Wireshark é unha aplicación gratuíta que permite capturar e ver os datos que viaxan cara atrás e cara atrás na súa rede, proporcionando a capacidade de borrar e ler os contidos de cada paquete, filtrados para atender ás súas necesidades específicas. Utilízase habitualmente para solucionar problemas de rede e para desenvolver e probar software. Este analizador de protocolo de código aberto é amplamente aceptado como o estándar da industria, gañando a súa cota xusta de premios ao longo dos anos.
Orixinalmente coñecido como Ethereal, Wireshark presenta unha interface amigable que pode amosar datos de centos de protocolos diferentes en todos os principais tipos de rede. Estes paquetes de datos pódense ver en tempo real ou analizados fóra de liña, con decenas de formatos de ficheiros de captura / rastreo compatibles, incluíndo CAP e ERF . As ferramentas de descifrado integradas permítenlle ver paquetes cifrados para varios protocolos populares como WEP e WPA / WPA2 .
01 de 07
Descarga e instalación de Wireshark
Wireshark pode descargarse sen ningún custo desde o sitio web da Fundación Wireshark tanto para MacOS como para sistemas operativos Windows. A menos que sexa un usuario avanzado, recoméndase que descargue a última versión estable. Durante o proceso de configuración (só para Windows) debería optar por instalar WinPcap se se lle solicita, xa que inclúe unha biblioteca necesaria para a captura de datos en directo.
A aplicación tamén está dispoñible para Linux e a maioría das outras plataformas como UNIX, incluíndo Red Hat , Solaris e FreeBSD. Os binarios necesarios para estes sistemas operativos poden atoparse na parte inferior da páxina de descarga na sección Paquetes de terceiros.
Tamén podes descargar o código fonte de Wireshark desde esta páxina.
02 de 07
Como capturar paquetes de datos
Cando inicialice Wireshark debería estar visible unha pantalla de benvida similar á que se mostra arriba, que contén unha lista de conexións de rede dispoñibles no seu dispositivo actual. Neste exemplo, verá que se amosan os seguintes tipos de conexión: Conexión de rede Bluetooth , Ethernet , Rede única de host VirtualBox , Wi-Fi . Amosado á dereita de cada un é un gráfico de liña de estilo EKG que representa o tráfico en directo nesa rede respectiva.
Para comezar a capturar os paquetes, primeiro seleccione unha ou máis destas redes premendo na (s) opción (s) e usando as teclas Maiús ou Ctrl se quere gravar datos de varias redes simultaneamente. Unha vez que se selecciona un tipo de conexión para fins de captura, o fondo estará sombreado en azul ou gris. Fai clic en Capture desde o menú principal situado cara á parte superior da interface Wireshark. Cando apareza o menú despregable, seleccione a opción Iniciar .
Tamén pode iniciar a captura de paquetes a través dun dos seguintes atallos.
- Teclado: preme Ctrl + E
- Rato: Para comezar a capturar paquetes dunha rede en particular, basta con premer dúas veces no seu nome
- Barra de ferramentas: faga clic no botón azul do tiburón, situado no lado esquerdo da barra de ferramentas Wireshark
O proceso de captura en directo comezará agora, con detalles de paquetes que se amosan na ventá Wireshark mentres se rexistran. Realice unha das accións a continuación para deixar de capturar.
- Teclado: preme Ctrl + E
- Barra de ferramentas: fai clic no botón vermello de parada, situado á beira da aleta de tiburón na barra de ferramentas de Wireshark
03 de 07
Visualización e análise do contido do paquete
Agora que gravou algúns datos de rede é hora de ollar os paquetes capturados. Como se mostra na captura de pantalla anterior, a interface de datos capturada contén tres seccións principais: o panel de lista de paquetes, o panel de detalles de paquetes eo panel de bytes de paquetes.
Lista de paquetes
O panel de lista de paquetes, situado na parte superior da xanela, mostra todos os paquetes atopados no ficheiro de captura activa. Cada paquete ten a súa propia liña eo número correspondente asignado a el, xunto con cada un destes puntos de datos.
- Hora: a marca de tempo de cando se capturou o paquete amósase nesta columna, o formato por defecto é o número de segundos (ou segundos parcial) xa que se creou por primeira vez este ficheiro de captura específico. Para modificar este formato para algo que poida ser un pouco máis útil, como a hora real do día, seleccione a opción de visualización de hora do menú Ver de Wireshark, situado na parte superior da interface principal.
- Fonte: Esta columna contén o enderezo (IP ou outro) onde se orixinou o paquete.
- Destino: esta columna contén o enderezo ao que se envía o paquete.
- Protocolo: o nome do protocolo do paquete (ou sexa, o TCP) pódese atopar nesta columna.
- Lonxitude: a lonxitude do paquete, en bytes, móstrase nesta columna.
- Información: Aquí amósanse detalles adicionais sobre o paquete. Os contidos desta columna poden variar moito dependendo do contido dos paquetes.
Cando un paquete está seleccionado no panel superior, pode observar que un ou máis símbolos aparecen na primeira columna. Os soportes abertos e / ou pechados, así como unha liña horizontal recta, poden indicar se un paquete ou grupo de paquetes forman parte da mesma conversa de ida e volta na rede. Unha liña horizontal rota significa que un paquete non forma parte da devandita conversa.
