LabEx
Iniciar SesiónÚnete Gratis

Exportar Paquetes desde Wireshark

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá cómo exportar paquetes desde Wireshark, un potente analizador de protocolos de red. Exportar paquetes es fundamental para el análisis de redes, la resolución de problemas y las investigaciones de seguridad. También le permite compartir los datos capturados con sus colegas.

A lo largo de este laboratorio, capturará el tráfico de red, aplicará filtros para enfocarse en tipos específicos de comunicación y exportará los datos capturados en varios formatos para un análisis más profundo.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/export_packets("Exporting Packets") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") subgraph Lab Skills wireshark/installation -.-> lab-415945{{"Exportar Paquetes desde Wireshark"}} wireshark/interface -.-> lab-415945{{"Exportar Paquetes desde Wireshark"}} wireshark/packet_capture -.-> lab-415945{{"Exportar Paquetes desde Wireshark"}} wireshark/display_filters -.-> lab-415945{{"Exportar Paquetes desde Wireshark"}} wireshark/export_packets -.-> lab-415945{{"Exportar Paquetes desde Wireshark"}} wireshark/packet_analysis -.-> lab-415945{{"Exportar Paquetes desde Wireshark"}} end

Comprender e Instalar Wireshark

Wireshark es uno de los analizadores de protocolos de red más utilizados en el mundo. En las redes informáticas, la comunicación se produce a través de pequeñas unidades llamadas paquetes. Imagina los paquetes como pequeños sobres que transportan datos a través de la red. Wireshark te permite capturar estos paquetes y analizarlos, lo que te permite ver en detalle lo que está sucediendo en tu red. Es como tener un microscopio para tu red, ayudándote a entender cómo fluyen los datos y si hay algún problema.

Lanzar Wireshark

Primero, necesitamos abrir Wireshark. Para hacer esto, comenzaremos abriendo una ventana de terminal. La terminal es una interfaz basada en texto donde puedes ingresar comandos para interactuar con tu computadora. Puedes abrir una ventana de terminal de dos maneras:

  1. Presiona Ctrl+Alt+T en tu teclado. Esta es una combinación de teclas que abre rápidamente la terminal.
  2. Alternativamente, puedes hacer clic en el icono de la terminal en la barra de tareas. La barra de tareas generalmente se encuentra en la parte inferior o lateral de tu pantalla y contiene iconos de diversas aplicaciones.

Una vez que la terminal esté abierta, usaremos un comando para lanzar Wireshark. En la terminal, escribe el siguiente comando y luego presiona Enter:

wireshark

Cuando ejecutes este comando, se abrirá la aplicación Wireshark. Verás una lista de interfaces de red disponibles. Las interfaces de red son las conexiones que tu computadora utiliza para comunicarse con otros dispositivos en la red, como Wi - Fi o Ethernet.

Interfaz principal de Wireshark

Después de que se abra Wireshark, tómate un momento para explorar la interfaz. Comprender la disposición hará que sea más fácil usar la herramienta más adelante.

  • La sección superior muestra las interfaces de red disponibles. Aquí es donde elegirás a qué conexión de red quieres que Wireshark capture paquetes.
  • La sección central muestra los archivos recientemente abiertos. Si has usado Wireshark antes y has abierto algunos archivos de captura de paquetes, se listarán aquí para un acceso rápido.
  • La sección inferior contiene enlaces y funciones útiles. Estos pueden ayudarte con diversas tareas, como obtener ayuda o acceder a herramientas adicionales.

Comprender la Interfaz de Wireshark

Antes de comenzar a capturar paquetes, es fundamental saber qué hace cada parte de la interfaz de Wireshark. Este conocimiento te ayudará a navegar por la herramienta de manera efectiva y encontrar la información que necesitas.

  • Barra de Menús: Al igual que en otras aplicaciones, la barra de menús contiene los menús típicos de una aplicación, como Archivo, Editar, Ver, etc. Puedes usar estos menús para realizar acciones comunes, como abrir un nuevo archivo, guardar una captura o cambiar la configuración de vista.
  • Barra de Herramientas Principal: La barra de herramientas principal tiene accesos directos a funciones comunes. Estos accesos directos hacen que sea más rápido realizar tareas que usarás con frecuencia, como iniciar o detener una captura de paquetes.
  • Barra de Filtros: La barra de filtros es muy útil. Te permite aplicar filtros de visualización a los paquetes capturados. Esto significa que puedes reducir la cantidad de paquetes que ves en función de ciertos criterios, como la dirección IP de origen o destino.
  • Panel de Lista de Paquetes: Este panel muestra cada paquete capturado en una línea separada. Te da una visión general rápida de todos los paquetes que se han capturado.
  • Panel de Detalles de Paquetes: Cuando seleccionas un paquete en el Panel de Lista de Paquetes, el Panel de Detalles de Paquetes muestra información detallada sobre ese paquete. Esto incluye cosas como el protocolo utilizado, las direcciones de origen y destino y otros datos relevantes.
  • Panel de Bytes de Paquetes: Este panel muestra los bytes sin procesar del paquete seleccionado. Es útil si quieres ver los datos reales que se están transmitiendo en el paquete.

