También conocidos como analizadores de paquetes, los sniffers capturan e inspeccionan los «paquetes» de datos que viajan a través de la red. Imagine el tráfico en Internet como el tráfico en la vida real: Se parece a los automóviles que circulan por una vía, y varía según una serie de factores. En Internet, cada automóvil es un paquete, y sus ocupantes son los datos que porta.

Algunos sniffers son hardware y a menudo se integran en dispositivos de red, como routers, para una administración más cómoda. Pero en la mayoría de los casos se opta por el software.

En primer lugar, es importante comprender cómo funciona el tráfico de Internet en una red. En la mayoría de las situaciones, su equipo solo inspeccionará los paquetes dirigidos específicamente a él. Volviendo al símil de «los automóviles que circulan por una vía», podemos imaginar su equipo como una casa a lo largo de ese camino. No puede inspeccionar cada uno de los automóviles que pase al lado de su casa, pero si alguien aparca en su entrada, podría abrir la puerta para ver quién es. Así es como trata su equipo la mayoría de los paquetes de datos: Ignora aquellos que pasan a lo largo de la red hacia otros destinos e inspecciona los que se le envían.

El software de sniffing cambia la configuración de red del equipo para poder inspeccionar cada paquete, no solo los destinados al propio equipo, y los copia para investigarlos después. En lugar de abrir la puerta cuando llega una visita, el sniffer está pegado a la ventana, observando todos los vehículos que pasan.

• Ingenieros de red: Mediante el análisis del tipo y el nivel de tráfico de una red, los ingenieros pueden optimizar la estructura de esta para mejorar su eficiencia y su velocidad.

• Administradores del sistema: Los sniffers de red son herramientas fantásticas para la resolución de problemas. Los administradores de sistemas pueden investigar los cuellos de botella y otras ralentizaciones en el momento en el que se producen para averiguar cuál es el problema.

• Empresas: Los técnicos de TI de oficinas corporativas pueden utilizar sniffers para supervisar a sus empleados mientras trabajan. Las empresas pueden saber qué sitios visitan sus trabajadores, cuánto tiempo pasan allí y si están viendo o descargando algo que no debieran.

• Profesionales de la seguridad: Una cantidad o un tipo de tráfico inusual puede indicar que algo anda mal. Los equipos de seguridad pueden identificar patrones de uso atípicos que podrían avisar de la presencia de un hacker o de malware

Wireshark es un analizador de paquetes por protocolos con interfaz gráfica, que permite capturar todos los paquetes que pasan (entran o salen) por una interfaz de red (tarjeta de red).

Es un programa de software libre con licencia pública de GNU (GPL) y es multiplataforma.

No permite modificar la información que circula sobre la red, ni el envío de paquetes, solamente inspeccionar la información contenida en ellos.

Nada más abrir Wireshark, debo indicar la interfaz de red con la que quiero capturar paquetes. Si mi equipo tiene varias tarjetas de red (Tarjeta ethernet, tarjeta wifi, tarjeta virtualizadas de VBOX), indicaré la que quiera usar:

Selección de interfaces de red

Una vez seleccionada la tarjeta, para empezar a capturar paquetes con Wireshark pulsaré el primer botón de la barra de herramientas:

Botones de inicio y parada

En este momento se empezarán a escuchar todos los paquetes que pasen por la interfaz de red seleccionada.

Ventana principal de Wireshark

En esta ventana tenemos 3 partes diferenciadas:

• Mensajes capturados: son los mensajes que han salido o han entrado por nuestra tarjeta de red, y han sido capturados por wireshark. En esta sección podemos ver principalmente 4 cosas:
  • IP origen: La ip desde la que llega el mensaje (campo del protocolo IP)
  • IP destino: la ip a la que va dirigido el mensaje (campo del protocolo IP)
  • Protocolo: Aunque un mensaje esté compuesto por varios protocolos, me indica el protocolo principal encapsulado en el paquete IP
  • Información: Información sobre el protocolo principal.

• Sección de protocolos: Se muestra la información que contiene el paquete seleccionado, organizada por las secciones de cada protocolo que hay dentro de es paquete. Aquí podemos ver toda la información de cada protocolo que está encapsulado en el paquete. Podemos desplegar la parte referente a cada protocolo.

• Mensaje completo recibido o enviado, en formato Hexadecimal, y en caracteres ASCII a su derecha

Muestra la información contenida en el paquete Ethernet: direcciones MAC de origen y destino, y el tipo de protocolo de siguiente nivel que viene encapsulado.

Información sobre la trama Ethernet del paquete seleccionado

Muestra la información de la cabecera IP que viene dentro de la trama Ethernet. Puedo ver las direcciones IP de origen y destino, el tiempo de vida (TTL), el protocolo que viene encapsulado dentro del paquete ip, etc.

Información sobre el protocolo IP del paquete seleccionado

Muestra la información de la cabecera TCP que viene dentro del paquete IP. Muestra los puertos de origen y destino hacia los que va el paquete, información del órden del paquete, etc

Información sobre el protocolo TCP del paquete seleccionado

Video: Protocolos ARP y DNS

Video: Protocolos TCP y HTTP

Video: Funcionamiento red pública

© 2024 Fernando Valdeón