LabEx
EntrarÚnete

Análisis de Red con Wireshark

WiresharkBeginner
Practicar Ahora

Introducción

En esta práctica de laboratorio, aprenderás técnicas de análisis de red utilizando Wireshark, el analizador de protocolos de red estándar de la industria. Esta potente herramienta te permite examinar el tráfico de red a nivel de paquetes, proporcionando información valiosa para la resolución de problemas y el análisis de seguridad.

Adquirirás habilidades prácticas en la captura, filtrado e interpretación de paquetes de red. A través de ejercicios prácticos, comprenderás cómo se comunican los diferentes protocolos e identificarás posibles problemas de red.

Este es un Laboratorio Guiado, que proporciona instrucciones paso a paso para ayudarte a aprender y practicar. Sigue las instrucciones cuidadosamente para completar cada paso y obtener experiencia práctica. Los datos históricos muestran que este es un laboratorio de nivel principiante con una tasa de finalización del 83%. Ha recibido una tasa de valoraciones positivas del 97% por parte de los alumnos.

Instalación de Wireshark

En este paso, instalaremos Wireshark en nuestro sistema Ubuntu. Wireshark es un analizador de protocolos de red que permite capturar y explorar interactivamente el tráfico de red. Está disponible en los repositorios predeterminados de Ubuntu, lo que hace que el proceso de instalación sea sencillo para principiantes.

  1. Primero, abramos la terminal. En tu escritorio, localiza y abre la Xfce Terminal. La terminal es donde ejecutaremos todos nuestros comandos para instalar y configurar Wireshark.
Apertura de la ventana de Xfce Terminal

Nota: Los usuarios gratuitos no pueden conectarse a Internet, por lo que Wireshark ya está preinstalado en el entorno del laboratorio. Puedes saltar al punto 5 de la lista (verificar si Wireshark está instalado). Actualiza a una cuenta pro para practicar la instalación de Wireshark por ti mismo.

Solo para Usuarios Pro
  1. Antes de instalar cualquier software, es una buena práctica actualizar las listas de paquetes. Esto asegura que estemos instalando la versión más reciente disponible de Wireshark. Ejecuta el siguiente comando:
sudo apt update
  1. Ahora instalaremos Wireshark. La bandera -y responde automáticamente "sí" a cualquier solicitud durante la instalación, haciendo que el proceso sea más fluido:
sudo apt install wireshark -y
  1. Durante la instalación, aparecerá un aviso de seguridad importante sobre permitir que usuarios que no sean superusuarios capturen paquetes. Esta es una elección de configuración clave: seleccionar "Sí" significa que no necesitarás privilegios de root para ejecutar Wireshark, lo cual es más seguro para el uso diario. Usa las teclas de flecha para seleccionar "Sí" y presiona Enter.
Aviso de instalación de Wireshark
  1. Una vez finalizada la instalación, verifiquemos que Wireshark se haya instalado correctamente. La comprobación de la versión confirma que la instalación fue exitosa y muestra qué versión estás ejecutando:
wireshark --version
  1. Para capturar el tráfico de red, necesitamos configurar los permisos adecuados. Esto implica añadir tu usuario al grupo wireshark y configurar Dumpcap (la herramienta de captura de paquetes de Wireshark) con los permisos correctos:

Primero, comprueba si el grupo wireshark existe (debería haberse creado durante la instalación):

getent group wireshark

Si por alguna razón el grupo no existe, créalo con:

sudo groupadd wireshark

Estos comandos configuran Dumpcap para ejecutarse con privilegios elevados mientras mantienen a Wireshark ejecutándose como un usuario normal, una mejor práctica de seguridad:

sudo chgrp wireshark /usr/bin/dumpcap
sudo chmod 4755 /usr/bin/dumpcap
sudo gpasswd -a $USER wireshark

Después de ejecutar estos comandos, deberás cerrar la sesión y volver a entrar para que los cambios de grupo surtan efecto. ¡Has instalado y configurado Wireshark con éxito, y ya estás listo para empezar a analizar el tráfico de red!

Captura de Tráfico de Red

Ahora que tenemos Wireshark instalado, vamos a capturar algo de tráfico de red. Piensa en esto como si estuvieras configurando un micrófono para grabar todas las conversaciones que ocurren en tu red. Cada vez que tu ordenador envía o recibe datos en línea, estos se dividen en pequeñas piezas llamadas paquetes. Wireshark nos permite ver y analizar estos paquetes.

  1. Abre Wireshark escribiendo wireshark en la terminal y presionando Enter. Esto lanzará la interfaz gráfica donde realizaremos nuestra captura de paquetes.

