Cómo capturar paquetes en WireShark

Wireshark es una herramienta de análisis de red invaluable que traduce los datos que viajan a través de sus redes a un formato legible. Puede identificar problemas de red o seguridad, depurar implementaciones de protocolos o simplemente monitorear el tráfico capturando paquetes con Wireshark.

Eche un vistazo más de cerca a lo que sucede en su red capturando la información exacta que necesita. Aquí se explica cómo capturar diferentes tipos de paquetes en Wireshark.

Cómo capturar paquetes

Comenzar el proceso de captura en Wireshark solo requiere unos pocos clics. Todo lo que necesita hacer es iniciar el modo de captura y los datos comenzarán a llegar sin filtrar. Si bien este modo sin filtrar es excelente cuando necesita un informe completo de lo que sucede, la cantidad de datos capturados de esta manera puede ser abrumadora. Para hacerlo más manejable, puede usar filtros y capturar solo un tipo específico de datos. Encontrará los pasos para hacerlo más abajo.

Por ahora, veamos cómo comenzar a capturar todos los paquetes en Wireshark:

1. Asegúrese de tener instalada la última versión de Wireshark. Puede obtener el programa de forma gratuita desde el sitio web oficial de Wireshark .
   
   
2. Lanzar el programa. Será recibido por la pantalla de bienvenida, con la lista de sus redes detectadas.
   
3. Comience a capturar paquetes de una de las siguientes maneras:
   • Haga doble clic en la red de su elección en la lista.
     
   • Seleccione una o más interfaces de red y luego haga clic en el icono de aleta de tiburón en la barra de herramientas o en "Capturar", luego en "Iniciar" en la barra de menú.
     
     

Nota: Puede ajustar las Opciones de captura, como el modo promiscuo, antes de comenzar haciendo clic en "Capturar" y luego en "Opciones".

Tan pronto como haga clic en la interfaz de red o en el botón de inicio, accederá a la pantalla de captura. Verá a Wireshark tomando paquetes de datos en tiempo real. Una vez que esté satisfecho con la cantidad de datos recopilados, puede detener la captura haciendo clic en el botón rojo de detener en la barra de herramientas superior. Comience a analizar los datos de inmediato o guárdelos para más adelante haciendo clic en "Archivo" y luego en "Guardar como..." en la barra de menú.

Cómo capturar paquetes UDP

Seguir los pasos anteriores le indicará al programa que capture todos los paquetes. Si bien los diferentes tipos de tráfico se distinguen fácilmente en Wireshark gracias a la codificación de colores, aún deberá examinar una gran cantidad de datos. Si solo está buscando información sobre ciertos paquetes, puede usar filtros para facilitar su trabajo.

Wireshark admite filtros de captura y visualización. El uso de un filtro de captura significará que el programa solo captura los paquetes que defina. Los filtros de visualización simplemente filtran los paquetes ya capturados. Los dos filtros funcionan de manera diferente y usan comandos diferentes, por lo que deberá decidir cuál se adapta mejor a sus necesidades.

Si solo desea capturar tráfico UDP, use un filtro de captura antes de comenzar el proceso de captura.

1. Inicie Wireshark.
   
2. Busque la barra Filtro de captura en la pantalla de bienvenida. Es el que está directamente arriba de su lista de redes.
   
3. Ingrese "udp" en la barra de filtro de captura y presione Entrar para comenzar a capturar el tráfico UDP. También puede agregar un puerto específico después de "udp" si desea especificar más su filtro.
   

Sugerencia: otra forma de ajustar los filtros de captura es hacer clic en "Capturar" y luego en "Opciones" en el menú. La barra de filtro estará en la parte inferior de la interfaz de captura.

Wireshark Cómo capturar paquetes DHCP

Para capturar paquetes DHCP exclusivamente, deberá ingresar el número de puerto correspondiente en el filtro de captura. Utilice el filtro de captura "puerto 67" o "puerto 68" o la combinación de los dos "puerto 67 o puerto 68" para capturar paquetes DHCP.

