tu computadora se conecta a una red. Puedes elegir una de estas interfaces para capturar el tráfico que entra y sale de tu computadora.
  • Podría haber una lista de archivos de captura recientes. Si has usado Wireshark antes y has guardado algunos archivos de captura, puedes abrirlos aquí para revisar el tráfico de red capturado previamente.
  • También hay campos de entrada para filtros de visualización (display filter) y filtros de captura (capture filter). Los filtros se utilizan para centrarse en tipos específicos de tráfico de red. Por ejemplo, puedes usar un filtro para mostrar solo el tráfico de una determinada dirección IP.

Tómate un momento para mirar esta pantalla inicial. Este es el punto de partida donde normalmente seleccionarás una interfaz de red para comenzar a capturar tráfico o abrir un archivo de captura guardado previamente.

Identificando las Áreas Principales de la Interfaz

Incluso antes de comenzar a capturar tráfico de red, puedes identificar las áreas principales de la interfaz de Wireshark. Estas áreas son importantes porque proporcionan diferentes funciones y controles para usar Wireshark de manera efectiva.

  • En la parte superior de la ventana, está la Barra de Menú (Menu Bar). Contiene opciones como Archivo, Editar, Ver, etc. Puedes usar estas opciones para realizar varias acciones, como guardar un archivo de captura, cambiar la configuración de visualización o editar las preferencias.
  • Debajo de la barra de menú, está la Barra de Herramientas (Toolbar). Tiene botones para acciones comunes. Por ejemplo, podría haber un botón para iniciar o detener una captura, o para guardar un archivo rápidamente.
  • La Barra de Filtro (Filter Bar) es donde puedes ingresar filtros de visualización (display filters). Como se mencionó anteriormente, los filtros te ayudan a concentrarte en tipos específicos de tráfico. Puedes escribir una expresión de filtro aquí para mostrar solo el tráfico que cumpla con tus criterios.
  • El área de contenido principal actualmente muestra la pantalla de bienvenida. Más adelante, cuando inicies una captura, esta área mostrará el tráfico de red capturado.
Wireshark Main Window

En el siguiente paso, exploraremos estos componentes con más detalle.

Explorando la Interfaz de Wireshark

En este paso, vamos a echar un vistazo detallado a las diferentes partes de la interfaz de Wireshark. Wireshark es una herramienta poderosa para el análisis del tráfico de red, y comprender sus componentes es esencial para examinar eficazmente los datos de la red. Al familiarizarte con estos elementos, estarás mejor equipado para analizar el tráfico de red y solucionar problemas.

Iniciando una Captura de Muestra

Para facilitar la exploración de la interfaz de Wireshark, comenzaremos capturando algo de tráfico de red de muestra. Aquí te mostramos cómo puedes hacerlo:

  1. Abre la ventana principal de Wireshark. En esta ventana, verás una lista de interfaces de red. Estas interfaces son como puertas a través de las cuales tu computadora se conecta a diferentes redes. Por ejemplo, eth0 podría ser tu conexión de red Ethernet, y lo es la interfaz de bucle invertido (loopback interface). La interfaz de bucle invertido es una interfaz de red especial que permite que una computadora se comunique consigo misma.
loopback interface

  1. Encuentra la interfaz llamada lo en la lista y haz clic en ella. Cuando haces clic en lo, Wireshark comenzará a capturar todo el tráfico de red que pasa por tu interfaz de bucle invertido local. Esta es una excelente manera de comenzar porque es un entorno simple y controlado.

  2. Después de unos segundos, mira la barra de herramientas de Wireshark. Verás un icono de cuadrado rojo, que es el botón Detener (Stop). Haz clic en él para detener la captura de tráfico.

Una vez que hayas detenido la captura, deberías ver una lista de paquetes capturados en la ventana de Wireshark. Estos paquetes nos ayudarán a explorar los diferentes componentes de la interfaz de Wireshark.

Componentes Principales de la Interfaz

La interfaz de Wireshark se divide en varias áreas importantes. Cada área tiene una función específica y proporciona diferentes tipos de información sobre el tráfico de red capturado.

