Wireshark

Analizador de protocolos para inspección profunda de tráfico de red

¿Qué es Wireshark?

Wireshark es un analizador de protocolos de red que permite:

  • Capturar tráfico en tiempo real
  • Analizar más de 2,000 protocolos
  • Detectar anomalías y ataques
Descargar Wireshark Versión actual: 4.0.8
Interfaz de Wireshark

Captura Básica de Paquetes

Iniciar Captura

  1. Seleccionar interfaz de red (ej: eth0, wlan0)
  2. Hacer clic en Iniciar (botón azul)
  3. Usar Ctrl+E para detener
Selección de interfaz

Opciones Avanzadas

  • Promiscuo: Captura todo el tráfico en la red
  • Buffer: Tamaño máximo de captura (MB)
  • Filtros de captura: Ej: host 192.168.1.100
# Captura desde terminal (tshark)
tshark -i eth0 -w captura.pcap -f "port 80"

Filtrado Avanzado

Filtros Básicos

  • ip.addr == 192.168.1.1
  • tcp.port == 443
  • http.request.method == "GET"
  • dns.qry.name contains "google"

Operadores Lógicos

  • and (&&)
  • or (||)
  • not (!)
ip.src == 192.168.1.100 and tcp.flags.syn == 1

Filtros Avanzados

  • tcp.analysis.retransmission
  • ssl.handshake.type == 1
  • icmp.type == 8 (ping requests)
Tip: Usa la barra de filtro y presiona Enter para aplicar. Los filtros válidos se muestran en verde.

Análisis por Protocolos

Análisis de Tráfico Web

Filtros útiles:

  • http.request
  • http.response.code == 200
  • http.host contains "facebook"

Extraer archivos:

  1. Menú File > Export Objects > HTTP
  2. Filtrar por tipo (ej: images)
  3. Guardar archivos recuperados
Análisis HTTP

Análisis de Consultas DNS

dns.qry.name contains "google"
dns.flags.response == 1
dns.resp.type == 5  # Respuestas CNAME

Detectar exfiltración DNS:

dns.qry.name matches "[a-z0-9]{32}\.evil\.com"

Análisis de Conexiones TCP

  • Handshake SYN/ACK: tcp.flags.syn == 1
  • Retransmisiones: tcp.analysis.retransmission
  • Window Size: tcp.window_size < 1024
Flujo TCP

Detección de Ping Sweeps

icmp.type == 8 and frame.count > 50  # Muchos pings desde una IP
icmp.code == 0  # Echo request

Ejemplo de ataque:

icmp.type == 8 and ip.src == 192.168.1.100 and icmp.seq le 10

Detección de Ataques

ARP Spoofing

Filtro: arp.opcode == 2

Buscar múltiples respuestas ARP desde una misma IP:

arp.dst.hw_mac == ff:ff:ff:ff:ff:ff

Port Scanning

Filtros:

  • tcp.flags.syn == 1 and tcp.flags.ack == 0
  • ip.src == 192.168.1.100 and tcp.dstport >= 1 and tcp.dstport <= 1024

Bruteforce SSH

Filtro:

tcp.port == 22 and tcp.flags.push == 1
frame.time_delta < 1  # Múltiples intentos rápidos

Recursos Adicionales

Capturas de Ejemplo

Archivos .pcap para practicar

Guía Oficial

Documentación completa

CloudShark

Analizar .pcap en la nube