Ahora que comprendes los conceptos básicos de la interfaz de Wireshark, estás listo para comenzar a capturar tráfico de red.

Capturar Tráfico de Red

En este paso, aprenderás cómo capturar paquetes de red, que es la función fundamental de Wireshark. La captura de paquetes es como una herramienta de detective que te permite ver toda la comunicación de red que se produce en tu sistema. Es esencial porque te da una visión clara de qué datos están entrando y saliendo de tu dispositivo, lo cual puede ser crucial para diversos fines, como solucionar problemas de red o analizar posibles amenazas de seguridad.

Iniciar una Captura de Paquetes

  1. En la interfaz principal de Wireshark, notarás una lista de interfaces de red disponibles. Estas interfaces son como diferentes puertas a través de las cuales tu dispositivo puede conectarse a la red. Cada interfaz representa una forma diferente en que tu dispositivo puede enviar y recibir datos, como Wi-Fi, Ethernet o una conexión de red virtual. Busca esta lista para seleccionar la interfaz adecuada para capturar paquetes.

  2. Selecciona la interfaz eth1 haciendo clic en ella. Esta es tu conexión Ethernet principal. Ethernet es una forma común de conectar dispositivos a una red local utilizando un cable físico. Al seleccionar eth1, estás eligiendo capturar el tráfico de red que pasa a través de esta conexión Ethernet específica.

    Seleccionar una interfaz de red

  3. Haz clic en el icono de aleta de tiburón azul en la barra de herramientas para comenzar a capturar paquetes. Este icono es el botón de inicio para la captura de paquetes en Wireshark. Alternativamente, puedes hacer doble clic en la interfaz eth1. Una vez que inicies la captura, Wireshark comenzará a recopilar todos los paquetes de red que pasen a través de la interfaz seleccionada.

  4. Ahora deberías ver paquetes siendo capturados y mostrados en tiempo real. Cada línea representa un solo paquete. Los detalles del paquete incluyen:

    • Número de paquete: Este es un identificador único para cada paquete, que te ayuda a llevar un registro del orden en el que se capturan los paquetes.
    • Tiempo transcurrido desde el inicio de la captura: Muestra cuánto tiempo ha pasado desde que iniciaste la captura de paquetes cuando se capturó este paquete en particular.
    • Dirección de origen: Esta es la dirección del dispositivo que envió el paquete. Te ayuda a identificar de dónde provienen los datos.
    • Dirección de destino: Esta es la dirección del dispositivo para el que está destinado el paquete. Muestra hacia dónde van los datos.
    • Protocolo: El protocolo indica las reglas y estándares utilizados para la comunicación. Por ejemplo, TCP, UDP o HTTP son protocolos comunes.
    • Longitud del paquete: Indica cuántos datos contiene el paquete.
    • Información sobre el paquete: Esto proporciona información más detallada sobre el contenido y el propósito del paquete.

Generar Tráfico de Red

Para ver un tráfico más interesante, generemos algún tráfico HTTP visitando un sitio web. HTTP (Protocolo de Transferencia de Hipertexto) es el protocolo utilizado para transferir páginas web a través de Internet. Al generar tráfico HTTP, podrás ver el intercambio real de datos que ocurre cuando visitas un sitio web.

  1. Mientras mantienes Wireshark en ejecución, abre una nueva terminal presionando Ctrl+Alt+T. La terminal es una interfaz de línea de comandos donde puedes ingresar comandos para interactuar con tu sistema.

  2. Utiliza el comando curl para solicitar una página web:

    curl www.google.com

    El comando curl es una herramienta utilizada para transferir datos desde o hacia un servidor. En este caso, lo estás utilizando para solicitar la página web de Google. Deberías ver el contenido HTML de la página de inicio de Google en la salida de la terminal. Esto muestra que la solicitud fue exitosa y que has recibido los datos del servidor de Google.

