Cableado

Analizador de tráfico de red

Wireshark es un analizador de paquetes gratuito y de código abierto . Se utiliza para la resolución de problemas de red , el análisis, el desarrollo de software y protocolos de comunicación y la educación. Originalmente llamado Ethereal , el proyecto cambió su nombre a Wireshark en mayo de 2006 debido a problemas de marca registrada. ^[5]

Wireshark es multiplataforma , utiliza el kit de herramientas de widgets Qt en las versiones actuales para implementar su interfaz de usuario y utiliza pcap para capturar paquetes; se ejecuta en Linux , macOS , BSD , Solaris , algunos otros sistemas operativos similares a Unix y Microsoft Windows . También hay una versión basada en terminal (sin GUI) llamada TShark. Wireshark y los otros programas distribuidos con él, como TShark, son software libre , publicados bajo los términos de la Licencia Pública General GNU versión 2 o cualquier versión posterior.

Funcionalidad

Wireshark es muy similar a tcpdump , pero tiene una interfaz gráfica y opciones de clasificación y filtrado integradas.

Wireshark permite al usuario poner los controladores de interfaz de red en modo promiscuo (si el controlador de interfaz de red lo admite ), de modo que pueda ver todo el tráfico visible en esa interfaz, incluido el tráfico unicast que no se envía a la dirección MAC de ese controlador de interfaz de red . Sin embargo, cuando se captura con un analizador de paquetes en modo promiscuo en un puerto de un conmutador de red , no todo el tráfico que pasa por el conmutador se envía necesariamente al puerto donde se realiza la captura, por lo que la captura en modo promiscuo no es necesariamente suficiente para ver todo el tráfico de la red. La duplicación de puertos o varias tomas de red extienden la captura a cualquier punto de la red. Las tomas pasivas simples son extremadamente resistentes a la manipulación ^{[ cita requerida ]} .

En Linux, BSD y macOS, con libpcap 1.0.0 o posterior, Wireshark 1.4 y posteriores también pueden poner los controladores de interfaz de red inalámbrica en modo de monitor .

Si una máquina remota captura paquetes y envía los paquetes capturados a una máquina que ejecuta Wireshark usando el protocolo TZSP o el protocolo usado por OmniPeek , Wireshark disecciona esos paquetes, de modo que puede analizar los paquetes capturados en una máquina remota en el momento en que se capturan.

Historia

A finales de los años 1990, Gerald Combs, un licenciado en informática de la Universidad de Missouri-Kansas City , trabajaba para un pequeño proveedor de servicios de Internet , Network Integration Services. Los productos de análisis de protocolos comerciales de la época tenían un precio de alrededor de 1500 dólares ^[6] y no funcionaban en las principales plataformas de la empresa (Solaris y Linux), por lo que Gerald comenzó a escribir Ethereal y lanzó la primera versión alrededor de 1998. ^{[7] La} ​​marca registrada Ethereal es propiedad de Network Integration Services.

En mayo de 2006, Combs aceptó un trabajo en CACE Technologies con Loris Degioanni. Combs todavía poseía los derechos de autor de la mayor parte del código fuente de Ethereal (y el resto era redistribuible bajo la GNU GPL), por lo que utilizó el contenido del repositorio Ethereal Subversion como base para el repositorio Wireshark. Sin embargo, no poseía la marca registrada Ethereal, por lo que cambió el nombre a Wireshark. ^[8] En 2010, Riverbed Technology compró CACE ^[9] y asumió el papel de patrocinador principal de Wireshark. El desarrollo de Ethereal ha cesado y un aviso de seguridad de Ethereal recomendó cambiar a Wireshark. ^[10] En 2022, Sysdig asumió el papel de patrocinador principal de Wireshark y en 2023, Sysdig estableció e incorporó Wireshark a la Fundación Wireshark. ^[11]

Wireshark ha ganado varios premios de la industria a lo largo de los años, ^[12] incluidos eWeek , ^[13] InfoWorld , ^{[14] [15] [16] [17] [18]} y PC Magazine . ^[19] También es el rastreador de paquetes mejor calificado en la encuesta de herramientas de seguridad de red Insecure.Org ^[20] y fue el Proyecto del mes de SourceForge en agosto de 2010. [ ^21]

Combs sigue manteniendo el código general de Wireshark y publica nuevas versiones del software. El sitio web del producto incluye una lista de más de 2000 autores colaboradores. ^[22]

Características

Wireshark es un programa de captura de datos que "entiende" la estructura ( encapsulación ) de diferentes protocolos de red. Puede analizar y mostrar los campos, junto con sus significados, tal como lo especifican los diferentes protocolos de red. Wireshark utiliza pcap para capturar paquetes, por lo que solo puede capturar paquetes en los tipos de redes que admite pcap.

