Wireshark

Wireshark, es una herramienta gratuita para análisis de tráfico, su página Web es:

Logo de Wireshark
https://www.wireshark.org

Su nombre correcto es "Analizador de protocolos" pues está en capacidad de capturara el tráfico qu ecircula por el medio que haga falta, y luego desmenuzarlo bit a bit, para compararlo con todos los encabezados de cada uno de los protocolos que tiene pre cargados, y luego presentarlos de forma gráfica con todo el detalle necesario para su análisis. El tema de "analizadores de protocolos, como se verá unas líneas más abajo, está presentado con todo detalle en nuestro libro Seguridad por Niveles en el capítulo 2, que puedes descargar gratuitamente desde nuestra web DarFe.es, encontrarás desarrollado este tema con el siguiente contenido:

2.2. ¿Cómo se analiza el tráfico?
El análisis de tráfico consiste en “desarmar” cada trama, paquete, segmento, bloque de información (más adelante veremos que cada uno de los conceptos anteriores tiene un significado diferente) y analizarlos “bit” a “bit”. Puede parecernos horroroso y/o inhumano, pero aquí se esconde la razón de ser de la seguridad. Gracias a Dios en la actualidad contamos con muy buenas herramientas que hacen más amigable esta dura tarea.


2.3. ¿Qué es un analizador de protocolos?
Un analizador de protocolos captura conversaciones entre dos o más sistemas o dispositivos. No solamente captura el tráfico, sino que también lo analiza, decodifica e interpreta, brindando una representación de su escucha en lenguaje entendible por medio de la cual, se obtiene la información necesaria para el análisis de una red y las estadísticas que el analizador nos proporciona.
Esencialmente, un analizador de protocolos es una herramienta que provee información acerca del flujo de datos sobre una LAN, mostrando exactamente qué es lo que está sucediendo en ella, detectando anomalías, problemas o simplemente tráfico innecesario. Una vez que un problema es aislado, se pueden analizar las causas que lo producen y tomar las medidas para evitarlo.

Un analizador de protocolos debería proporcionar tres tipos de información sobre una LAN:

  • Estadísticas sobre tráfico de datos, estado de los dispositivos y líneas de errores en la LAN. Esta información ayuda a identificar tramas y condiciones generales que pueden señalar un problema inesperado o causar un bajo rendimiento en la red. Permite también determinar nuevas necesidades de Hardware para segmentar o crear subredes dentro de la LAN como podría ser el empleo de Switch o router y la ubicación y configuración correcta de los mismos.
  • Captura de paquetes y decodificación de los mismos en los distintos protocolos de cada nivel. Debería permitir también el filtrado correspondiente, que posibilite especificar en el mayor grado de detalle lo que se desea estudiar, dejando de lado la información innecesaria. Se suele filtrar por Dirección MAC, IP, Nombre NetBIOS, puertos, tipo de protocolo, secuencias de bit, etc.
  • Representación de información histórica en lapsos diarios, semanales, mensuales o en períodos establecidos por el usuario. Esta información provee una perspectiva histórica para cualquier nuevo problema o indica un problema potencial antes que este suceda.
Las estadísticas de estaciones de trabajo o servidores permiten identificar el tráfico generado por cada uno de ellos y el porcentaje de ancho de banda que consumen. Con esta información se puede determinar cuál es la que hace mayor uso del canal físico y cuáles son los recursos más usados. Por ejemplo si una estación genera un alto porcentaje de tráfico, esto puede estar indicando un fallo en su tarjeta de red, permitiendo tomar las medidas correspondientes, basadas en observaciones reales de la red, y no por prueba y error.

Para avanzar con más detalle en los conceptos de modelo de capas, te recomendamos los siguientes Videos qu eforman parte de un ciclo denominado "Análisis de Tráfico" en el que se desarrolla el empleo de Wireshark:

Análisis de Tráfico - Tema-01: Wireshark - Presentación de la metodología
Análisis de Trafico - Tema-02: Wireshark - Filtros de Captura
Análisis de Trafico - Tema-03: Wireshark - Ajustes de Capturas de Tráfico
Análisis de Tráfico - Tema-05: Wireshark - Filtros de Visualización
Análisis de Tráfico - Tema-04: Wireshark - Seguimiento de flujos
Análisis de Tráfico - Tema-06: telnet un ejemplo de protocolos inseguros

Otros videos sobre Wireshark que también puedes ver en nuestro canal Youtube son:

ejercicio de fragmentación IP empleando HPING3 y Wireshark
TCP/IP usando Wireshark
Seguridad en SS7 empleando Wireshark y Snort (parte 1)
Seguridad en SS7 empleando Wireshark y Snort (parte 2 - nueva versión)
🌐 Aprendiendo Ciberseguridad paso a paso - Charla 34: El nivel de Enlace (WiFi empleando Wireshark)