Wireshark (Español)

From ArchWiki
Estado de la traducción: esta traducción de Wireshark fue revisada el 2019-10-06. Si existen cambios puede actualizarla o avisar al equipo de traducción.

Wireshark es un analizador de paquetes gratuito y de código abierto. Se utiliza para la resolución de problemas de red, análisis, desarrollo de software y protocolo de comunicaciones, y con fines educativos.

Instalación

Instale el paquete wireshark-qt para la interfaz gráfica de Wireshark o wireshark-cli para usar solo la CLI tshark.

Nota: la interfaz GTK en desuso se ha eliminado en Wireshark 3.0

Capturar privilegios

No ejecute Wireshark como root, es inseguro. Wireshark ha implementado la separación de privilegios [1].

El script de instalación wireshark-cli establece la captura de paquetes capabilities en el ejecutable /usr/bin/dumpcap.

/usr/bin/dumpcap solo puede ser ejecutado por root y miembros del grupo wireshark, por lo tanto, para usar Wireshark como usuario normal, debe agregar su usuario al grupo del usuario wireshark (consulte Users and groups (Español)#Administración de grupos).

Algunas técnicas de captura

Hay varias maneras diferentes de capturar exactamente lo que está buscando en Wireshark, aplicando filtros de captura o filtros de visualización.

Nota: para conocer la sintaxis del filtro de captura, consulte pcap-filter(7). Para ver los filtros de visualización, consulte wireshark-filter(4).

Filtrar paquetes TCP

Si desea ver todos los paquetes TCP actuales, escriba tcp en la barra «Filter» o en la CLI, introduzca:

$ tshark -f "tcp"

Filtrar paquetes UDP

Si desea ver todos los paquetes TCP actuales, escriba udp en la barra «Filter» o en la CLI, introduzca:

$ tshark -f "udp"

Filtrar paquetes a una dirección IP específica

  • Si desea ver todo el tráfico que va a una dirección específica, introduzca el filtro de visualización ip.dst == 1.2.3.4, reemplazando 1.2.3.4 con la dirección IP a la que se está enviando al tráfico saliente.
  • Si desea ver todo el tráfico entrante para una dirección específica, introduzca el filtro de visualización ip.src == 1.2.3.4, reemplazando 1.2.3.4 con la dirección IP a la que se está enviando al tráfico entrante.
  • Si desea ver todo el tráfico entrante y saliente para una dirección específica, introduzca el filtro de visualización ip.addr == 1.2.3.4, reemplazando 1.2.3.4 con la dirección IP relevante.

Excluir paquetes de una dirección IP específica

ip.addr != 1.2.3.4

Filtrar paquetes a la LAN

Para ver solo el tráfico LAN, sin el tráfico de Internet, ejecute:

ip.src==192.168.0.0/16 and ip.dst==192.168.0.0/16

Filtrar paquetes por puerto

Vea todo el tráfico en dos puertos o más:

tcp.port==80||tcp.port==3306
tcp.port==80||tcp.port==3306||tcp.port==443