• Los datos pueden capturarse "desde el cable" desde una conexión de red en vivo o leerse desde un archivo de paquetes ya capturados.
• Los datos en vivo se pueden leer desde diferentes tipos de redes, incluidas Ethernet , IEEE 802.11 , PPP y loopback .
• Los datos de red capturados se pueden explorar a través de una GUI o mediante la versión de terminal ( línea de comandos ) de la utilidad TShark.
• Los archivos capturados se pueden editar o convertir programáticamente mediante interruptores de línea de comando en el programa "editcap".
• La visualización de datos se puede refinar utilizando un filtro de visualización.
• Se pueden crear complementos para analizar nuevos protocolos. ^[23]
• Se pueden detectar las llamadas VoIP en el tráfico capturado. Si están codificadas con una codificación compatible, incluso se puede reproducir el flujo de medios.
• Se puede capturar el tráfico USB sin procesar . ^[24]
• Las conexiones inalámbricas también se pueden filtrar siempre que atraviesen la Ethernet monitoreada. ^{[ aclaración necesaria ]}
• Se pueden configurar varias configuraciones, temporizadores y filtros para brindar la posibilidad de filtrar la salida del tráfico capturado.

Los formatos de archivo de seguimiento de red nativos de Wireshark son el formato libpcap leído y escrito por libpcap, WinPcap y Npcap , por lo que puede intercambiar seguimientos de red capturados con otras aplicaciones que usan el mismo formato, incluidos tcpdump y CA NetMaster, y el formato pcapng leído por versiones más nuevas de libpcap. También puede leer capturas de otros analizadores de red, como snoop , ^[25] Network General 's ^[26] Sniffer y Microsoft Network Monitor . ^[27]

Seguridad

La captura de tráfico de red sin procesar desde una interfaz requiere privilegios elevados en algunas plataformas. Por este motivo, las versiones anteriores de Wireshark y TShark solían ejecutarse con privilegios de superusuario . Teniendo en cuenta la enorme cantidad de disectores de protocolos que se invocan cuando se captura tráfico y reconociendo la posibilidad de un error en un disector, puede plantearse un grave riesgo de seguridad. Debido a la gran cantidad de vulnerabilidades en el pasado (de las cuales muchas han permitido la ejecución remota de código) y las dudas de los desarrolladores sobre un mejor desarrollo futuro, OpenBSD eliminó Ethereal de su árbol de puertos antes de OpenBSD 3.6. ^[28]

No se necesitan privilegios elevados para todas las operaciones. Por ejemplo, una alternativa es ejecutar tcpdump o la utilidad dumpcap que viene con Wireshark con privilegios de superusuario para capturar paquetes en un archivo y luego analizar los paquetes ejecutando Wireshark con privilegios restringidos. Para emular un análisis casi en tiempo real, cada archivo capturado puede fusionarse mediante mergecap en un archivo creciente procesado por Wireshark. En redes inalámbricas, es posible utilizar las herramientas de seguridad inalámbrica Aircrack para capturar tramas IEEE 802.11 y leer los archivos de volcado resultantes con Wireshark.

A partir de Wireshark 0.99.7, Wireshark y TShark ejecutan dumpcap para capturar tráfico. Las plataformas que requieren privilegios especiales para capturar tráfico solo necesitan ejecutar dumpcap con esos privilegios. Ni Wireshark ni TShark necesitan ni deben ejecutarse con privilegios especiales.

Codificación de colores

Wireshark puede colorear los paquetes en función de reglas que coincidan con campos específicos de los paquetes, para ayudar al usuario a identificar los tipos de tráfico a simple vista. Se proporciona un conjunto de reglas predeterminado; los usuarios pueden cambiar las reglas existentes para colorear los paquetes, agregar reglas nuevas o eliminar reglas. ^[29]

Captura de paquetes de simulación

Wireshark también se puede utilizar para capturar paquetes de la mayoría de las herramientas de simulación de red, como ns y OPNET Modeler. ^[30]

Véase también

• Portal de software libre y de código abierto

• Capsa (software)
• Comparación de analizadores de paquetes
• EtherApe
• Fiddler (software)
• Netsniff-ng (Sin captura de pantalla)
• ngrep
• Omnipeek
• traza tcpt