  3. Regresa a Wireshark y observa los nuevos paquetes que se capturaron. Deberías ver paquetes DNS, TCP y HTTP relacionados con tu solicitud a Google. DNS (Sistema de Nombres de Dominio) se utiliza para traducir nombres de dominio como www.google.com en direcciones IP. TCP (Protocolo de Control de Transmisión) es responsable de establecer una conexión confiable entre tu dispositivo y el servidor. HTTP se utiliza para transferir los datos reales de la página web.

Detener la Captura y Guardar los Datos

  1. Para detener la captura de paquetes, haz clic en el botón de parada (cuadrado rojo) en la barra de herramientas. Esto detendrá el proceso de recopilación de nuevos paquetes.

  2. Ahora que has capturado algunos paquetes, guárdalos en un archivo:

    • Haz clic en File en la barra de menús. La barra de menús contiene varias opciones para administrar tu sesión de Wireshark, como abrir, guardar y exportar archivos.
    • Selecciona Save As. Esta opción te permite elegir la ubicación y el nombre del archivo donde quieres guardar los paquetes capturados.
    • Navega hasta el directorio /home/labex/project. Esta es la ubicación donde almacenarás los datos de los paquetes capturados.
    • Ingresa capture.pcapng como nombre de archivo. La extensión .pcapng indica que el archivo está en formato PCAPNG, que es un formato estándar para almacenar datos de paquetes de red.
    • Haz clic en Save.
    Guardar paquetes capturados

  3. El archivo se ha guardado. El formato PCAPNG conserva todos los datos de la captura y es el formato predeterminado de Wireshark. Esto significa que todos los detalles sobre los paquetes capturados, como las direcciones de origen y destino, los protocolos y el contenido de los paquetes, se almacenan en el archivo.

Has capturado con éxito el tráfico de red y lo has guardado en un archivo. En el siguiente paso, aprenderás cómo filtrar estos paquetes para centrarte en tipos específicos de tráfico.

Filtrado de Paquetes

En escenarios de red del mundo real, cuando se captura tráfico de red, los archivos de captura pueden ser extremadamente grandes, conteniendo miles o incluso millones de paquetes. Analizar todos estos paquetes a la vez puede resultar abrumador e ineficiente. Aquí es donde entra en juego el filtrado. El filtrado es una técnica crucial que te permite centrarte en tipos específicos de tráfico. Al reducir la cantidad de paquetes que estás analizando, puedes hacer el proceso de análisis mucho más manejable y encontrar la información que necesitas más rápidamente.

Comprender los Filtros de Visualización

Wireshark está equipado con un poderoso lenguaje de filtrado. Este lenguaje te permite mostrar solo los paquetes que cumplen con tus criterios específicos. Aquí hay algunas formas comunes en las que puedes usar los filtros de visualización:

  • Filtrar por protocolo: Puedes mostrar paquetes de un protocolo específico, como HTTP, DNS o TCP. Esto es útil cuando estás interesado en un tipo particular de comunicación de red. Por ejemplo, si estás investigando el tráfico web, es posible que desees centrarte en los paquetes HTTP.
  • Filtrar por dirección IP: Puedes mostrar paquetes que se envían desde o se reciben de direcciones IP específicas. Esto te ayuda a rastrear la comunicación entre dispositivos particulares en la red.
  • Filtrar por contenido: Puedes mostrar paquetes que contienen un contenido específico. Esto es útil cuando estás buscando ciertas palabras clave o datos dentro de los paquetes.
  • Combinar condiciones: Puedes usar operadores lógicos para combinar múltiples condiciones. Esto te permite crear filtros más complejos y precisos.

Aplicar Filtros Básicos

  1. Primero, abre tu archivo de captura en Wireshark. Una vez que el archivo esté abierto, mira la parte superior de la ventana de Wireshark. Verás un campo de texto con fondo azul. Este es el cuadro de filtrado. En el cuadro de filtrado es donde ingresarás tus criterios de filtrado.

    Cuadro de filtrado de Wireshark

  2. Supongamos que deseas filtrar el tráfico HTTP. HTTP es el protocolo utilizado para la comunicación web. Para hacer esto, simplemente escribe lo siguiente en el cuadro de filtrado:

    http

  3. Después de escribir el filtro, tienes dos opciones para aplicarlo. Puedes presionar la tecla Enter en tu teclado o hacer clic en el botón de flecha derecha junto al cuadro de filtrado. Una vez que lo hagas, Wireshark comenzará a aplicar el filtro a la lista de paquetes.

  4. Después de aplicar el filtro, ahora deberías ver solo paquetes HTTP en la lista de paquetes. Sin embargo, si no ves ningún paquete, es posible que tu archivo de captura no contenga tráfico HTTP. En ese caso, puedes probar con el filtro tcp en su lugar. TCP es un protocolo fundamental de la capa de transporte, y usar este filtro mostrará todos los paquetes TCP en el archivo de captura.