  2. Cuando se abra Wireshark, verás una lista de interfaces de red (las conexiones que tu ordenador utiliza para comunicarse con las redes). Busca una interfaz llamada "eth0" o "eth1"; estas suelen ser tus conexiones Ethernet por cable. Si estás usando WiFi, podrías ver "wlan0" en su lugar.

Selección de interfaz en Wireshark
  1. Haz doble clic en la interfaz activa (la que muestra que el recuento de paquetes aumenta) para comenzar la captura. La ventana principal mostrará ahora un flujo en vivo de paquetes: cada línea representa una conversación de red diferente que está ocurriendo en este momento.
Ventana de captura de paquetes de Wireshark

  1. Vamos a crear una actividad de red sencilla para capturar. Abre una nueva ventana de terminal e introduce:

    curl http://example.com

    Este comando obtiene la página de inicio de example.com, generando paquetes HTTP (tráfico web) que Wireshark puede capturar. Verás aparecer nuevos paquetes en Wireshark inmediatamente después de ejecutar esto.

  2. Después de ver varios paquetes (unos 5-10 segundos son suficientes), haz clic en el botón rojo "Stop" en la parte superior. Esto detiene la captura para que podamos examinar los paquetes sin que lleguen otros nuevos constantemente.

  3. ¡Felicidades! Has capturado tu primer tráfico de red. Cada línea representa un paquete con detalles como direcciones de origen/destino, tipo de protocolo y tiempo. Los tres paneles principales muestran: la lista de paquetes (resumen), los detalles del paquete (desglose técnico) y los datos brutos del paquete (vista hexadecimal).

  4. Para guardar tu trabajo, ve a File > Save y nombra el archivo myfirstcapture.pcapng en /home/labex. El formato .pcapng conserva todos los detalles de los paquetes para futuros análisis.

Guardando el archivo de captura de red

Este proceso básico de captura es la base del análisis de red. En los próximos pasos, aprenderemos a filtrar e interpretar estos paquetes para comprender el comportamiento de la red y solucionar problemas.

Análisis de Datos de Paquetes

Ahora que hemos capturado algo de tráfico de red, vamos a examinarlo paso a paso. Piensa en esto como si estuvieras leyendo una conversación digital: aprenderemos a interpretar el "lenguaje" que los ordenadores utilizan para comunicarse.

  1. Apertura del Archivo de Captura:
    Inicia Wireshark y abre tu archivo de captura guardado (myfirstcapture.pcapng) a través de File > Open o haciendo doble clic en el archivo. Este archivo contiene todo el tráfico de red que grabamos anteriormente, similar a una grabación de llamadas telefónicas.

  2. Comprensión de la Lista de Paquetes:
    El panel superior muestra todos los paquetes capturados en orden cronológico. Cada línea representa un mensaje de red, mostrando:

    • Quién lo envió (Source IP)
    • Quién lo recibió (Destination IP)
    • Qué tipo de comunicación era (Protocol)
    • Un breve resumen (Info)

  3. Examen de los Detalles del Paquete:
    Al hacer clic en cualquier paquete, el panel central revela su estructura interna a través de las capas de protocolos:

    • Frame: Detalles físicos de la red
    • Ethernet: Direccionamiento de hardware
    • IP: Información de enrutamiento de Internet
    • TCP/UDP: Detalles de transporte
    • Application data: Datos de la aplicación (como HTTP)

  4. Filtrado de Tráfico HTTP:
    En la barra de filtros (arriba), escribe http y presiona Enter. Esto aislará el tráfico web, al igual que buscar solo mensajes de texto en un registro telefónico. HTTP es el protocolo que los navegadores web utilizan para comunicarse con los servidores.

Filtro de paquetes HTTP en Wireshark
  1. Identificación de Peticiones Web:
    Busca paquetes con "GET" en la columna Info. Estos representan a tu navegador solicitando páginas web. Haz clic en uno para ver:
    • La URL exacta solicitada
    • Qué sitio web fue contactado
    • Detalles técnicos sobre la petición
Detalles del paquete HTTP GET

  1. Análisis de Cabeceras HTTP:
    Expande la sección "Hypertext Transfer Protocol" para ver:

    • Método de petición (GET/POST)
    • Recurso solicitado (/index.html)
    • Información del navegador
    • Cookies y otros metadatos

  2. Búsqueda de Respuestas del Servidor:
    Busca paquetes "HTTP/1.1 200 OK". Estos muestran entregas exitosas de páginas web. Observa:

    • Códigos de respuesta (200=éxito, 404=no encontrado)
    • Tipo de servidor (Apache/Nginx)
    • Tipo de contenido (HTML, imágenes, etc.)
Paquete de respuesta exitosa del servidor HTTP
  1. Visualización del Contenido Web:
    En las respuestas exitosas, comprueba la sección "Line-based text data" para ver el contenido real de la página web. Esto muestra el código HTML que el servidor envió a tu navegador.

