Cómo crear filtros de captura en Wireshark

Introducción

En el campo de la Ciberseguridad (Cybersecurity), comprender el tráfico de red y analizar los protocolos de red es crucial. Wireshark, un analizador de protocolos de red ampliamente utilizado, ofrece una función poderosa llamada filtros de captura (capture filters) que te permite capturar y analizar selectivamente los datos de red. Este tutorial te guiará a través del proceso de creación y aplicación de filtros de captura en Wireshark, lo que te permitirá mejorar tus habilidades en Ciberseguridad y solucionar eficazmente los problemas relacionados con la red.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/colorizing_rules("Colorizing Rules") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") subgraph Lab Skills wireshark/installation -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} wireshark/interface -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} wireshark/packet_capture -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} wireshark/display_filters -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} wireshark/capture_filters -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} wireshark/colorizing_rules -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} wireshark/protocol_dissection -.-> lab-415621{{"Cómo crear filtros de captura en Wireshark"}} end

Introducción a Wireshark

Wireshark es un potente analizador de protocolos de red que te permite capturar, analizar y solucionar problemas de tráfico de red. Es una herramienta ampliamente utilizada en el campo de la ciberseguridad (cybersecurity) y la administración de redes. Wireshark ofrece una visión integral de la actividad de la red, lo que permite a los usuarios comprender los patrones de comunicación, identificar posibles problemas de seguridad y optimizar el rendimiento de la red.

¿Qué es Wireshark?

Wireshark es una aplicación de software de código abierto que se desarrolló inicialmente en 1998 con el nombre de "Ethereal". Está disponible para varios sistemas operativos, incluyendo Windows, macOS y Linux. Wireshark está diseñado para capturar y analizar el tráfico de red en tiempo real, lo que lo convierte en una herramienta esencial para la resolución de problemas de red, la monitorización de seguridad y el análisis de protocolos.

Características principales de Wireshark

Captura de paquetes (Packet Capture): Wireshark puede capturar el tráfico de red de una variedad de interfaces de red, incluyendo Ethernet cableado, Wi-Fi inalámbrico e incluso interfaces de red virtuales.
Análisis de protocolos (Protocol Analysis): Wireshark admite el análisis de cientos de protocolos de red, lo que permite a los usuarios comprender la comunicación entre los dispositivos de la red.
Filtrado y búsqueda (Filtering and Searching): Wireshark ofrece potentes capacidades de filtrado y búsqueda, lo que permite a los usuarios identificar y analizar rápidamente el tráfico de red específico.
Desglose (Dissection): Wireshark puede desglosar y mostrar la estructura detallada de los paquetes de red, lo que proporciona información sobre los datos que se transmiten.
Generación de informes (Reporting): Wireshark ofrece una variedad de opciones de generación de informes y exportación, lo que permite a los usuarios compartir sus hallazgos y análisis con otros.

Instalación de Wireshark en Ubuntu 22.04

Para instalar Wireshark en Ubuntu 22.04, sigue estos pasos:

Abre la terminal en tu sistema Ubuntu 22.04.
Actualiza el índice de paquetes ejecutando el siguiente comando:
```
sudo apt-get update
```
Instala Wireshark utilizando el siguiente comando:
```
sudo apt-get install wireshark
```
Durante la instalación, se te puede pedir que configures el programa dumpcap. Selecciona "Sí" para permitir que los usuarios no root capturen paquetes.

Una vez completada la instalación, puedes iniciar Wireshark desde el menú de aplicaciones o ejecutando el comando wireshark en la terminal.

Filtros de captura en Wireshark

Los filtros de captura (capture filters) en Wireshark son una función poderosa que te permite capturar selectivamente el tráfico de red basado en criterios específicos. Al aplicar filtros de captura, puedes centrar tu análisis en los datos más relevantes, reduciendo la cantidad de información irrelevante y mejorando la eficiencia de la resolución de problemas de red y la monitorización de seguridad.

Comprender los filtros de captura

Los filtros de captura en Wireshark son expresiones que definen los criterios para capturar paquetes de red. Estos filtros pueden basarse en varios parámetros, como:

Dirección IP de origen o destino
Puerto de origen o destino
Tipo de protocolo (por ejemplo, TCP, UDP, ICMP)
Contenido o patrones específicos de paquetes

Al utilizar filtros de captura, puedes reducir el tráfico capturado a solo los datos que son relevantes para tu análisis, lo que facilita la identificación e investigación de problemas de red o posibles amenazas de seguridad.

