2. INTRODUCCIÓN
Wireshark es una herramienta de análisis de protocolos de red que
permite capturar y examinar el tráfico de red en tiempo real. Es una
herramienta muy potente y versátil que se utiliza ampliamente para
la solución de problemas y la optimización de redes.
Una de las características más destacadas de Wireshark es su
capacidad para personalizar la interfaz y la funcionalidad para
adaptarse a las necesidades específicas del usuario. La
personalización en Wireshark se refiere a la capacidad de modificar la
apariencia de la interfaz de usuario, agregar nuevas funcionalidades y
automatizar tareas comunes.
4. ¿QUÉ ES WIRESHARK?
Wireshark es una herramienta
de análisis de redes de código
abierto que permite capturar
y examinar el tráfico de red en
detalle.
5. CAMPOS QUE COMPONEN
UNA REGLA EN WIRESHARK
En Wireshark, una regla se compone
de varios campos que se utilizan para
especificar las condiciones que deben
cumplirse para que un paquete sea
capturado o filtrado.
6. Los campos que componen una regla en Wireshark
son:
Tipo de filtro: indica el tipo de filtro que se está
aplicando. Puede ser un filtro de captura o un filtro
de visualización.
Protocolo: indica el protocolo de red que se está
filtrando. Ejemplos de protocolos incluyen TCP,
UDP, ICMP, entre otros.
Dirección IP: indica la dirección IP de origen o
destino que se está filtrando.
Puerto: indica el número de puerto de origen o
destino que se está filtrando.
7. Operador: indica el operador lógico que se está
utilizando para combinar los diferentes
campos de la regla. Los operadores más
comunes son AND, OR y NOT.
Valor: indica el valor específico que se está
filtrando. Por ejemplo, si se está filtrando por
dirección IP, el valor podría ser la dirección IP
específica que se desea capturar.
8. COMANDOS PARA CREAR REGLAS EN
WIRESHARK
Algunos ejemplos de comandos
para crear reglas en Wireshark
son:
• Filtrar por dirección IP de
origen:ip.src == 192.168.1.1
• Filtrar por dirección IP de
destino:ip.dst == 192.168.1.1
• Filtrar por puerto de
origen:tcp.srcport == 80
• Filtrar por puerto de
destino:tcp.dstport == 80
• Filtrar por protocolo:ip.proto == udp
• Filtrar por dirección IP y
puerto:ip.addr == 192.168.1.1 &&
tcp.port == 80
• Filtrar por tráfico HTTP:http
9. ARCHIVOS QUE SE DEBEN PERSONALIZAR PARA
QUE WIRESHARK FUNCIONE EN CADA
ENTORNO INFORMÁTICO
Para que Wireshark funcione correctamente en cada entorno informático
donde se desee implementar, es necesario personalizar algunos archivos
de configuración.
A continuación se describen los archivos principales que deben ser
personalizados:
10. • Archivo de preferencias de Wireshark: Este archivo se utiliza para
establecer las preferencias de Wireshark, como la apariencia de la
interfaz de usuario, la configuración del tamaño de los buffers de
captura, la configuración de la resolución de nombres DNS, entre
otros.
• Archivos de configuración de interfaces de red: Estos archivos se
utilizan para configurar las interfaces de red que se utilizarán para
capturar el tráfico. En algunos sistemas operativos, estos archivos se
encuentran en /etc/network/interfaces o /etc/sysconfig/network-
scripts/ifcfg-<interface_name>.
11. • Archivos de filtro de captura: Estos archivos se utilizan para
personalizar los filtros de captura que se aplicarán a los paquetes
capturados. Los archivos de filtro de captura son comúnmente
conocidos como archivos "capture filters" y se pueden encontrar en
la carpeta de instalación de Wireshark.
• Archivos de configuración de decodificación: Estos archivos se
utilizan para personalizar la decodificación de los protocolos de red.
Los archivos de configuración de decodificación son comúnmente
conocidos como archivos "dissector" y se pueden encontrar en la
carpeta de instalación de Wireshark.