1. Barra de Menú (Menu Bar)

En la parte superior de la ventana de Wireshark, encontrarás la barra de menú. La barra de menú contiene varios menús, cada uno con un conjunto de comandos relacionados. Esto es lo que hace cada menú:

Menu Bar
  • Archivo (File): Este menú se utiliza para operaciones básicas de archivos. Puedes usarlo para abrir archivos de captura existentes, guardar la captura actual o exportar los datos capturados en diferentes formatos.
  • Editar (Edit): El menú Editar tiene comandos para copiar datos de los paquetes capturados, encontrar información específica dentro de los paquetes y establecer tus preferencias personales sobre cómo se comporta Wireshark.
  • Ver (View): Este menú te permite controlar cómo se muestran los paquetes y los elementos de la interfaz. Puedes cambiar el diseño, el tamaño de la fuente y otros aspectos visuales de la ventana de Wireshark.
  • Captura (Capture): El menú Captura proporciona opciones para iniciar, detener y configurar el proceso de captura de tráfico. Puedes establecer filtros, elegir de qué interfaces de red capturar y más.
  • Analizar (Analyze): Este menú contiene herramientas para el análisis en profundidad de los datos de los paquetes. Puedes usar estas herramientas para buscar patrones, detectar anomalías y comprender el comportamiento del tráfico de red.
  • Estadísticas (Statistics): El menú Estadísticas ofrece varias herramientas estadísticas. Estas herramientas pueden ayudarte a comprender las características generales del tráfico capturado, como el número de paquetes enviados y recibidos, la distribución de protocolos y más.
  • Telefonía (Telephony): Si estás trabajando con VoIP (Voz sobre Protocolo de Internet) u otro tráfico de red relacionado con la telefonía, el menú Telefonía tiene herramientas de análisis diseñadas específicamente para estos tipos de protocolos.
  • Inalámbrico (Wireless): Para el análisis de redes inalámbricas, el menú Inalámbrico proporciona herramientas que se adaptan a las características únicas de las redes inalámbricas, como la intensidad de la señal, el uso del canal y más.
  • Ayuda (Help): El menú Ayuda contiene documentación y recursos de asistencia. Si estás atascado o necesitas más información sobre cómo usar una función en particular en Wireshark, aquí es donde puedes encontrar respuestas.

2. Barra de Herramientas (Toolbar)

La barra de herramientas se encuentra justo debajo de la barra de menú. Proporciona acceso rápido a algunas de las funciones más utilizadas en Wireshark.

Cuando mueves el ratón sobre la barra de herramientas, verás una información sobre herramientas (tooltip) con el nombre del botón.

Toolbar

Esto es lo que hace cada grupo de botones en la barra de herramientas:

  • Iniciar/Detener Captura (Start/Stop Capture): Estos botones te permiten iniciar y detener fácilmente el proceso de captura de tráfico sin tener que pasar por el menú Captura.
  • Abrir/Guardar (Open/Save): Los botones Abrir y Guardar son atajos para las operaciones de archivos en el menú Archivo. Puedes usarlos para abrir rápidamente un archivo de captura existente o guardar la captura actual.
  • Zoom (+/-): Las herramientas de Zoom te permiten acercar y alejar la vista de paquetes. Esto es útil cuando deseas observar más de cerca un paquete en particular o ver más paquetes a la vez.
  • Ir A (Go To): Los botones Ir A se utilizan para la navegación. Puedes usarlos para moverte rápidamente entre diferentes paquetes en la lista capturada.
  • Colorear (Colorize): Los controles de Colorear te permiten cambiar el color de los paquetes en la lista de paquetes. La coloración puede ayudarte a identificar rápidamente diferentes tipos de paquetes según sus características.

3. Panel de Lista de Paquetes (Packet List Pane)

El Panel de Lista de Paquetes es una de las partes más importantes de la interfaz de Wireshark. Muestra una lista de todos los paquetes capturados, junto con información resumida importante sobre cada paquete. Esto es lo que significa cada columna en el Panel de Lista de Paquetes:

Packet List Pane
  • No.: Este es el número de paquete en la captura. Es un número secuencial que te ayuda a realizar un seguimiento del orden en que se capturaron los paquetes.
  • Tiempo (Time): La columna Tiempo muestra la marca de tiempo (timestamp) de cuándo se capturó el paquete. Esto puede ser útil para comprender el tiempo de los eventos de la red.
  • Fuente (Source): La columna Fuente muestra la dirección IP del dispositivo que envió el paquete. Esto te ayuda a identificar de dónde proviene el tráfico de red.
  • Destino (Destination): La columna Destino muestra la dirección IP del dispositivo al que está destinado el paquete. Te dice a dónde va el tráfico de red.
  • Protocolo (Protocol): La columna Protocolo indica el protocolo de capa superior detectado en el paquete. Por ejemplo, podría ser TCP (Protocolo de Control de Transmisión), UDP (Protocolo de Datagramas de Usuario) o HTTP (Protocolo de Transferencia de Hipertexto).
  • Longitud (Length): La columna Longitud muestra la longitud del paquete en bytes. Esto puede darte una idea del tamaño de los datos que se transmiten.
  • Info: La columna Info proporciona un resumen del contenido del paquete. Te brinda una descripción general rápida de lo que está haciendo el paquete, como una solicitud de una página web o una respuesta de un servidor.

