Wireshark (Español)

From ArchWiki
The printable version is no longer supported and may have rendering errors. Please update your browser bookmarks and please use the default browser print function instead.
Estado de la traducción: esta traducción de Wireshark fue revisada el 2019-10-06. Si existen cambios puede actualizarla o avisar al equipo de traducción.

Wireshark es un analizador de paquetes gratuito y de código abierto. Se utiliza para la resolución de problemas de red, análisis, desarrollo de software y protocolo de comunicaciones, y con fines educativos.

Instalación

Instale el paquete wireshark-qt para la interfaz gráfica de Wireshark o wireshark-cli para usar solo la CLI tshark.

Nota: la interfaz GTK en desuso se ha eliminado en Wireshark 3.0

Capturar privilegios

No ejecute Wireshark como root, es inseguro. Wireshark ha implementado la separación de privilegios [1].

El script de instalación wireshark-cli establece la captura de paquetes capabilities en el ejecutable /usr/bin/dumpcap.

/usr/bin/dumpcap solo puede ser ejecutado por root y miembros del grupo wireshark, por lo tanto, para usar Wireshark como usuario normal, debe agregar su usuario al grupo del usuario wireshark (consulte Users and groups (Español)#Administración de grupos).

Algunas técnicas de captura

Hay varias maneras diferentes de capturar exactamente lo que está buscando en Wireshark, aplicando filtros de captura o filtros de visualización.

Nota: para conocer la sintaxis del filtro de captura, consulte pcap-filter(7). Para ver los filtros de visualización, consulte wireshark-filter(4).

Filtrar paquetes TCP

Si desea ver todos los paquetes TCP actuales, escriba tcp en la barra «Filter» o en la CLI, introduzca: 

$ tshark -f "tcp"

Filtrar paquetes UDP

Si desea ver todos los paquetes TCP actuales, escriba udp en la barra «Filter» o en la CLI, introduzca: 

$ tshark -f "udp"

Filtrar paquetes a una dirección IP específica

  • Si desea ver todo el tráfico que va a una dirección específica, introduzca el filtro de visualización ip.dst == 1.2.3.4, reemplazando 1.2.3.4 con la dirección IP a la que se está enviando al tráfico saliente.
  • Si desea ver todo el tráfico entrante para una dirección específica, introduzca el filtro de visualización ip.src == 1.2.3.4, reemplazando 1.2.3.4 con la dirección IP a la que se está enviando al tráfico entrante.
  • Si desea ver todo el tráfico entrante y saliente para una dirección específica, introduzca el filtro de visualización ip.addr == 1.2.3.4, reemplazando 1.2.3.4 con la dirección IP relevante.

Excluir paquetes de una dirección IP específica 

ip.addr != 1.2.3.4

Filtrar paquetes a la LAN

Para ver solo el tráfico LAN, sin el tráfico de Internet, ejecute: 

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

Filtrar paquetes por puerto

Vea todo el tráfico en dos puertos o más: 

tcp.port==80||tcp.port==3306
tcp.port==80||tcp.port==3306||tcp.port==443