12. LOGS DE EVENTOS QUE SE DEBEN EVALUAR Y
LAS FORMAS DE VISUALIZARLOS EN WIRESHARK
Los logs de eventos que se deben
evaluar en Wireshark pueden variar
según los objetivos y requisitos
específicos de la red y la aplicación
que se está analizando.
A continuación, se mencionan
algunos de los logs de eventos más
comunes que se pueden evaluar en
Wireshark:
13. Logs de conexión: Estos logs
muestran información sobre las
conexiones de red, como las
direcciones IP de origen y destino, los
puertos de origen y destino, la
duración de la conexión, el protocolo
utilizado, entre otros.
Logs de autenticación: Estos logs
muestran información sobre las
solicitudes y respuestas de
autenticación, como las credenciales
de usuario, los errores de
autenticación, entre otros.
14. Logs de errores de protocolo: Estos
logs muestran información sobre los
errores de protocolo, como los
paquetes descartados o los paquetes
con formato incorrecto.
Logs de ataques: Estos logs muestran
información sobre los intentos de
ataque, como los paquetes maliciosos
o los intentos de explotar
vulnerabilidades.
15. FUNCIONES Y HERRAMIENTAS PARA VISUALIZAR
LOS LOGS DE EVENTOS EN WIRESHARK
La función de filtrado de Wireshark:
Esta función permite filtrar el tráfico
de red capturado según diversos
criterios, como dirección IP, puerto,
protocolo, entre otros. De esta
manera, es posible aislar los paquetes
relacionados con un evento específico
y visualizarlos en detalle.
16. La función de estadísticas de
Wireshark: Esta función permite
generar estadísticas sobre el tráfico
de red capturado, como la cantidad
de paquetes, los protocolos
utilizados, los hosts más activos,
entre otros. Estas estadísticas pueden
ayudar a identificar patrones y
tendencias en el tráfico de red que
puedan estar relacionados con un
evento específico.
17. Las herramientas de gráficos de
Wireshark: Estas herramientas
permiten visualizar el tráfico de red
capturado en forma de gráficos, lo
que puede facilitar la identificación
de patrones y tendencias. Algunas de
las herramientas de gráficos
disponibles en Wireshark incluyen
gráficos de flujo de conversación,
gráficos de secuencia, gráficos de
tiempo de respuesta, entre otros.
18. EVIDENCIA DEL CORRECTO FUNCIONAMIENTO
DE WIRESHARK
Verificación de la captura
de paquetes.
19. EVIDENCIA DEL CORRECTO FUNCIONAMIENTO
DE WIRESHARK
Verificación de los filtros
de captura.
20. EVIDENCIA DEL CORRECTO FUNCIONAMIENTO
DE WIRESHARK
Verificación de la
exportación de datos.
22. Wireshark es una herramienta muy útil y versátil para el análisis de
protocolos de red que permite capturar y examinar el tráfico de red
en tiempo real.
Su capacidad de personalización hace que sea aún más valiosa para
adaptarse a las necesidades específicas de cada usuario y mejorar la
eficiencia en la solución de problemas y la optimización de redes.
Por lo tanto, si se trabaja con redes, Wireshark es una herramienta
esencial para tener en cuenta
23. BIBLIOGRAFÍA
"Wireshark Network Analysis: The Official Wireshark Certified Network Analyst
Study Guide" por Laura Chappell. Este libro es el recurso oficial para la
certificación de Analista de Red Certificado de Wireshark (WCNA) y proporciona
una guía detallada sobre cómo utilizar Wireshark para analizar el tráfico de red.
Puede encontrar más información sobre el libro en el siguiente enlace:
https://www.wiresharktraining.com/book
"Wireshark 101: Essential Skills for Network Analysis" por Laura Chappell. Este
libro es una introducción práctica a Wireshark y está diseñado para ayudar a los
usuarios a desarrollar habilidades básicas de análisis de red. Puede encontrar
más información sobre el libro en el siguiente enlace:
https://www.wiresharktraining.com/book/wireshark-101-essential-skills-for-
network-analysis/