Para ver información más detallada sobre un paquete específico, haz clic en él en el Panel de Lista de Paquetes. Cuando haces esto, los otros paneles en la interfaz de Wireshark se actualizarán para mostrar detalles sobre el paquete seleccionado.

4. Panel de Detalles del Paquete (Packet Details Pane)

El Panel de Detalles del Paquete muestra información detallada sobre el paquete seleccionado en un formato jerárquico. Cuando haces clic en un paquete en el Panel de Lista de Paquetes, este panel mostrará toda la información sobre ese paquete, desglosada por capas de protocolo.

Packet Details Pane
  • El paquete se divide en diferentes capas de protocolo, como la capa Frame, la capa Ethernet, la capa IP, la capa TCP, etc. Cada capa representa una parte diferente del proceso de comunicación de la red.
  • Junto a cada capa, hay una flecha. Puedes hacer clic en esta flecha para expandir o contraer la capa. Cuando expandes una capa, verás todos los campos y valores dentro de esa capa, que proporcionan información específica sobre el paquete.

Intenta hacer clic en las flechas junto a las diferentes capas de protocolo para ver cómo puedes profundizar en los detalles específicos de un paquete. Esta es una excelente manera de comprender cómo funcionan los protocolos de red y cómo se transmiten los datos a través de la red.

5. Panel de Bytes del Paquete (Packet Bytes Pane)

El Panel de Bytes del Paquete muestra los bytes sin procesar (raw bytes) del paquete seleccionado en formato hexadecimal y ASCII. Este panel te brinda una vista de bajo nivel de los datos del paquete.

Packet Bytes Pane
  • La columna izquierda en el Panel de Bytes del Paquete muestra el desplazamiento (offset), que es la posición de cada byte en el paquete.
  • Las columnas centrales muestran los valores hexadecimales de los bytes. Hexadecimal es un sistema de numeración comúnmente utilizado en informática para representar datos binarios de una manera más legible por humanos.
  • La columna derecha muestra la representación ASCII de los bytes. ASCII es un estándar de codificación de caracteres que asigna datos binarios a caracteres.

Cuando seleccionas un campo específico en el Panel de Detalles del Paquete, los bytes correspondientes en el Panel de Bytes del Paquete se resaltarán. Esto te ayuda a ver la relación entre la información del protocolo de alto nivel en el Panel de Detalles del Paquete y los datos binarios sin procesar en el Panel de Bytes del Paquete.

Cambiando el Tamaño de los Paneles (Resizing Panes)

Puedes ajustar el tamaño de cada panel en la interfaz de Wireshark para centrarte en la información que es más importante para tu análisis. Aquí te mostramos cómo puedes hacerlo:

  1. Mueve el cursor al divisor entre dos paneles. Cuando haces esto, el cursor cambiará a un cursor de cambio de tamaño, que parece una flecha de doble punta. Esto indica que ahora puedes cambiar el tamaño de los paneles.

  2. Haz clic y mantén presionado el botón del ratón, luego arrastra el divisor para cambiar el tamaño de los paneles según tu preferencia. Puedes hacer que un panel sea más grande y el otro más pequeño.

  3. Por ejemplo, si deseas ver más paquetes a la vez, puedes hacer que el Panel de Lista de Paquetes sea más grande. Si deseas ver información más detallada sobre un paquete sin tener que desplazarte, puedes hacer que el Panel de Detalles del Paquete sea más grande.

  4. También puedes hacer doble clic en un divisor. Cuando haces esto, Wireshark cambiará automáticamente el tamaño de los paneles a un tamaño predeterminado u óptimo.

La capacidad de cambiar el tamaño de los paneles es muy útil, especialmente cuando estás analizando capturas de red complejas con una gran cantidad de paquetes o información detallada del protocolo. Te permite personalizar la interfaz de Wireshark para que se adapte a tus necesidades específicas de análisis.

Personalizando la Interfaz de Wireshark

En este paso, exploraremos cómo personalizar la interfaz de Wireshark. Personalizar la interfaz es crucial, ya que te permite adaptar Wireshark a tus preferencias personales, haciendo que tus tareas de análisis de red sean más eficientes. Wireshark viene con una amplia gama de opciones de personalización que pueden mejorar enormemente tu flujo de trabajo.

