Wireshark tiene bastantes trucos bajo la manga, desde capturar tráfico remoto hasta crear reglas de firewall basadas en paquetes capturados. Siga leyendo para obtener consejos más avanzados si desea utilizar Wireshark como un profesional.

Ya hemos cubierto el uso básico de Wireshark, por lo que debe leer nuestro artículo original para obtener una introducción a esta poderosa herramienta de análisis de redes.

Resolución de nombre de red

Al capturar paquetes, es posible que le moleste que Wireshark solo muestre direcciones IP. Puede convertir las direcciones IP a nombres de dominio usted mismo, pero eso no es muy conveniente.

Wireshark puede resolver automáticamente estas direcciones IP a nombres de dominio, aunque esta función no está habilitada de forma predeterminada. Cuando habilite esta opción, verá nombres de dominio en lugar de direcciones IP siempre que sea posible. El inconveniente es que Wireshark tendrá que buscar cada nombre de dominio, contaminando el tráfico capturado con solicitudes DNS adicionales.

Puede habilitar esta configuración abriendo la ventana de preferencias desde Editar -> Preferencias , haciendo clic en el panel Resolución de nombre y haciendo clic en la casilla de verificación " Activar resolución de nombre de red ".

Comenzar a capturar automáticamente

Puede crear un atajo especial usando Wirshark argumentos de línea de comandos si desea comenzar a capturar paquetes sin demora. Tendrá que saber el número de la interfaz de red que desea utilizar, según el orden en que Wireshark muestre las interfaces.

Cree una copia del acceso directo de Wireshark, haga clic con el botón derecho, vaya a su ventana Propiedades y cambie el comando argumentos de línea Agregue -i # -k al final del atajo, reemplazando # con el número de la interfaz que desea usar. La opción -i especifica la interfaz, mientras que la opción -k le dice a Wireshark que comience a capturar inmediatamente.

Si está usando Linux u otro sistema operativo que no sea Windows, simplemente cree un acceso directo con el siguiente comando o ejecútelo desde un terminal para comenzar a capturar inmediatamente:

wireshark -i # -k

Para ver más atajos de línea de comandos, consulte la página de manual de Wireshark.

Captura de tráfico de computadoras remotas

Wireshark captura el tráfico del sistema local interfaces de forma predeterminada, pero esta no es siempre la ubicación desde la que desea capturar. Por ejemplo, es posible que desee capturar el tráfico de un enrutador, servidor u otra computadora en una ubicación diferente en la red. Aquí es donde entra en juego la característica de captura remota de Wireshark. Esta característica solo está disponible en Windows en este momento. La documentación oficial de Wireshark recomienda que los usuarios de Linux utilicen un túnel SSH. Primero, tendrás que instalar WinPcap en el sistema remoto. WinPcap viene con Wireshark, por lo que no tiene que instalar WinPCap si ya tiene instalado Wireshark en el sistema remoto.

Una vez que esté protegido, abra la ventana Servicios en la computadora remota: haga clic en Inicio y escriba

servicios. msc en el cuadro de búsqueda en el menú Inicio y presione Entrar. Localice el servicio Protocolo de captura remota de paquetes en la lista e inícielo. Este servicio está deshabilitado por defecto. Haga clic en el enlace

Opción de captura en Wireshark, luego seleccione Remoto en el cuadro Interfaz. Ingrese la dirección del sistema remoto y

2002 como el puerto. Debe tener acceso al puerto 2002 en el sistema remoto para conectarse, por lo que puede necesitar abrir este puerto en un firewall. Después de conectarse, puede seleccionar una interfaz en el sistema remoto desde el cuadro desplegable Interfaz. Haga clic en

Iniciar después de seleccionar la interfaz para iniciar la captura remota. Wireshark en una Terminal (TShark)

Si no tiene una interfaz gráfica en su sistema, puede usar Wireshark desde una terminal con el comando TShark.

Primero, ejecute el comando

tshark -D . Este comando le dará los números de sus interfaces de red. Una vez que tenga, ejecute el comando

tshark -i # , reemplazando # con el número de la interfaz que desea capturar. TShark actúa como Wireshark, imprimiendo el tráfico que captura en la terminal. Utilice

Ctrl-C cuando quiera detener la captura. Imprimir los paquetes en el terminal no es el comportamiento más útil. Si queremos inspeccionar el tráfico con más detalle, podemos hacer que TShark lo descargue en un archivo que podemos inspeccionar más adelante. Use este comando en su lugar para volcar tráfico a un archivo:

tshark -i # -w nombre de archivo

TShark no le mostrará los paquetes mientras se están capturando, pero los contará como los captura. Puede usar la opción

Archivo -> Abrir en Wireshark para abrir el archivo de captura más adelante. Para obtener más información sobre las opciones de línea de comandos de TShark, consulte su página de manual.

Creando Reglas de ACL de Firewall

Si usted es un administrador de red a cargo de un firewall y está usando Wireshark para explorar, es posible que desee tomar medidas en función del tráfico que ve, tal vez para bloquear el tráfico sospechoso. La herramienta

Firewall ACL Rules de Wireshark genera los comandos que necesitará para crear reglas de firewall en su firewall. Primero, seleccione un paquete sobre el que quiera crear una regla de firewall haciendo clic en él. Después de eso, haga clic en el menú

Herramientas y seleccione Reglas de ACL del Firewall . Use el menú

Producto para seleccionar su tipo de firewall. Wireshark es compatible con Cisco IOS, diferentes tipos de firewalls de Linux, incluidos iptables y el firewall de Windows. Puede usar el cuadro

Filtro para crear una regla basada en la dirección MAC, dirección IP, puerto, o tanto la dirección IP como el puerto. Es posible que vea menos opciones de filtro, dependiendo de su producto de firewall. Por defecto, la herramienta crea una regla que niega el tráfico entrante. Puede modificar el comportamiento de la regla desmarcando las casillas de verificación

Entrante o Denegar . Después de crear una regla, use el botón Copiar para copiarla, luego ejecútela en su cortafuegos para aplicar la regla. ¿Desea que escribamos algo específico sobre Wireshark en el futuro? Háganos saber en los comentarios si tiene alguna solicitud o idea.

Cómo proteger sus datos en TrueCrypt Hidden Volume

La semana pasada le mostramos cómo configurar un volumen TrueCrypt simple pero fuertemente encriptado para ayudarlo a proteger sus datos confidenciales. Esta semana estamos profundizando y mostrándote cómo ocultar tus datos encriptados dentro de tus datos encriptados . ¿Qué es un Volumen Oculto? La mayoría de las personas ya están familiarizadas con la idea del cifrado- utilizando un esquema de cifrado simple o complicado, los datos se desplazan de alguna manera para que ya no aparezca en su estado original sin descifrado.

(how-to)

Cómo guardar la pantalla de bloqueo de Windows 10 Proyecte imágenes en su disco duro

De manera predeterminada, Windows 10 muestra imágenes de fondo en la pantalla de bloqueo que han sido seleccionadas específicamente para este uso, pero no es inmediatamente claro donde están almacenados. Windows reemplaza estas imágenes con regularidad, pero si desea utilizarlas como fondos de pantalla normales, las últimas suelen estar en ese caché y no son demasiado difíciles de guardar si las toma a tiempo.

(how-to)