💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí
En el panorama en constante evolución de la Ciberseguridad, comprender y analizar el tráfico de red es fundamental para mantener medidas de seguridad sólidas. Este tutorial lo guiará a través del proceso de aprovechar la interfaz de línea de comandos (CLI) de Wireshark para capturar y analizar el tráfico de red relacionado con la Ciberseguridad, brindándole las habilidades necesarias para mejorar la postura de seguridad de su red.
Wireshark es un potente analizador de protocolos de red que te permite capturar, inspeccionar y analizar el tráfico de red. Es una herramienta ampliamente utilizada en el campo de la ciberseguridad para comprender y solucionar problemas relacionados con la red. Wireshark ofrece una interfaz gráfica de usuario (GUI) para su funcionalidad principal, pero también cuenta con una interfaz de línea de comandos (CLI) conocida como tshark, que te permite realizar análisis de tráfico de red desde la terminal.
tshark es la versión de línea de comandos de Wireshark, que ofrece las mismas capacidades de análisis de red que la versión GUI, pero con una interfaz basada en texto. tshark te permite capturar, filtrar y analizar el tráfico de red directamente desde la terminal, lo que lo convierte en una herramienta valiosa para los profesionales de la ciberseguridad y los administradores de red.
tshark facilita la integración en scripts y flujos de trabajo de automatización, lo que te permite automatizar tareas de análisis de tráfico de red.tshark para capturar y analizar el tráfico de red en sistemas remotos, lo que lo convierte en una herramienta valiosa para la respuesta a incidentes y la resolución de problemas de red.tshark es generalmente más ligero y eficiente en cuanto a recursos que la GUI completa de Wireshark, lo que lo hace adecuado para su uso en sistemas con recursos limitados.tshark te permite centrarte en aspectos específicos del tráfico de red, lo que facilita realizar análisis dirigidos y extraer información relevante.Para instalar tshark en un sistema Ubuntu 22.04, sigue estos pasos:
sudo apt-get updatetshark:sudo apt update
sudo apt-get install tsharktshark:tshark --versionDeberías ver la información de la versión mostrada, lo que indica una instalación exitosa.
tsharkPara capturar tráfico de red utilizando tshark, puedes utilizar el siguiente comando:
tshark -i <interface> -w <output_file.pcap>Aquí, <interface> es la interfaz de red en la que deseas capturar el tráfico, y <output_file.pcap> es el nombre del archivo de salida donde se almacenará el tráfico capturado en formato pcap.
Por ejemplo, para capturar el tráfico en la interfaz eth0 y guardarlo en un archivo llamado network_traffic.pcap, utilizarías el siguiente comando:
tshark -i eth0 -w network_traffic.pcaptshark ofrece un potente conjunto de opciones de filtrado para ayudarte a centrarte en el tráfico específico que te interesa. Puedes utilizar filtros de visualización para filtrar el tráfico capturado en función de varios criterios, como el protocolo, la dirección IP de origen o destino, el número de puerto, etc.
A continuación, se muestra un ejemplo de cómo capturar tráfico y filtrarlo para solicitudes HTTP:
tshark -i eth0 -w http_traffic.pcap -Y "http"La opción -Y se utiliza para especificar el filtro de visualización, en este caso, filtrando por el protocolo HTTP.
También puedes capturar tráfico durante un período de tiempo específico utilizando la opción -a. Por ejemplo, para capturar tráfico durante 60 segundos:
tshark -i eth0 -w network_traffic.pcap -a duration:60Si necesitas capturar tráfico desde múltiples interfaces de red, puedes utilizar la opción -i varias veces:
tshark -i eth0 -i eth1 -w network_traffic.pcapEsto capturará el tráfico de las interfaces eth0 y eth1 y lo guardará en el archivo network_traffic.pcap.
Para capturar todo el tráfico de la red, incluyendo el tráfico no dirigido directamente al dispositivo de captura, puedes utilizar la opción -p para habilitar el modo promiscuo:
tshark -i eth0 -p -w network_traffic.pcapEsto capturará todo el tráfico en la interfaz eth0, independientemente del destino.
tsharkUna vez que hayas capturado el tráfico de red utilizando tshark, puedes analizar los datos para identificar posibles amenazas de seguridad o anomalías. tshark ofrece una amplia gama de opciones y filtros para ayudarte a analizar el tráfico capturado.
Para mostrar los paquetes capturados y sus detalles, puedes utilizar el siguiente comando:
tshark -r network_traffic.pcapEsto mostrará la información de los paquetes, incluyendo el protocolo, las direcciones de origen y destino y otros detalles relevantes.
Puedes filtrar el tráfico capturado en función de protocolos específicos para centrarte en el tráfico relevante para tu análisis de ciberseguridad. Por ejemplo, para mostrar solo el tráfico HTTP:
tshark -r network_traffic.pcap -Y "http"Esto mostrará solo los paquetes que coincidan con el protocolo HTTP.
tshark se puede utilizar para analizar patrones de tráfico e identificar posibles amenazas de seguridad. Por ejemplo, puedes buscar volúmenes de tráfico inusuales, direcciones de origen o destino sospechosas o un uso inusual de protocolos.
A continuación, se muestra un ejemplo de cómo mostrar los principales hablantes (hosts con el mayor volumen de tráfico) en los datos capturados:
tshark -r network_traffic.pcap -q -z conv,ipEsto mostrará una tabla que muestra las principales conversaciones IP, lo que puede ayudarte a identificar los hosts que generan una gran cantidad de tráfico.
tshark también se puede utilizar para detectar anomalías en el tráfico de red, como un uso inusual de protocolos, números de puerto inesperados o direcciones IP sospechosas. Puedes utilizar una combinación de filtros y opciones de visualización para identificar estas anomalías.
Por ejemplo, para detectar una posible actividad de barrido de puertos, puedes buscar un gran número de intentos de conexión a diferentes puertos en el mismo host:
tshark -r network_traffic.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 0" -q -z io,phsEsto mostrará un histograma que muestra la distribución de los paquetes TCP SYN, lo que puede ayudarte a identificar una posible actividad de barrido de puertos.
LabEx, un proveedor líder de soluciones de ciberseguridad, ofrece una variedad de herramientas y servicios para mejorar tus capacidades de análisis de tráfico de red. Al integrar las soluciones de LabEx con tshark, puedes aprovechar características y técnicas avanzadas para mejorar tu postura de ciberseguridad.
Al final de este tutorial, tendrás una sólida comprensión de cómo utilizar la CLI de Wireshark para capturar y analizar el tráfico de red de ciberseguridad. Este conocimiento te permitirá identificar posibles amenazas, investigar incidentes de seguridad y tomar decisiones informadas para fortalecer las defensas de tu red contra ataques de ciberseguridad.
