10 consejos sobre cómo usar Wireshark para analizar paquetes en su red
- 3876
- 336
- Sra. Lorena Sedillo
En cualquier red de interrupciones de paquetes, los paquetes representan unidades de datos que se transmiten entre las computadoras. Es responsabilidad de los ingenieros de redes y administradores de sistemas por igual monitorear e inspeccionar los paquetes para fines de seguridad y resolución de problemas.
Para hacer esto, confían en programas de software llamados analizadores de paquetes de red, con Wireshark Quizás ser el más popular y utilizado debido a su versatilidad y facilidad de uso. En la parte superior de esta, Wireshark le permite no solo monitorear el tráfico en tiempo real, sino también guardarlo en un archivo para una inspección posterior.
Lectura relacionada: Las mejores herramientas de monitoreo de ancho de banda de Linux para analizar el uso de la red
En este artículo, compartiremos 10 consejos sobre cómo usar Wireshark Para analizar paquetes en su red y esperar que cuando llegue a la sección Resumen se sentirá inclinado a agregarlo a sus marcadores.
Instalación de Wireshark en Linux
Instalar Wireshark, Seleccione el instalador adecuado para su sistema operativo/arquitectura de https: // www.Wireshark.org/descargar.html.
En particular, si está utilizando Linux, Wireshark debe estar disponible directamente desde los repositorios de su distribución para una instalación más fácil a su conveniencia. Aunque las versiones pueden diferir, las opciones y los menús deben ser similares, si no son idénticos en cada uno.
------------ En distribuciones basadas en Debian/Ubuntu ------------ $ sudo apt-get install wireshark ------------ En distribuciones basadas en Centos/Rhel ------------ $ sudo yum instalación wireshark ------------ En Fedora 22+ Lanzamientos ------------ $ sudo dnf instalación wireshark
Hay un error conocido en Debian y derivados que pueden evitar enumerar las interfaces de red a menos que use sudo para lanzar Wireshark. Para solucionar esto, siga la respuesta aceptada en esta publicación.
Una vez Wireshark se está ejecutando, puede seleccionar la interfaz de red en la que desea monitorear Captura:
Analizador de redes de Wireshark En este artículo, usaremos eth0, Pero puedes elegir otro si lo deseas. No haga clic en la interfaz todavía, lo haremos más tarde una vez que hayamos revisado algunas opciones de captura.
Configuración de opciones de captura
Las opciones de captura más útiles que consideraremos son:
- Interfaz de red - Como explicamos antes, solo analizaremos los paquetes eth0, ya sea entrante o saliente.
- Filtro de captura - Esta opción nos permite indicar qué tipo de tráfico queremos monitorear por puerto, protocolo o tipo.
Antes de continuar con los consejos, es importante tener en cuenta que algunas organizaciones prohíben el uso de Wireshark En sus redes. Dicho esto, si no está utilizando Wireshark para fines personales, asegúrese de que su organización permita su uso.
Por el momento, simplemente seleccione eth0 Desde la lista desplegable y haga clic Comenzar en el botón. Comenzará a ver que todo el tráfico pase por esa interfaz. No es realmente útil para fines de monitoreo debido a la gran cantidad de paquetes inspeccionados, pero es un comienzo.
Monitorear el tráfico de la interfaz de red En la imagen de arriba, también podemos ver el íconos para enumerar las interfaces disponibles, para detener la captura actual y para Reanudar es (caja roja en el izquierda), y para configurar y editar un filtro (cuadro rojo en el bien). Cuando pasea sobre uno de estos íconos, se mostrará una información sobre herramientas para indicar lo que hace.
Comenzaremos ilustrando las opciones de captura, mientras que los consejos #7 a través de #10 discutirá cómo hacer realmente hacer algo útil con una captura.
Consejo #1 - Inspeccionar el tráfico HTTP
Tipo http en el cuadro de filtro y haga clic Aplicar. Inicie su navegador y vaya a cualquier sitio que desee:
Inspeccionar el tráfico de red HTTP Para comenzar cada consejo posterior, detenga la captura en vivo y edite el filtro de captura.