Aplicar filtros de captura en Wireshark

Para aplicar un filtro de captura en Wireshark, sigue estos pasos:

Inicia Wireshark en tu sistema Ubuntu 22.04.
En la ventana principal de Wireshark, localiza la barra de "Filtro" en la parte superior.
Haz clic en el campo de expresión de filtro y escribe el filtro de captura deseado.
Presiona el botón "Aplicar" para aplicar el filtro y comenzar a capturar el tráfico que coincide con los criterios especificados.

Aquí tienes un ejemplo de un filtro de captura que capturará solo el tráfico TCP en el puerto 80 (HTTP):

tcp.port == 80

También puedes combinar múltiples criterios utilizando operadores lógicos, como and, or y not. Por ejemplo, para capturar solo el tráfico HTTP de una dirección IP específica:

ip.src == 192.168.1.100 and tcp.port == 80

Sintaxis y ejemplos de filtros de captura

Wireshark utiliza una sintaxis específica para definir los filtros de captura. La sintaxis se basa en el lenguaje Berkeley Packet Filter (BPF), que es un estándar ampliamente utilizado para el filtrado de paquetes de red.

Aquí tienes algunos ejemplos comunes de filtros de captura y su sintaxis correspondiente:

Descripción del filtro	Sintaxis del filtro de captura
Capturar todo el tráfico TCP	`tcp`
Capturar tráfico hacia/desde una dirección IP específica	`ip.addr == 192.168.1.100`
Capturar tráfico en un puerto específico	`tcp.port == 80`
Capturar tráfico entre dos direcciones IP	`ip.addr == 192.168.1.100 and ip.addr == 192.168.1.101`
Capturar tráfico no HTTP	`not tcp.port == 80`
Capturar tráfico ICMP	`icmp`

Recuerda que la sintaxis de los filtros de captura distingue entre mayúsculas y minúsculas, y puedes encontrar más información sobre las opciones de filtro disponibles en la documentación de Wireshark.

Creación y aplicación de filtros de captura

En Wireshark, crear y aplicar filtros de captura (capture filters) es un proceso sencillo que te permite centrar tu análisis en el tráfico de red específico que te interesa. Esta sección te guiará a través de los pasos para crear y aplicar filtros de captura en Wireshark en tu sistema Ubuntu 22.04.

Creación de filtros de captura

Inicia Wireshark en tu sistema Ubuntu 22.04.
En la ventana principal de Wireshark, haz clic en el menú "Captura" (Capture) y selecciona "Filtros de captura" (Capture Filters).
En la ventana "Filtros de captura", haz clic en el botón "+" para crear un nuevo filtro.
Escribe un nombre descriptivo para tu filtro, como "Tráfico HTTP".
En el campo "Filtro", escribe la expresión del filtro de captura que deseas utilizar, por ejemplo, tcp.port == 80 para capturar solo el tráfico HTTP.
Haz clic en "Aceptar" para guardar el filtro.

Aplicación de filtros de captura

En la ventana principal de Wireshark, localiza la barra de "Filtro" en la parte superior.
Haz clic en el campo de expresión de filtro y selecciona el filtro de captura que creaste de la lista desplegable.
Haz clic en el botón "Aplicar" para comenzar a capturar el tráfico que coincide con el filtro seleccionado.

Verificación de filtros de captura

Después de aplicar un filtro de captura, puedes verificar que está funcionando correctamente comprobando la lista de paquetes en la ventana principal de Wireshark. Solo deben mostrarse los paquetes que coincidan con los criterios del filtro.

Si necesitas modificar o eliminar un filtro de captura, puedes hacerlo siguiendo estos pasos:

En la ventana principal de Wireshark, haz clic en el menú "Captura" y selecciona "Filtros de captura".
En la ventana "Filtros de captura", selecciona el filtro que deseas modificar o eliminar.
Haz clic en el botón "Editar" para realizar cambios en el filtro, o en el botón "-" para eliminar el filtro.
Haz clic en "Aceptar" para guardar los cambios o eliminar el filtro.

Al crear y aplicar filtros de captura en Wireshark, puedes optimizar tu análisis y resolución de problemas de red, centrándote en los datos más relevantes y mejorando la eficiencia de tu trabajo.

Resumen

Este tutorial sobre "¿Cómo crear filtros de captura en Wireshark?" ha proporcionado una visión general integral de la función de filtros de captura (capture filters) en Wireshark, una herramienta valiosa para los profesionales de la Ciberseguridad (Cybersecurity). Al aprender cómo crear y aplicar filtros de captura, ahora puedes capturar y analizar selectivamente el tráfico de red, lo que te permite identificar y abordar amenazas de seguridad, optimizar el rendimiento de la red y solucionar problemas relacionados con la red de manera más eficaz.