Detalles do paquete
O panel de detalles, atopado no medio, presenta os protocolos e os campos de protocolo do paquete seleccionado nun formato plegable. Ademais de expandir cada selección, tamén pode aplicar filtros Wireshark individuais en función de detalles específicos e seguir fluxos de datos en función do tipo de protocolo a través do menú contextual de detalles - accesible premendo co botón dereito do rato sobre o elemento desexado dentro deste panel.
Paquetes de bytes
Na parte inferior está o panel de bytes de paquetes, que mostra os datos en bruto do paquete seleccionado nunha vista hexadecimal. Este vertedoiro hexadecimal contén 16 bytes hexadecimales e 16 bytes ASCII xunto co desprazamento de datos.
Seleccionando unha porción específica destes datos, automáticamente destaca a súa sección correspondente no panel de detalles do paquete e viceversa. Calquera byte que non poida ser impreso represéntase por un período.
Pode optar por mostrar estes datos en formato de bits fronte ao hexadecimal premendo co botón dereito do rato en calquera lugar dentro do panel e seleccionando a opción adecuada desde o menú contextual.
04 de 07
Usando filtros Wireshark
Un dos recursos máis importantes en Wireshark é a súa capacidade de filtrado, especialmente cando se trata de ficheiros de tamaño significativo. Os filtros de captura pódense configurar antes do feito, indicando a Wireshark que só rexistre aqueles paquetes que cumpran os criterios especificados.
Os filtros tamén se poden aplicar a un ficheiro de captura xa creado para que só se mostren certos paquetes. Estes refírense como filtros de visualización.
Wireshark proporciona unha gran cantidade de filtros predefinidos por defecto, permitíndolle reducir o número de paquetes visibles con só algunhas teclas ou clics do rato. Para usar un destes filtros existentes, coloque o seu nome no campo Aplicar un filtro de visualización (situado directamente debaixo da barra de ferramentas Wireshark) ou no campo Introducir un filtro de captura (situado no centro da pantalla de benvida).
Existen varias formas de conseguir isto. Se xa sabe o nome do seu filtro, simplemente escríbeo no campo axeitado. Por exemplo, se só quixese mostrar paquetes TCP escrebería tcp . A función de autocompletado de Wireshark mostrará nomes suxeridos ao comezar a escribir, polo que é máis doado atopar o indicador correcto para o filtro que busca.
Outra forma de elixir un filtro é facer clic no ícono de marcadores situado no lado esquerdo do campo de entrada. Isto presentará un menú que contén algúns dos filtros máis utilizados e unha opción para xestionar filtros de captura ou Xestionar filtros de visualización . Se escolle xestionar calquera tipo, aparecerá unha interface que lle permitirá engadir, eliminar ou editar filtros.
Tamén pode acceder a filtros previamente empregados seleccionando a frecha cara a abaixo situada no lado dereito do campo de entrada, que mostra a lista despregábel do historial.
Unha vez configurado, os filtros de captura aplicaranse así que comece a gravar o tráfico da rede. Para aplicar un filtro de visualización, con todo, necesitará facer clic no botón da frecha dereita situado no lado dereito de riba do campo de entrada.
05 de 07
Regras para colorear
Aínda que os filtros de captura e visualización de Wireshark permiten limitar os paquetes que se gravan ou mostran na pantalla, a súa funcionalidade de coloración leva un paso máis alá, facendo que sexa fácil distinguir entre diferentes tipos de paquetes en función do seu matiz individual. Esta característica útil permítelle atopar rapidamente algúns paquetes dentro dun conxunto gardado polo esquema de cores da súa fila no panel da lista de paquetes.
Wireshark ven con preto de 20 regras de color predeterminadas construídas; cada un que se pode editar, deshabilitar ou eliminar se o desexa. Tamén pode engadir novos filtros a base de sombra a través da interface de regras de color, accesíbel desde o menú Ver . Ademais de definir un nome e un criterio de filtro para cada regra, tamén se lle pedirá que asocie unha cor de fondo e unha cor de texto.
A colorización dos paquetes pódese activar e desactivar a través da opción Colorize Packet List , que tamén se atopa dentro do menú Ver .
06 de 07
Estatísticas
Ademais da información detallada sobre os datos da súa rede que se amosan na xanela principal de Wireshark, hai varias outras métricas útiles dispoñibles a través do menú despregable Estatísticas que se atopa na parte superior da pantalla. Estes inclúen información de tamaño e tempo sobre o propio ficheiro de captura, xunto con decenas de gráficas e gráficos que van desde temas de paquetes de conversas de paquetes para cargar distribución de solicitudes HTTP.
Os filtros de visualización pódense aplicar a moitas destas estatísticas a través das súas interfaces individuais e os resultados poden ser exportados a varios formatos de ficheiro comúns como CSV , XML e TXT.
07 de 07
Características avanzadas
Aínda que cubrimos a maior parte da funcionalidade principal de Wireshark neste artigo, tamén hai unha colección de recursos adicionais dispoñibles nesta poderosa ferramenta que normalmente están reservados para usuarios avanzados. Isto inclúe a capacidade de escribir os teus propios dissectores de protocolo na linguaxe de programación Lua.
Para obter máis información sobre estas funcións avanzadas, consulte a guía oficial do usuario de Wireshark.