Personalización del Diseño

Wireshark proporciona diferentes opciones de diseño que determinan cómo se organizan los paneles principales. Estos paneles son esenciales ya que muestran diferentes aspectos de los datos de red capturados.

  1. Primero, localiza la barra de menú en la parte superior de la ventana de Wireshark. Haz clic en Editar y luego selecciona Preferencias en el menú desplegable. Esto abrirá la ventana de Preferencias donde puedes realizar varios cambios de configuración.
  2. En la ventana de Preferencias, mira la barra lateral izquierda. Navega a Apariencia y luego haz clic en Diseño. Aquí encontrarás la configuración relacionada con el diseño de la interfaz.
  3. Tienes varias opciones de diseño para elegir:
    • Lista de Paquetes, Detalles de Paquetes y Bytes de Paquetes en una columna (predeterminado): Este es el diseño predeterminado donde toda la información importante se apila en una columna.
    • Lista de Paquetes arriba, Detalles de Paquetes y Bytes de Paquetes en una columna abajo: En este diseño, la Lista de Paquetes está en la parte superior, y los otros dos paneles están debajo de ella en una sola columna.
    • Lista de Paquetes arriba, Detalles de Paquetes y Bytes de Paquetes uno al lado del otro abajo: Aquí, la Lista de Paquetes está en la parte superior, y los paneles de Detalles de Paquetes y Bytes de Paquetes están organizados uno al lado del otro debajo de ella.
    • Diseño personalizado: Esta opción te permite organizar los paneles en una cuadrícula según tus necesidades específicas.
  4. Intenta seleccionar un diseño diferente, por ejemplo, "Lista de Paquetes arriba, Detalles de Paquetes y Bytes de Paquetes uno al lado del otro abajo". Esto puede darte una mejor vista de los datos según tus requisitos de análisis.
  5. Después de seleccionar el diseño, haz clic en Aceptar para aplicar los cambios.
  6. Observa cómo cambia el diseño de la interfaz. Diferentes diseños pueden ser más adecuados para diferentes tareas de análisis o tamaños de pantalla. Por ejemplo, si tienes una pantalla grande, el diseño uno al lado del otro podría ser más conveniente para un análisis detallado.
Wireshark layout options

Personalización de Columnas en la Lista de Paquetes

El Panel de Lista de Paquetes muestra una lista de paquetes capturados. Puedes modificar qué columnas aparecen en este panel para mostrar la información más relevante para tu análisis.

  1. Haz clic derecho en cualquier encabezado de columna en el Panel de Lista de Paquetes. Aparecerá un menú contextual con varias opciones.
  2. En el menú contextual, selecciona Preferencias de Columnas. Esto abrirá una ventana donde puedes administrar las columnas en el Panel de Lista de Paquetes.
  3. En la ventana de Preferencias que se abre:
    • Para agregar una nueva columna: Haz clic en el botón +. Aparecerá un menú desplegable donde puedes seleccionar un tipo de columna. Después de seleccionar el tipo, proporciona un título para la nueva columna.
    • Para eliminar una columna: Selecciona la columna que deseas eliminar de la lista y haz clic en el botón -.
    • Para reordenar columnas: Selecciona una columna y usa los botones de flecha arriba/abajo para moverla hacia arriba o hacia abajo en la lista.
    • Para modificar una columna: Haz doble clic en la columna. Esto te permitirá editar sus propiedades, como el título o el campo que muestra.
  4. Intentemos agregar una nueva columna:
    • Haz clic en el botón +.
    • Para "Tipo de campo", selecciona "Personalizado". Esto te da la flexibilidad de elegir un campo específico para mostrar.
    • Para "Nombre de campo", introduce "ip.src". Esto mostrará las direcciones IP de origen de los paquetes.
    • Para "Título", introduce "IP de Origen". Este será el título de la nueva columna.
    • Haz clic en Aceptar para confirmar la configuración.
  5. Haz clic en Aceptar en la ventana de Preferencias para aplicar tus cambios.
  6. Ahora deberías ver tu nueva columna en el Panel de Lista de Paquetes. Esta nueva columna te ayudará a identificar rápidamente las direcciones IP de origen de los paquetes capturados.
Packet List Column Preferences

Configuración de Reglas de Color

Wireshark utiliza colores para ayudarte a identificar rápidamente diferentes tipos de tráfico. Al personalizar estas reglas de color, puedes hacer que sea aún más fácil distinguir entre varios tipos de paquetes.

