Wireshark es multiplataforma y está disponible para Linux, Windows y Mac OS. Obtiene la misma experiencia de usuario en cualquier sistema operativo que utilice.
Para obtener más información sobre Wireshark, visite el sitio web oficial de Wireshark en https://www.wireshark.org
En este artículo, le mostraré cómo instalar Wireshark en Ubuntu y cómo usarlo. Estoy usando Ubuntu 18.04 LTS para la demostración. Pero debería funcionar en cualquier versión LTS de Ubuntu que aún sea compatible en el momento de escribir este artículo. Empecemos.
Wireshark está disponible en el repositorio de paquetes oficial de Ubuntu 14.04 LTS y versiones posteriores. Por eso es realmente fácil de instalar.
Primero actualice la caché del repositorio de paquetes APT con el siguiente comando:
$sudoactualización apta 
Se debe actualizar la caché del repositorio de paquetes APT.
Ahora, ejecute el siguiente comando para instalar Wireshark en su máquina Ubuntu:
$sudoaptoInstalar en pcWirehark 
Ahora presiona y y luego presione .
De forma predeterminada, Wireshark debe iniciarse como raíz (también se puede hacer con sudo ) privilegios para trabajar. Si desea ejecutar Wireshark sin raíz privilegios o sin sudo , luego seleccione y presione .
Se debe instalar Wireshark.
Ahora si seleccionaste en la sección anterior para ejecutar Wireshark sin acceso de root, luego ejecute el siguiente comando para agregar su usuario al Wirehark grupo:
$sudousermod-aGwirehark $(quién soy) 
Finalmente, reinicie su computadora con el siguiente comando:
$sudoreiniciar 
Iniciando Wireshark:
Ahora que Wireshark está instalado, puede iniciar Wireshark desde el Menú de aplicaciones de Ubuntu.
También puede ejecutar el siguiente comando para iniciar Wireshark desde la Terminal:
$WireharkSi no habilitó la ejecución de Wireshark sin raíz privilegios o sudo , entonces el comando debería ser:
$sudoWireharkWireshark debería iniciarse.
Captura de paquetes con Wireshark:
Cuando inicie Wireshark, verá una lista de interfaces desde las que puede capturar paquetes.
Hay muchos tipos de interfaces que puede monitorear usando Wireshark, por ejemplo, Cableado , Inalámbrico , USB y muchos dispositivos externos. Puede elegir mostrar tipos específicos de interfaces en la pantalla de bienvenida desde la sección marcada de la captura de pantalla a continuación.
Aquí, enumeré solo los Cableado interfaces de red.
Ahora, para comenzar a capturar paquetes, simplemente seleccione la interfaz (en mi caso, la interfaz ens33 ) y haga clic en el Empiece a capturar paquetes icono como se marca en la captura de pantalla a continuación. También puede hacer doble clic en la interfaz desde la que desea capturar paquetes para comenzar a capturar paquetes en esa interfaz en particular.
También puede capturar paquetes hacia y desde múltiples interfaces al mismo tiempo. Solo mantén presionado y haga clic en las interfaces a las que desea capturar paquetes desde y hacia y luego haga clic en el Empiece a capturar paquetes icono como se marca en la captura de pantalla a continuación.
Usando Wireshark en Ubuntu:
Estoy capturando paquetes en el ens33 interfaz de red cableada como puede ver en la captura de pantalla a continuación. En este momento, no tengo paquetes capturados.
Hice ping a google.com desde la terminal y, como puede ver, se capturaron muchos paquetes.
Ahora puede hacer clic en un paquete para seleccionarlo. Seleccionar un paquete mostraría mucha información sobre ese paquete. Como puede ver, se muestra información sobre las diferentes capas del protocolo TCP / IP.
También puede ver los datos RAW de ese paquete en particular.
También puede hacer clic en las flechas para expandir los datos del paquete para una capa de protocolo TCP / IP en particular.
Filtrado de paquetes con Wireshark:
En una red ocupada, se capturarán miles o millones de paquetes por segundo. Por lo tanto, la lista será tan larga que será casi imposible desplazarse por la lista y buscar cierto tipo de paquete.
Lo bueno es que, en Wireshark, puede filtrar los paquetes y ver solo los paquetes que necesita.
Para filtrar paquetes, puede escribir directamente la expresión de filtro en el cuadro de texto como se indica en la captura de pantalla a continuación.
También puede filtrar los paquetes capturados por Wireshark gráficamente. Para hacer eso, haga clic en el Expresión… botón como se marca en la captura de pantalla a continuación.
Debería abrirse una nueva ventana como se muestra en la captura de pantalla a continuación. Desde aquí puede crear una expresión de filtro para buscar paquetes de manera muy específica.
En el Nombre del campo En la sección se enumeran casi todos los protocolos de red. La lista es enorme. Puede escribir qué protocolo está buscando en el Buscar cuadro de texto y el Nombre del campo la sección mostraría los que coincidían.
En este artículo, voy a filtrar todos los paquetes DNS. Así que seleccioné DNS sistema de nombres de dominio desde el Nombre del campo lista. También puede hacer clic en el flecha en cualquier protocolo
Y haz tu selección más específica.
También puede usar operadores relacionales para probar si algún campo es igual, no igual, mayor o menor que algún valor. Busqué todos los DNS IPv4 dirección que es igual a 192.168.2.1 como puede ver en la captura de pantalla a continuación.
La expresión de filtro también se muestra en la sección marcada de la captura de pantalla a continuación. Esta es una excelente manera de aprender a escribir expresiones de filtro en Wireshark.
Una vez que haya terminado, simplemente haga clic en OK .
Ahora haga clic en el icono marcado para aplicar el filtro.
Como puede ver, solo se muestran los paquetes del protocolo DNS.
Detener la captura de paquetes en Wireshark:
Puede hacer clic en el icono rojo como se marca en la captura de pantalla a continuación para dejar de capturar paquetes Wireshark.
Guardar paquetes capturados en un archivo:
Puede hacer clic en el icono marcado para guardar los paquetes capturados en un archivo para uso futuro.
Ahora seleccione una carpeta de destino, escriba el nombre del archivo y haga clic en Ahorrar .
El archivo debe guardarse.
Ahora puede abrir y analizar los paquetes guardados en cualquier momento. Para abrir el archivo, vaya a Expediente > Abierto desde Wireshark o presione + o
Luego seleccione el archivo y haga clic en Abierto .
Los paquetes capturados deben cargarse desde el archivo.
Así es como instalas y usas Wireshark en Ubuntu. Gracias por leer este artículo.