Este análisis revela las conversaciones ocultas que ocurren a través de las redes. Al comprender estos patrones, puedes solucionar problemas, identificar actividades sospechosas y comprender cómo se comunican las aplicaciones.

Uso de Filtros

El verdadero poder de Wireshark reside en su capacidad para filtrar y analizar grandes cantidades de datos de red rápidamente. En este paso, aprenderemos a usar filtros para enfocarnos en tipos específicos de tráfico. Piensa en los filtros como términos de búsqueda que te ayudan a encontrar exactamente lo que buscas en un mar de paquetes de red.

  1. Con tu archivo de captura abierto en Wireshark, comencemos usando algunos filtros de visualización sencillos. La barra de filtros se encuentra justo debajo de la barra de herramientas principal:

    • Para mostrar solo el tráfico TCP (el protocolo de transporte más común), escribe tcp en la barra de filtros y presiona Enter. Esto ocultará todos los paquetes que no sean TCP de la vista.
    • Para mostrar el tráfico hacia o desde una dirección IP específica, escribe ip.addr == 93.184.215.14 (esta es la dirección IP de example.com, pero puedes reemplazarla por cualquier dirección IP que veas en tu captura). El signo de doble igual (==) significa "coincide exactamente".
    Ejemplo de filtro TCP en Wireshark
    • Para mostrar todas las peticiones HTTP GET (el tipo más común de petición web), escribe http.request.method == "GET". Esto te ayuda a ver qué páginas web se están solicitando.

  2. Ahora vamos a crear un filtro más complejo combinando condiciones. Buscaremos todas las peticiones HTTP GET dirigidas específicamente a example.com:

    • En la barra de filtros, introduce: http.request.method == "GET" && http.host contains "example.com"
    • El símbolo && significa "Y" (AND), por lo que ambas condiciones deben ser ciertas.
    • El operador contains nos permite coincidir con cualquier dominio que incluya "example.com".
    Filtro HTTP GET en Wireshark
    • Este filtro muestra todas las peticiones GET a cualquier dominio que contenga "example.com", lo cual es útil para monitorear el tráfico a sitios web específicos.

  3. Dado que es probable que utilices ciertos filtros repetidamente, Wireshark te permite guardarlos. Vamos a guardar nuestro filtro de HTTP GET:

    • Haz clic en el signo más ("+") junto a la barra de filtros. Esto abre la ventana de gestión de filtros.
    • Nombra el filtro como "HTTP GETs" y haz clic en Save. Elige un nombre descriptivo que puedas recordar.
    • Ahora puedes aplicar rápidamente este filtro en cualquier momento seleccionándolo de la lista de Filtros Guardados (el icono de marcador junto a la barra de filtros).

  4. Finalmente, vamos a exportar algunos de nuestros hallazgos para documentación o análisis posterior:

    • Ve a Statistics > HTTP > Requests para ver un resumen de todas las peticiones HTTP.
    • Haz clic en "Save as" para exportar la lista a un archivo.
    • Elige /home/labex como ubicación y guarda el archivo como http_requests.txt.
    Exportación de la lista de peticiones HTTP

El uso de filtros de esta manera te permite cribar rápidamente grandes cantidades de datos de red y centrarte en lo que es importante. Es como tener una lupa superpotente que puede mostrarte instantáneamente tipos específicos de tráfico de red. Dominar los filtros te ahorrará horas al solucionar problemas de red o analizar eventos de seguridad.

Resumen

En esta práctica de laboratorio, has aprendido los fundamentos del análisis de red utilizando Wireshark. Has dominado habilidades esenciales que incluyen la instalación de Wireshark, la captura de tráfico de red, el análisis de datos de paquetes y la aplicación de filtros para aislar tipos de tráfico específicos.

Estas competencias básicas proporcionan una base sólida para la ciberseguridad y la administración de redes. Wireshark sirve como una herramienta poderosa para solucionar problemas de red, monitorear patrones de tráfico e identificar posibles amenazas de seguridad. Continúa practicando para desarrollar aún más tu experiencia en el análisis de redes.

Relacionado Wireshark Cursos
Wireshark para Principiantes

Wireshark para Principiantes

cybersecuritywireshark
Análisis de ciberseguridad con Wireshark y Tshark

Análisis de ciberseguridad con Wireshark y Tshark

cybersecuritywireshark