  5. Si deseas borrar el filtro y ver todos los paquetes nuevamente, hay dos formas de hacerlo. Puedes hacer clic en el botón "X" en el lado derecho del cuadro de filtrado, o puedes borrar el texto del filtro en el cuadro y luego presionar la tecla Enter.

Usar Filtros Avanzados

Exploremos filtros más específicos para refinar aún más tu análisis de paquetes.

  1. Supongamos que estás interesado solo en las solicitudes HTTP GET. Una solicitud GET es un tipo común de solicitud HTTP utilizada para recuperar datos de un servidor. Para mostrar solo estas solicitudes, ingresa el siguiente filtro en el cuadro de filtrado:

    http.request.method == "GET"

  2. Presiona la tecla Enter para aplicar el filtro. Wireshark buscará entonces en la lista de paquetes y mostrará solo las solicitudes HTTP GET.

    Filtro de solicitudes HTTP GET

  3. Después de aplicar el filtro, si no ves ningún paquete, significa que tu archivo de captura puede no contener ninguna solicitud HTTP GET.

  4. Ahora, probemos otro filtro. Si deseas ver todos los paquetes TCP destinados al puerto 80 (que es el puerto estándar para HTTP), ingresa el siguiente filtro en el cuadro de filtrado:

    tcp.dstport == 80

  5. Presiona la tecla Enter para aplicar este filtro.

  6. Después de aplicar el filtro, ahora deberías ver todos los paquetes TCP que se envían al puerto 80 en la lista de paquetes.

Combinar Filtros

Puedes hacer que tus filtros sean aún más poderosos combinando múltiples filtros utilizando operadores lógicos.

  1. Supongamos que deseas ver paquetes que sean HTTP o DNS. DNS es el protocolo utilizado para traducir nombres de dominio en direcciones IP. Para crear un filtro para esto, ingresa lo siguiente en el cuadro de filtrado:

    http or dns

  2. Presiona la tecla Enter para aplicar el filtro.

  3. Después de aplicar el filtro, ahora deberías ver tanto paquetes HTTP como DNS en la lista de paquetes.

El filtrado es una función poderosa en Wireshark que te permite centrarte en los paquetes que son más relevantes para tu análisis. A medida que adquieras más experiencia con Wireshark, serás capaz de crear filtros más sofisticados adaptados a tus necesidades.

Exportar Paquetes

Después de capturar y filtrar paquetes, es común necesitar exportarlos. Exportar paquetes permite realizar un análisis más profundo, crear documentación o compartir los datos con otras personas. Wireshark ofrece varios formatos de exportación, y cada formato está diseñado para diferentes casos de uso.

Comprender los Formatos de Exportación

Wireshark admite múltiples formatos de exportación. Aquí está una breve explicación de cada uno:

  • PCAP/PCAPNG: Este es el formato nativo de los archivos de captura de paquetes. Conserva todos los datos exactamente como se capturaron, lo que lo hace ideal para almacenar y reutilizar datos de paquetes.
  • CSV (Valores Separados por Comas): Este formato es excelente para importar los datos de paquetes a hojas de cálculo o bases de datos. Organiza los datos en forma tabular, lo que es fácil de analizar utilizando herramientas comunes de análisis de datos.
  • TXT (Texto Plano): Un formato legible por humanos. Es útil para crear documentación ya que presenta la información de los paquetes en una forma de texto simple que cualquiera puede entender.
  • XML: Un formato estructurado. Puede ser fácilmente procesado por scripts u otras herramientas, lo que lo hace adecuado para análisis automatizado.
  • PSML/PDML: Estos son formatos especiales de Wireshark. PSML se utiliza para resúmenes de paquetes, mientras que PDML proporciona información detallada de los paquetes.

Exportar Paquetes Específicos

Comencemos exportando algunos paquetes de tu captura.

  1. Primero, debes borrar cualquier filtro que hayas aplicado. Para hacer esto, haz clic en el botón "X" en el cuadro de filtrado. Cuando borres los filtros, se mostrarán todos los paquetes capturados. Este paso es importante porque te da una vista completa de todos los paquetes que has capturado, lo que te permite seleccionar los que deseas exportar.

    Vista inicial de datos en Wireshark

  2. A continuación, selecciona los paquetes que deseas exportar. Puedes hacer esto haciendo clic en el primer paquete. Luego, mantén presionada la tecla Shift y haz clic en otro paquete. Esto seleccionará todos los paquetes entre ellos. Si deseas seleccionar todos los paquetes, simplemente presiona Ctrl+A.