De manera similar, un filtro de visualización puede filtrar paquetes DHCP en su pantalla de captura. Sin embargo, recuerde que los filtros de visualización utilizan una sintaxis diferente a la de los filtros de captura. Deberá ingresar "udp.port == 68" en la barra de filtro de visualización.

Cómo capturar paquetes de ping

La mejor manera de capturar paquetes de ping (también conocido como tráfico de eco del Protocolo de mensajes de control de Internet (ICMP)) en Wireshark es mediante el uso de un filtro de visualización en el modo de captura. Aquí está el proceso.

1. Abra Wireshark e inicie el proceso de captura como se describe anteriormente.
   
2. Abra su símbolo del sistema y haga ping a la dirección de su elección.
   
3. Vuelva a Wireshark y detenga el proceso de captura.
   
4. Cree un filtro para los paquetes de ping escribiendo "icmp" en la barra de filtros de su pantalla, luego presione Enter.
   

Verá tanto las solicitudes como las respuestas al ping en la lista de paquetes.

Wireshark Cómo capturar paquetes desde una dirección IP específica

Si desea enfocar su captura en una dirección IP específica, ingrese el siguiente filtro de captura antes de comenzar su captura: “host [la dirección IP que desea registrar]”. Por ejemplo, capturar paquetes relacionados con la dirección IP 111.11.1.1 requeriría el filtro "host 111.11.1.1" en la barra de filtros de captura.

También puede definir si desea capturar el tráfico hacia o desde una dirección IP específica agregando "src" para el origen o "dst" para el destino al principio en lugar de "host:"

• escriba "src 111.11.1.1" para los paquetes que provienen de la dirección IP en cuestión
• escriba "dst 111.11.1.1" para los paquetes que se envían a la dirección IP en cuestión

Naturalmente, puede combinar estos filtros para especificar el tráfico que desea capturar más. Conecte los dos filtros con "y" para que los paquetes viajen entre las dos direcciones IP que defina. Por ejemplo, "src 111.11.1.1 y dst 222.22.2.2" solo capturarán los paquetes enviados desde 111.11.1.1 a 222.22.2.2.

Utilice filtros de visualización para filtrar paquetes relacionados con una dirección IP específica en un conjunto de datos ya capturado. Para la dirección IP mencionada anteriormente, ingrese "ip.addr == 111.11.1.1" en su barra de filtro de visualización, y así sucesivamente.

preguntas frecuentes

¿Cómo capturo paquetes de enrutador en Wireshark?

Solo puede capturar paquetes de enrutador con Wireshark si tiene un enrutador compatible con la duplicación de puertos. Primero, deberá duplicar el tráfico en un puerto LAN. El proceso puede diferir dependiendo de su dispositivo.

1. Vaya a LAN y luego LAN Port Mirror.

2. Habilite la duplicación de puertos.

3. Configure los puntos de origen y destino.

Si puede duplicar su tráfico de esta manera, podrá capturar paquetes de enrutador normalmente en el modo de captura de Wireshark.

¿Por qué no puedo capturar paquetes en Wireshark?

Si su Wireshark no captura ningún paquete, busque las siguientes posibilidades para solucionar el problema:

• Asegúrese de no tener activado ningún filtro de captura demasiado específico.

• Busque actualizaciones de Wireshark en el menú Ayuda.

• Verifique que un firewall no esté bloqueando su aplicación Wireshark.

Si ninguno de los factores anteriores se aplica a usted, lo más probable es que el problema esté relacionado con su hardware.

Tengo que capturar todo

Capturar paquetes con Wireshark solo requiere unos pocos clics. Probablemente será la parte más fácil de su tarea de solución de problemas. Capture todo el tráfico y filtre los paquetes más tarde o use filtros de captura para registrar solo un tipo de datos específico.

¿Conseguiste capturar los paquetes que querías con estos consejos? ¿Qué filtros de captura de Wireshark te resultan más útiles? Háganos saber en la sección de comentarios.