5 trucos asesinos para sacar el máximo provecho de Wireshark
Wireshark tiene bastantes trucos en la manga, desde capturar el tráfico remoto hasta crear reglas de firewall basadas en paquetes capturados. Si desea utilizar Wireshark como un profesional, lea algunos consejos más avanzados..
Ya hemos cubierto el uso básico de Wireshark, así que asegúrese de leer nuestro artículo original para una introducción a esta poderosa herramienta de análisis de red..
Resolución de nombres de red
Al capturar paquetes, es posible que le moleste que Wireshark solo muestre las direcciones IP. Puede convertir las direcciones IP en nombres de dominio, pero eso no es muy conveniente.
Wireshark puede resolver automáticamente esta dirección IP para nombres de dominio, aunque esta función no está habilitada de forma predeterminada. Cuando habilite esta opción, verá nombres de dominio en lugar de direcciones IP siempre que sea posible. El inconveniente es que Wireshark tendrá que buscar cada nombre de dominio, contaminando el tráfico capturado con solicitudes DNS adicionales..
Puede habilitar esta configuración abriendo la ventana de preferencias desde Editar -> Preferencias, haciendo clic en el Resolución de nombres panel y haciendo clic en elHabilitar resolución de nombres de red"Casilla de verificación.
Comience a capturar automáticamente
Puede crear un acceso directo especial utilizando los argumentos de la línea de comando de Wirshark si desea comenzar a capturar paquetes sin demora. Necesitará saber el número de la interfaz de red que desea usar, según el orden en que Wireshark muestra las interfaces.
Cree una copia del acceso directo de Wireshark, haga clic con el botón derecho, vaya a la ventana Propiedades y cambie los argumentos de la línea de comando. Añadir -yo # -k hasta el final del atajo, sustituyendo # con el número de la interfaz que desea utilizar. La opción -i especifica la interfaz, mientras que la opción -k le dice a Wireshark que comience a capturar inmediatamente.
Si está utilizando Linux u otro sistema operativo que no sea Windows, simplemente cree un acceso directo con el siguiente comando, o ejecútelo desde una terminal para comenzar a capturar de inmediato:
Wirehark -i # -k
Para obtener más accesos directos de la línea de comandos, consulte la página del manual de Wireshark.
Capturando el tráfico de computadoras remotas
Wireshark captura el tráfico de las interfaces locales de su sistema de forma predeterminada, pero esta no es siempre la ubicación desde la que desea capturar. Por ejemplo, es posible que desee capturar el tráfico de un enrutador, servidor u otra computadora en una ubicación diferente de la red. Aquí es donde entra en juego la función de captura remota de Wireshark. Esta función solo está disponible en Windows en este momento. La documentación oficial de Wireshark recomienda que los usuarios de Linux usen un túnel SSH.
Primero, tendrás que instalar WinPcap en el sistema remoto. WinPcap viene con Wireshark, por lo que no tiene que instalar WinPCap si ya tiene Wireshark instalado en el sistema remoto.
Una vez que se haya agregado, abra la ventana Servicios en la computadora remota - haga clic en Inicio, escriba servicios.msc en el cuadro de búsqueda en el menú Inicio y presione Entrar. Localiza el Protocolo de captura remota de paquetes Servicio en la lista e iniciarlo. Este servicio está deshabilitado por defecto..
Haga clic en el Opción de capturaEnlace de s en Wireshark, luego seleccione Remoto desde el cuadro de interfaz.
Introduzca la dirección del sistema remoto y 2002 como el puerto. Debe tener acceso al puerto 2002 en el sistema remoto para conectarse, por lo que es posible que deba abrir este puerto en un firewall.
Después de conectarse, puede seleccionar una interfaz en el sistema remoto desde el cuadro desplegable Interfaz. Hacer clic comienzo Después de seleccionar la interfaz para iniciar la captura remota.
Wireshark en una terminal (TShark)
Si no tiene una interfaz gráfica en su sistema, puede usar Wireshark desde una terminal con el comando TShark.
Primero, emita el tshark -D mando. Este comando le dará los números de sus interfaces de red.
Una vez que tengas, ejecuta el tshark -i # comando, reemplazando # con el número de la interfaz que desea capturar en.
TShark actúa como Wireshark, imprimiendo el tráfico que captura al terminal. Utilizar Ctrl-C cuando quieras detener la captura.
Imprimir los paquetes al terminal no es el comportamiento más útil. Si queremos inspeccionar el tráfico con más detalle, podemos hacer que TShark lo descargue en un archivo que podamos inspeccionar más adelante. Use este comando en su lugar para volcar el tráfico a un archivo:
tshark -i # -w nombre de archivo
TShark no te mostrará los paquetes mientras se capturan, pero los contará a medida que los capture. Puedes usar el Expediente -> Abierto Opción en Wireshark para abrir el archivo de captura más tarde.
Para obtener más información sobre las opciones de línea de comandos de TShark, consulte su página de manual.
Creación de reglas ACL de cortafuegos
Si es un administrador de red a cargo de un firewall y está utilizando Wireshark para hurgar, es posible que desee tomar medidas en función del tráfico que vea, tal vez para bloquear un tráfico sospechoso. De Wireshark Reglas ACL del Firewall La herramienta genera los comandos que necesitará para crear reglas de firewall en su firewall..
Primero, seleccione el paquete en el que desea crear una regla de firewall haciendo clic en él. Después de eso, haga clic en Herramientas menú y seleccione Reglas ACL del Firewall.
Utilizar el Producto Menú para seleccionar su tipo de firewall. Wireshark admite Cisco IOS, diferentes tipos de firewalls de Linux, incluyendo iptables y el firewall de Windows.
Puedes usar el Filtrar para crear una regla basada en la dirección MAC del sistema, la dirección IP, el puerto o la dirección IP y el puerto. Es posible que veas menos opciones de filtro, dependiendo de tu producto de firewall.
De forma predeterminada, la herramienta crea una regla que niega el tráfico entrante. Puede modificar el comportamiento de la regla desactivando la Entrante o Negar casillas de verificación Después de haber creado una regla, use la Dupdo para copiarlo, luego ejecútelo en su firewall para aplicar la regla.
¿Quieres que escribamos algo específico sobre Wireshark en el futuro? Háganos saber en los comentarios si tiene alguna petición o ideas.