Consejo #2 - Inspeccione el tráfico HTTP desde una dirección IP dada
En este consejo en particular, prependemos IP == 192.168.0.10 && a la estrofa del filtro para monitorear el tráfico HTTP entre la computadora local y 192.168.0.10:
Inspeccionar el tráfico HTTP en la dirección IP Consejo #3 - Inspeccione el tráfico HTTP a una dirección IP dada
Estrechamente relacionado con #2, En este caso, usaremos IP.DST Como parte del filtro de captura de la siguiente manera:
IP.DST == 192.168.0.10 && http
Monitorear el tráfico de red HTTP a la dirección IP Para combinar consejos #2 y #3, puedes usar IP.addr en la regla del filtro en lugar de IP.SRC o IP.DST.
Consejo #4 - Monitorear el tráfico de la red Apache y MySQL
A veces estará interesado en inspeccionar el tráfico que coincida (o ambas) condiciones. Por ejemplo, para monitorear el tráfico en los puertos TCP 80 (servidor web) y 3306 (Servidor de base de datos MySQL / mariadb), puede usar un O condición en el filtro de captura:
TCP.puerto == 80 || tcp.puerto == 3306
Monitorear el tráfico de Apache y MySQL En consejos #2 y #3, || y la palabra o producir los mismos resultados. Lo mismo con && y la palabra y.
Consejo #5 - Rechazar paquetes a la dirección IP dada
Para excluir paquetes que no coincidan con la regla del filtro, use ! y encerrar la regla entre paréntesis. Por ejemplo, para excluir paquetes originados o dirigidos a una dirección IP dada, puede usar:
!(IP.ADDR == 192.168.0.10)
Consejo #6 - Monitorear el tráfico de la red local (192.168.0.4/24)
La siguiente regla del filtro mostrará solo el tráfico local y excluirá los paquetes que van a venir de Internet:
IP.src == 192.168.0.24/04 y IP.DST == 192.168.0.24/04
Monitorear el tráfico de la red local Consejo #7: monitoree el contenido de una conversación TCP
Para inspeccionar el contenido de un TCP conversación (intercambio de datos), haga clic con el botón derecho en un paquete determinado y elija Seguir TCP arroyo. Una ventana aparecerá con el contenido de la conversación.
Esto incluirá Http encabezados si estamos inspeccionando el tráfico web, y también cualquier credencial de texto sin formato transmitido durante el proceso si es que hay alguna.
Monitorear la conversación TCP Consejo #8 - Editar reglas para colorear
A estas alturas, estoy seguro de que ya notaste que cada fila en la ventana de captura está coloreada. Por defecto, Http El tráfico aparece en el verde fondo con texto negro, mientras que suma de verificación Los errores se muestran en rojo texto con fondo negro.
Si desea cambiar esta configuración, haga clic en el Editar icono de reglas para colorear, elija un filtro dado y haga clic en Editar.
Personalizar la salida de Wireshark en colores Consejo #9 - Guarde la captura en un archivo
Guardar el contenido de la captura nos permitirá poder inspeccionarlo con mayor detalle. Para hacer esto, ir a Archivo → Exportar y elija un formato de exportación de la lista:
Guardar la captura de Wireshark en el archivo Consejo #10 - Practique con muestras de captura
Si crees que tu red es "aburrido", Wireshark proporciona una serie de archivos de captura de muestra que puede usar para practicar y aprender. Puede descargar estas muestras de la muestra e importarlas a través del Archivo → Importar menú.
Resumen
Wireshark es software gratuito y de código abierto, como puede ver en la sección de preguntas frecuentes del sitio web oficial. Puede configurar un filtro de captura antes o después de comenzar una inspección.
En caso de que no se haya dado cuenta, el filtro tiene una función de autocompletar que le permite buscar fácilmente las opciones más utilizadas que puede personalizar más adelante. Con eso, el cielo es el límite!
Como siempre, no dude en enviarnos una línea utilizando el formulario de comentarios a continuación si tiene alguna pregunta u observación sobre este artículo.
- « Cómo instalar la herramienta de monitoreo de Zabbix en Debian 11/10
- Cómo actualizar de Debian 10 a Debian 11 »