10 consells sobre com utilitzar Wireshark per analitzar paquets de xarxa

En qualsevol xarxa de commutació de paquets, els paquets representen unitats de dades que es transmeten entre ordinadors. És responsabilitat dels enginyers de xarxa i dels administradors de sistemes supervisar i inspeccionar els paquets amb finalitats de seguretat i resolució de problemes.

Per fer-ho, es basen en programes de programari anomenats monitoritzar el trànsit en temps real, però també per desar-lo en un fitxer per a una inspecció posterior.

Lectura relacionada: Les millors eines de control de l'ample de banda de Linux per analitzar l'ús de la xarxa

En aquest article, compartirem 10 consells sobre com utilitzar Wireshark per analitzar paquets a la vostra xarxa i esperem que quan arribeu a la secció Resum us sentiu inclinat a afegir-lo als vostres marcadors.

Instal·lació de Wireshark a Linux

Per instal·lar Wireshark, seleccioneu l'instal·lador adequat per al vostre sistema operatiu/arquitectura a https://www.wireshark.org/download.html.

En particular, si utilitzeu Linux, Wireshark ha d'estar disponible directament des dels repositoris de la vostra distribució per a una instal·lació més fàcil a la vostra comoditat. Tot i que les versions poden diferir, les opcions i els menús haurien de ser similars, si no idèntics en cadascun.

------------ On Debian/Ubuntu based Distros ------------ 
$ sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
$ sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
$ sudo dnf install wireshark

Hi ha un error conegut a Debian i derivats que pot impedir la llista de les interfícies de xarxa tret que feu aquesta publicació.

Un cop s'executa Wireshark, podeu seleccionar la interfície de xarxa que voleu supervisar a Captura:

En aquest article, farem servir eth0, però podeu triar-ne un altre si voleu. No feu clic a la interfície encara; ho farem més tard quan hàgim revisat algunes opcions de captura.

Les opcions de captura més útils que tindrem en compte són:

  1. Interfície de xarxa: com hem explicat abans, només analitzarem els paquets que arriben per eth0, ja siguin entrants o sortints.
  2. Filtre de captura: aquesta opció ens permet indicar quin tipus de trànsit volem supervisar per port, protocol o tipus.

Abans de continuar amb els consells, és important tenir en compte que algunes organitzacions prohibeixen l'ús de Wireshark a les seves xarxes. Dit això, si no feu servir Wireshark per a finalitats personals, assegureu-vos que la vostra organització permeti el seu ús.

De moment, només cal que seleccioneu eth0 de la llista desplegable i feu clic al botó Inicia. Començareu a veure tot el trànsit que passa per aquesta interfície. No és realment útil per a la supervisió a causa de la gran quantitat de paquets inspeccionats, però és un començament.

A la imatge de dalt, també podem veure les icones per llistar les interfícies disponibles, per aturar la captura actual i per reiniciar-la (quadre vermell a l'esquerra), i per configurar i editar un filtre (quadre vermell a la dreta). Quan passeu el cursor per sobre d'una d'aquestes icones, es mostrarà una informació sobre eines per indicar què fa.

Començarem il·lustrant les opcions de captura, mentre que els consells del 7 al 10 parlaran de com fer alguna cosa útil amb una captura.

CONSELL #1: inspeccioneu el trànsit HTTP

Escriviu http al quadre de filtre i feu clic a Aplica. Inicieu el vostre navegador i aneu a qualsevol lloc que vulgueu:

Per començar cada consell posterior, atureu la captura en directe i editeu el filtre de captura.

CONSELL #2: inspeccioneu el trànsit HTTP des d'una adreça IP determinada

En aquest consell en particular, anteposarem ip==192.168.0.10&& a l'estrofa del filtre per supervisar el trànsit HTTP entre l'ordinador local i 192.168.0.10:

CONSELL #3: inspeccioneu el trànsit HTTP a una adreça IP determinada

Molt relacionat amb el número 2, en aquest cas, utilitzarem ip.dst com a part del filtre de captura de la següent manera:

ip.dst==192.168.0.10&&http

Per combinar els consells 2 i 3, podeu utilitzar ip.addr a la regla de filtre en lloc de ip.src o ip.dst.

CONSELL núm. 4: supervisa el trànsit de xarxa d'Apache i MySQL

De vegades us interessarà inspeccionar el trànsit que coincideixi amb qualsevol (o ambdues) condicions. Per exemple, per controlar el trànsit als ports TCP 80 (servidor web) i 3306 (servidor de bases de dades MySQL/MariaDB), podeu utilitzar una condició OR al filtre de captura:

tcp.port==80||tcp.port==3306

Als consells 2 i 3, || i la paraula o produeixen els mateixos resultats. El mateix amb && i la paraula i.

CONSELL núm. 5: rebutjar paquets a una adreça IP donada

Per excloure paquets que no coincideixen amb la regla de filtre, utilitzeu ! i tanqueu la regla entre parèntesis. Per exemple, per excloure paquets originats o dirigits a una adreça IP determinada, podeu utilitzar:

!(ip.addr == 192.168.0.10)

CONSELL núm. 6: superviseu el trànsit de la xarxa local (192.168.0.0/24)

La regla de filtre següent mostrarà només el trànsit local i exclourà els paquets que arribin i vinguin d'Internet:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

CONSELL núm. 7: superviseu el contingut d'una conversa TCP

Per inspeccionar el contingut d'una conversa TCP (intercanvi de dades), feu clic amb el botó dret sobre un paquet determinat i seleccioneu Segueix el flux TCP. S'obrirà una finestra amb el contingut de la conversa.

Això inclourà les capçaleres HTTP si estem inspeccionant el trànsit web, i també qualsevol credencial de text pla transmesa durant el procés si n'hi ha.

CONSELL # 8 - Editeu les regles de color

A hores d'ara, estic segur que ja us heu adonat que cada fila de la finestra de captura està acolorida. De manera predeterminada, el trànsit HTTP apareix al fons verd amb text negre, mentre que els errors de suma de comprovació es mostren en text vermell amb un fons negre.

Si voleu canviar aquesta configuració, feu clic a la icona Edita les regles de coloració, trieu un filtre determinat i feu clic a Edita.

CONSELL #9: deseu la captura en un fitxer

Desar el contingut de la captura ens permetrà poder inspeccionar-lo amb més detall. Per fer-ho, aneu a Fitxer → Exporta i trieu un format d'exportació de la llista:

CONSELL núm. 10: practica amb captures de mostres

Si creieu que la vostra xarxa és \avorrida, Wireshark ofereix una sèrie de fitxers de captura de mostra que podeu utilitzar per practicar i aprendre. Podeu descarregar-vos aquestes SampleCaptures i importar-les mitjançant el menú Fitxer → Importa.

Wireshark és un programari gratuït i de codi obert, com podeu veure a la secció de preguntes freqüents del lloc web oficial. Podeu configurar un filtre de captura abans o després d'iniciar una inspecció.

En cas que no us n'heu adonat, el filtre té una funció d'emplenament automàtic que us permet cercar fàcilment les opcions més utilitzades que podeu personalitzar més endavant. Amb això, el cel és el límit!

Com sempre, no dubteu a enviar-nos una línia mitjançant el formulari de comentaris a continuació si teniu cap pregunta o observació sobre aquest article.