  3. Una vez que hayas seleccionado los paquetes, haz clic en File en la barra de menú. Luego, selecciona Export Specified Packets.... Esta opción te permite guardar los paquetes seleccionados en un formato específico.

  4. En el cuadro de diálogo de exportación que aparece:

    • Navega hasta el directorio /home/labex/project. Aquí es donde guardarás el archivo exportado.
    • Revisa la lista desplegable "Save as type". Si Wireshark/tcpdump/... - pcap no está ya seleccionado, selecciónalo. El formato PCAP es un formato ampliamente utilizado para datos de paquetes.
    • Ingresa exported.pcap como nombre de archivo. Esto nombrará tu archivo exportado.
    • Si no seleccionaste todos los paquetes, asegúrate de que "Selected packets only" esté seleccionado. Esto garantiza que solo se exporten los paquetes que has elegido.
    • Finalmente, haz clic en Save.
    Cuadro de diálogo de exportación de paquetes

  5. Ahora has exportado con éxito los paquetes seleccionados a un archivo PCAP. Este archivo se puede abrir en cualquier herramienta que admita el formato PCAP, no solo en Wireshark. Esto te da la flexibilidad de utilizar diferentes herramientas para un análisis posterior.

Exportar en Formato CSV

Ahora, exportemos los mismos datos en formato CSV. El formato CSV es muy útil para el análisis en aplicaciones de hojas de cálculo.

  1. Asegúrate de que tus paquetes sigan seleccionados. Si no, presiona Ctrl+A para seleccionar todos los paquetes nuevamente. Luego, haz clic en File en la barra de menú y selecciona Export Packet Dissections.... Esta opción te permite exportar los datos de los paquetes en diferentes formatos.

  2. Haz clic en el botón As CSV.... Esto establecerá el formato de exportación en CSV.

  3. En el cuadro de diálogo de exportación:

    • Navega hasta el directorio /home/labex/project para guardar el archivo.
    • Ingresa exported.csv como nombre de archivo.
    • Haz clic en Save.
    Exportar paquetes como CSV

  4. Ahora has exportado los datos de los paquetes a un archivo CSV. Para ver el contenido de este archivo, puedes utilizar el siguiente comando en una terminal:

    head -n 10 /home/labex/project/exported.csv

    Este comando mostrará las primeras 10 líneas del archivo CSV. Te muestra los encabezados de columna y algunos datos de paquetes, lo que te da una visión rápida de lo que hay en el archivo.

Exportar los Bytes de un Paquete

A veces, es posible que necesites exportar los bytes crudos reales de un paquete. Aquí te mostramos cómo hacerlo:

  1. Selecciona un solo paquete en la lista de paquetes. Este es el paquete cuyos bytes crudos deseas exportar.

  2. Haz clic derecho en el paquete y selecciona Export Packet Bytes.... Esta opción te permite guardar los datos crudos del paquete.

  3. En el cuadro de diálogo de exportación:

    • Navega hasta el directorio /home/labex/project.
    • Ingresa packet_bytes.bin como nombre de archivo.
    • Haz clic en Save.

  4. Ahora has exportado los bytes crudos del paquete seleccionado. Esto puede ser muy útil para un análisis detallado o para extraer archivos que estén incrustados en los paquetes.

Estas opciones de exportación te dan mucha flexibilidad en cómo analizar y compartir tus datos de captura de paquetes. El formato que elijas depende de tus necesidades específicas y de las herramientas que planees utilizar para un análisis posterior.

Resumen

En este laboratorio, has aprendido cómo utilizar Wireshark, un potente analizador de protocolos de red, para capturar, filtrar y exportar paquetes de red. Primero, te familiarizaste con la interfaz de Wireshark y capturaste tráfico de red en vivo. Luego, aprendiste a aplicar filtros para enfocarte en tipos específicos de tráfico, como solicitudes HTTP o comunicaciones TCP. Finalmente, exploraste diferentes formas de exportar paquetes en formatos como PCAP y CSV para un análisis posterior o para compartirlos.

Estas habilidades son esenciales para administradores de red, analistas de seguridad e profesionales de TI. Permiten solucionar problemas de red de manera eficiente, investigar incidentes de seguridad y comprender el comportamiento de la red. Dominar las capacidades de exportación de paquetes de Wireshark proporciona una herramienta valiosa para la ciberseguridad y el análisis de redes, sentando las bases para técnicas más avanzadas aplicables en roles reales de TI y seguridad.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante