Com utilitzar Wireshark per capturar, filtrar i inspeccionar paquets
Wireshark, una eina d’anàlisi de xarxes anteriorment coneguda com a Ethereal, captura paquets en temps real i els mostra en format llegible per l’home. Wireshark inclou filtres, codificació de colors i altres funcions que us permeten aprofundir en el trànsit de la xarxa i inspeccionar paquets individuals.
Aquest tutorial us posarà al dia amb els conceptes bàsics de captura de paquets, filtrat i inspecció. Podeu utilitzar Wireshark per inspeccionar el trànsit de xarxa d’un programa sospitós, analitzar el flux de trànsit de la vostra xarxa o solucionar problemes de xarxa.
Obtenir Wireshark
Podeu descarregar Wireshark per a Windows o macOS des del seu lloc web oficial. Si utilitzeu Linux o un altre sistema similar a UNIX, probablement trobareu Wireshark als repositoris de paquets. Per exemple, si utilitzeu Ubuntu, trobareu Wireshark al Ubuntu Software Center.
Només un avís ràpid: moltes organitzacions no permeten Wireshark i eines similars a les seves xarxes. No utilitzeu aquesta eina a la feina tret que tingueu permís.
Captura de paquets
Després de descarregar i instal·lar Wireshark, podeu iniciar-lo i fer doble clic al nom d'una interfície de xarxa a Captura per començar a capturar paquets en aquesta interfície. Per exemple, si voleu captar trànsit a la vostra xarxa sense fils, feu clic a la vostra interfície sense fils. Podeu configurar funcions avançades fent clic a Captura> Opcions, però ara per ara no és necessari.
Tan bon punt feu clic al nom de la interfície, veureu que els paquets comencen a aparèixer en temps real. Wireshark captura cada paquet enviat al o des del vostre sistema.
Si teniu el mode promiscu activat (està activat de manera predeterminada), també veureu tots els altres paquets de la xarxa en lloc de només els paquets dirigits al vostre adaptador de xarxa. Per comprovar si el mode promiscuable està habilitat, feu clic a Captura> Opcions i verifiqueu que la casella de selecció "Activa el mode promiscu a totes les interfícies" estigui activada a la part inferior d'aquesta finestra.
Feu clic al botó vermell "Atura" que hi ha a prop de l'extrem superior esquerre de la finestra quan vulgueu deixar de capturar trànsit.
Codificació de colors
Probablement veureu els paquets ressaltats en diversos colors. Wireshark utilitza colors per ajudar-vos a identificar els tipus de trànsit d'un cop d'ull. Per defecte, el porpra clar és el trànsit TCP, el blau clar és el trànsit UDP i el negre identifica els paquets amb errors; per exemple, es podrien haver lliurat fora de comanda.
Per veure exactament el que signifiquen els codis de colors, feu clic a Visualitza> Regles per pintar. També podeu personalitzar i modificar les regles de color des d’aquí, si voleu.
Captures de mostra
Si no hi ha res interessant a inspeccionar a la vostra pròpia xarxa, el wiki de Wireshark us cobrirà. La wiki conté una pàgina de fitxers de captura de mostra que podeu carregar i inspeccionar. Feu clic a Fitxer> Obre a Wireshark i cerqueu el fitxer descarregat per obrir-ne un.
També podeu desar les vostres pròpies captures a Wireshark i obrir-les més tard. Feu clic a Fitxer> Desa per desar els paquets capturats.
Paquets de filtratge
Si intenteu inspeccionar alguna cosa específica, com ara el trànsit que envia un programa quan truca per telèfon, us ajudarà a tancar la resta d’aplicacions que utilitzen la xarxa perquè pugueu reduir el trànsit. Tot i així, és probable que tingueu una gran quantitat de paquets per tamisar. És aquí on entren els filtres de Wireshark.
La forma més bàsica d’aplicar un filtre és escrivint-lo al quadre de filtre situat a la part superior de la finestra i fent clic a Aplica (o premeu Retorn). Per exemple, escriviu "dns" i només veureu paquets DNS. Quan comenceu a escriure, Wireshark us ajudarà a completar automàticament el filtre.
També podeu fer clic a Analitza> Mostra els filtres per triar un filtre d'entre els filtres predeterminats inclosos a Wireshark. A partir d’aquí, podeu afegir els vostres propis filtres personalitzats i desar-los per accedir-hi fàcilment en el futur.
Per obtenir més informació sobre l’idioma de filtratge de pantalla de Wireshark, llegiu la pàgina Expressions del filtre de visualització de la construcció a la documentació oficial de Wireshark.
Una altra cosa interessant que podeu fer és fer clic amb el botó dret del ratolí sobre un paquet i seleccionar Segueix> Transmissió TCP.
Veureu la conversa TCP completa entre el client i el servidor. També podeu fer clic a altres protocols al menú Segueix per veure les converses completes d'altres protocols, si escau.
Tanqueu la finestra i trobareu que s’ha aplicat automàticament un filtre. Wireshark us mostra els paquets que formen la conversa.
Inspecció de paquets
Feu clic a un paquet per seleccionar-lo i podreu desenterrar per veure'n els detalls.
També podeu crear filtres des d’aquí; només cal que feu clic amb el botó dret en un dels detalls i utilitzeu el submenú Aplica com a filtre per crear un filtre basat en ell.
Wireshark és una eina extremadament potent, i aquest tutorial només ratlla la superfície del que es pot fer amb ell. Els professionals l’utilitzen per depurar implementacions de protocols de xarxa, examinar problemes de seguretat i inspeccionar les funcions internes del protocol de xarxa.
Podeu trobar informació més detallada a la Guia de l’usuari oficial de Wireshark i a les altres pàgines de documentació del lloc web de Wireshark.