Usando Wireshark en Ubuntu
Wireshark es un potente analizador de red de código abierto que se puede usar para capturar datos en una red, como una ayuda para la resolución de problemas en el análisis del tráfico de red, pero igualmente como una herramienta educativa para ayudar a entender los principios de las redes y los protocolos de comunicación.
Está fácilmente disponible para casi cualquier distribución de Linux y para Ubuntu, se puede instalar a través de la Ubuntu Software Center o desde la terminal:
sudo apt-get install wiresharkAntes de usar Wireshark, se necesita dar permiso a la utilidad dumpcap para que se ejecute como root. Sin esto, Wireshark no podrá capturar el tráfico de red cuando estés conectado como un usuario normal (que siempre es el caso en distribuciones como Ubuntu). Para agregar el bit “setuid” a dumpcap, usa el siguiente comando:
sudo chmod 4711 `which dumpcap`Ten en cuenta que las comillas alrededor de “which dumpcap” no son comillas simples normales, sino más bien el carácter de acento grave. En sistemas similares a Unix, esto invoca sustitución de comandos donde la salida del comando which se convierte en un parámetro para el comando chmod, es decir, la ruta completa del binario dumpcap.
Inicia Wireshark y luego haz clic en la interfaz de red que deseas usar para capturar los datos. En una red cableada, probablemente sea eth0. Ahora haz clic en “Iniciar”.
Wireshark comenzará a capturar el tráfico y a mostrarlo como una lista codificada por colores en la ventana principal. El tráfico TCP es verde, los paquetes UDP son de color azul claro, las solicitudes ARP son amarillas y el tráfico DNS se muestra en azul oscuro.
Justo debajo de la barra de herramientas se encuentra el cuadro de Filtro. Para ver solo ciertos tipos de paquetes de red, introduce el nombre del protocolo en el cuadro de edición y haz clic en “Aplicar”. Por ejemplo, para ver solo los mensajes ARP (Protocolo de Resolución de Direcciones), escribe arp en el cuadro de Filtro y haz clic en “Aplicar”. La lista cambiará para mostrar solo mensajes ARP. ARP se usa en una LAN para descubrir qué máquina está utilizando una cierta dirección IP. Otros filtros de ejemplo son HTTP, ICMP, SMTP, SMB, entre otros.
Wireshark puede filtrar utilizando criterios más avanzados que solo el tipo de protocolo. Por ejemplo, para ver todo el tráfico relacionado con DNS que proviene de un host en particular, usa el filtro ip.src==192.168.1.101 and dns donde 192.168.1.101 es la dirección de origen que deseas filtrar.
Si detectas una interacción interesante entre dos hosts que deseas ver en su totalidad, entonces Wireshark tiene una opción de “seguir flujo”. Haz clic derecho en cualquier paquete del intercambio y luego haz clic en “Seguir flujo TCP” (o Seguir flujo UDP, Seguir flujo SSL dependiendo del tipo de protocolo). Wireshark entonces mostrará una copia completa de la conversación.
Intenta esto
Usar Wireshark puede ser tan complejo o tan simple como lo necesites, hay muchas características avanzadas para expertos en redes, pero quienes deseen aprender sobre redes también pueden beneficiarse de su uso. Aquí hay algo que probar si deseas aprender más sobre Wireshark. Inicia una captura y establece el filtro en ICMP. Ahora haz ping a tu máquina Linux usando un comando como este desde otra máquina Linux o incluso desde un shell de comandos de Windows:
ping 192.168.1.10Donde 192.168.1.10 es la dirección IP de la máquina Linux. Ahora mira la lista de paquetes y verifica si detectas el tráfico de red para el ping.