Notas

1. "Wireshark – Acerca de". The Wireshark Foundation . Consultado el 30 de enero de 2018 .
2. "Wireshark-announce: [Wireshark-announce] Wireshark 4.4.1 ya está disponible". 9 de octubre de 2024 . Consultado el 10 de octubre de 2024 .
3. "Preguntas frecuentes sobre la licencia de Wireshark".
4. "COPIANDO". 20 de julio de 2022.
5. "Preguntas frecuentes sobre Wireshark" . Consultado el 31 de diciembre de 2011 .
6. "NetXRay mejorado incorpora funciones empresariales". InfoWorld . 17 de noviembre de 1997.
7. "Preguntas y respuestas con el fundador de Wireshark y Ethereal". Entrevista con Gerald Combs . protocolTesting.com. Archivado desde el original el 7 de marzo de 2016 . Consultado el 24 de julio de 2010 .
8. "¿Qué pasa con el cambio de nombre? ¿Wireshark es una bifurcación?". Wireshark: Preguntas frecuentes . Consultado el 9 de noviembre de 2007 .
9. "Riverbed se expande aún más en el mercado de gestión del rendimiento de redes con reconocimiento de aplicaciones con la adquisición de CACE Technologies". Riverbed Technology. 21 de octubre de 2010. Consultado el 21 de octubre de 2010 .
10. "enpa-sa-00024". Ethereal. 10 de noviembre de 2006. Archivado desde el original el 23 de octubre de 2012. Consultado el 8 de junio de 2010 .
11. Bridgwater, Adrian. "Sysdig Wireshark Foundation, vamos a necesitar una nube más segura". Forbes . Consultado el 20 de abril de 2023 .
12. "Premios y reconocimientos". Wireshark: Acerca de . Consultado el 20 de septiembre de 2010 .
13. "Wireshark". Las aplicaciones de código abierto más importantes de todos los tiempos . eWEEK. 28 de mayo de 2012. Consultado el 12 de agosto de 2012 .
14. Yager, Tom (10 de septiembre de 2007). "Lo mejor del código abierto en redes". InfoWorld . Consultado el 1 de diciembre de 2014 .
15. "Premios al mejor software de código abierto: Networking". InfoWorld . 5 de agosto de 2008 . Consultado el 28 de abril de 2015 .
16. Mobley, High (18 de septiembre de 2012). «Bossie Awards 2012: The best open source networking and security software» (Premios Bossie 2012: El mejor software de seguridad y redes de código abierto). InfoWorld . Consultado el 28 de abril de 2015 .
17. Ferrill, Paul (17 de septiembre de 2013). «Bossie Awards 2013: El mejor software de seguridad y redes de código abierto». InfoWorld . Consultado el 28 de abril de 2015 .
18. Garza, Victor R. (29 de septiembre de 2014). «Bossie Awards 2014: The best open source networking and security software». InfoWorld . Consultado el 28 de abril de 2015 .
19. Lynn, Samara. "Wireshark 1.2.6". Reseña y calificación de Wireshark 1.2.6 . PC Magazine . Consultado el 20 de septiembre de 2010 .
20. "Wireshark es el número 1 entre los 14 principales rastreadores de paquetes". Insecure.Org . Consultado el 12 de agosto de 2012 .
21. "Wireshark, Proyecto SourceForge del mes de agosto de 2010". SourceForge. 2 de agosto de 2010. Consultado el 12 de agosto de 2012 .
22. "Página Acerca de Wireshark". Wireshark . Consultado el 21 de marzo de 2023 .
23. "Ejemplo de compilación de disector". OmniIDL . Consultado el 18 de abril de 2013 .
24. "Configuración de captura USB". Wiki de Wireshark . Consultado el 31 de diciembre de 2011 .
25. "Snoop". Wireshark . Consultado el 1 de abril de 2024 .
26. "NETSCOUT". Wireshark . Consultado el 21 de marzo de 2023 .
27. "Microsoft Network Monitor". Wireshark . Consultado el 21 de marzo de 2023 .
28. "Registro CVS para ports/net/ethereal/Attic/Makefile". Openbsd.org . Consultado el 25 de marzo de 2023 .
29. "Coloración de paquetes de Wireshark". Wireshark . Consultado el 21 de marzo de 2023 .
30. Hnatyshin, Vasil Y.; Lobo, Andrea F. "Proyectos de comunicación de datos y redes de pregrado utilizando el software OPNET y Wireshark" (PDF) . Universidad de Rowan . Consultado el 15 de noviembre de 2021 .

Referencias

• Orebaugh, Angela; Ramirez, Gilbert; Beale, Jay (14 de febrero de 2007). Wireshark & ​​Ethereal Network Protocol Analyzer Toolkit. Syngress. pág. 448. ISBN 978-1-59749-073-3. Archivado desde el original el 29 de septiembre de 2009.{{cite book}}: CS1 maint: URL no apta ( enlace )
• Sanders, Chris (23 de mayo de 2007). Análisis práctico de paquetes: uso de Wireshark para resolver problemas de red del mundo real. No Starch Press . p. 192. ISBN 978-1-59327-149-7.
• Chappell, Laura (31 de marzo de 2010). Wireshark Network Analysis: The Official Wireshark Certified Network Analyst Study Guide. Protocol Analysis Institute, dba “Chappell University”. pág. 800. ISBN 978-1-893939-99-8.
• Cheok, Roy (1 de julio de 2014). "Wireshark: una guía para colorear mis paquetes". Sala de lectura del SANS Institute . SANS Institute .

Enlaces externos

• Sitio web oficial