  1. Desde la barra de menú, selecciona Ver y luego haz clic en Reglas de Color. Esto abrirá la ventana de Reglas de Color.
  2. En la ventana de Reglas de Color, verás una lista de las reglas de color existentes. Cada regla tiene tres componentes principales:
    • Un nombre: Esta es una etiqueta para la regla, lo que facilita su identificación.
    • Un filtro de visualización: Esto determina a qué paquetes se aplica la regla. Por ejemplo, se puede establecer un filtro para que coincida solo con paquetes de un protocolo determinado.
    • Colores de primer plano y de fondo: Estos son los colores utilizados para resaltar los paquetes coincidentes.
  3. Para agregar una nueva regla de color:
    • Haz clic en el botón +.
    • Introduce un nombre para tu regla, como "Paquetes ICMP". Esto te ayudará a reconocer fácilmente la regla más tarde.
    • Introduce un filtro de visualización, por ejemplo, "icmp". Este filtro asegurará que la regla se aplique solo a los paquetes ICMP.
    • Haz clic en los botones de color de primer plano y de fondo para elegir los colores que deseas usar para resaltar estos paquetes.
    • Haz clic en Aceptar para guardar la nueva regla.
  4. Para cambiar la prioridad de las reglas, selecciona una regla y usa los botones arriba/abajo. Las reglas en la parte superior tienen mayor prioridad que las de abajo. Esto significa que si un paquete coincide con varias reglas, se aplicará la regla con la prioridad más alta.
  5. Haz clic en Aceptar para aplicar tus cambios.
  6. Observa cómo los paquetes que coinciden con tu filtro ahora aparecen con los colores que elegiste. Esto hace que sea mucho más fácil detectar rápidamente tipos específicos de tráfico en los datos capturados.
Wireshark coloring rules setup

Guardar tu Perfil

Después de personalizar Wireshark a tu gusto, puedes guardar tu configuración como un perfil. Los perfiles son útiles porque te permiten cambiar rápidamente entre diferentes configuraciones de interfaz según el tipo de tarea de análisis de red en la que estés trabajando.

  1. Desde la barra de menú, selecciona Editar y luego haz clic en Perfiles de Configuración. Esto abrirá la ventana de Perfiles de Configuración.
  2. En la ventana de Perfiles de Configuración, haz clic en + para crear un nuevo perfil.
  3. Introduce un nombre para tu perfil, como "Mi Perfil Personalizado". Este nombre te ayudará a identificar fácilmente el perfil más tarde. Luego haz clic en Aceptar.
  4. Tu configuración actual ahora se guarda en este perfil. Esto significa que cada vez que selecciones este perfil, Wireshark cargará la configuración que has personalizado.
  5. Puedes cambiar entre diferentes perfiles yendo a Editar > Perfiles de Configuración y seleccionando un perfil de la lista. Por ejemplo, podrías tener un perfil para navegación general y otro para análisis detallado de protocolos.

Restaurar la Configuración Predeterminada

Si deseas volver a la configuración predeterminada de Wireshark después de realizar muchos cambios, la forma correcta es volver al perfil de configuración predeterminado. Este perfil está integrado y conserva la configuración original.

  1. Desde la barra de menú, selecciona Editar y luego haz clic en Perfiles de Configuración. Esto abrirá la ventana de Perfiles de Configuración.
  2. En la lista de perfiles, selecciona el perfil Predeterminado.
  3. Haz clic en Aceptar. Esto restaurará inmediatamente el diseño, las columnas y los colores a su estado predeterminado.

Una forma más rápida de hacer esto es hacer clic derecho en el nombre del perfil en la barra de estado en la parte inferior derecha de la ventana de Wireshark y seleccionar Predeterminado en el menú contextual.

Tu perfil personalizado no se elimina con esta acción. Puedes volver a él en cualquier momento.

Resumen

En este laboratorio, has aprendido sobre la interfaz de Wireshark y sus componentes, que son esenciales para el análisis y la resolución de problemas del tráfico de red. Exploraste el proceso de iniciar Wireshark, te familiarizaste con sus cinco componentes principales y aprendiste cómo iniciar una captura básica y generar tráfico para el análisis.

También dominaste los métodos para navegar por los paquetes capturados, personalizar la interfaz y crear perfiles de configuración. Estas habilidades sientan una base sólida para el análisis avanzado de redes. A medida que avances en ciberseguridad y administración de redes, tu capacidad para usar y personalizar Wireshark será invaluable para la resolución de problemas, el análisis de incidentes y la comprensión de los protocolos de red.

Relacionado Wireshark Cursos
Wireshark para Principiantes

Wireshark para Principiantes

cybersecuritywireshark
Análisis de ciberseguridad con Wireshark y Tshark

Análisis de ciberseguridad con Wireshark y Tshark

cybersecuritywireshark