Wireshark — Análisis de Tráfico, TShark y Filtros

#wireshark #tshark #termshark #network-analysis #pcap #filters #forensics #rdp #tls

🌐 ¿Qué es Wireshark?

Wireshark es una herramienta gratuita y de código abierto para analizar tráfico de red (como tcpdump, pero con interfaz gráfica).
Permite capturar y examinar paquetes en tiempo real o desde archivos .pcap.

💡 Es una de las herramientas más poderosas para el análisis profundo de protocolos de red.

⚙️ Características Principales

✅ Inspección profunda de cientos de protocolos
✅ Interfaz gráfica (GUI) y modo terminal (TShark)
✅ Compatible con Windows, Linux, macOS y BSD
✅ Captura desde interfaces: Ethernet, WiFi, Bluetooth, USB, PPP, etc.
✅ Capacidad de descifrar tráfico (IPsec, SSL/TLS, WPA2, etc.)

💻 Requisitos del Sistema

🪟 En Windows

Instalación:

Descargar desde https://www.wireshark.org Verificar el hash y ejecutar el instalador

🐧 En Linux

🧰 TShark vs Wireshark

Herramienta Entorno Características
Wireshark GUI Ideal para análisis visual, incluye decodificación avanzada
TShark Terminal Más ligera, útil en servidores sin entorno gráfico

Ambas usan la misma sintaxis y filtros (BPF).

🧩 Comandos Básicos de TShark

Opción Descripción
-D Lista interfaces disponibles
-L Lista tipos de enlace (Ethernet, etc.)
-i Selecciona interfaz (ej: -i eth0)
-f Filtro de captura (BPF syntax)
-c Captura un número de paquetes y termina
-a Autostop por tiempo, tamaño o número de paquetes
-r Leer archivo .pcap
-w Guardar en archivo .pcapng
-P Imprimir resumen de paquetes
-x Mostrar salida en Hex y ASCII
-h Ver ayuda completa

Ver ayuda:

tshark -h

🔍 Ejemplos de uso TShark

🧠 Listar interfaces:

tshark -D

📡 Capturar tráfico:

sudo tshark -i eth0 -w /tmp/captura.pcap

🎯 Filtrar por host:

sudo tshark -i eth0 -f "host 172.16.146.2"

🧾 Ejemplo de salida:
Captura DNS + TLS entre host local y github.com, mostrando consultas, respuestas y handshake TCP.

🖥️ Termshark (Wireshark en terminal TUI)

Una versión visual en modo texto (TUI) de Wireshark.

🟩 Permite:

Instalación:

https://github.com/gcla/termshark/releases

Ejecución:

termshark -r archivo.pcap

🕵️‍♂️ La interfaz aparece cuando detecta tráfico.

🧬 Interfaz gráfica de Wireshark

Wireshark tiene tres paneles principales:

Panel Color Función
Lista de Paquetes 🟧 Naranja Muestra resumen (N°, hora, IPs, protocolo, info)
Detalles del Paquete 🔵 Azul Descompone el paquete por capas OSI (Ethernet, IP, TCP, etc.)
Bytes del Paquete 🟩 Verde Muestra el contenido en Hex y ASCII

💡 Al seleccionar un campo, se resalta su posición exacta en los bytes.
Pasted image 20251012174544.png

🧰 Otras Funciones Importantes

🧭 Barra de herramientas

Desde aquí puedes:

💾 Guardar una captura

🎚️ Filtros en Wireshark

Wireshark usa dos tipos de filtros:

Tipo Momento de aplicación Sintaxis Ejemplo
Capture Filter Antes de capturar BPF (como tcpdump) host 10.0.0.1
Display Filter Durante o después Propia de Wireshark ip.addr == 10.0.0.1

🎯 Filtros de Captura (BPF)

Se aplican antes de capturar.

Filtro Resultado
host x.x.x.x Captura solo ese host
net 10.0.0.0/24 Captura red específica
src net / dst net Tráfico origen o destino
port 80 Solo puerto 80
not port 22 Excluye puerto 22
portrange 20-25 Rango de puertos
ip, tcp, ether Solo protocolo específico
broadcast, multicast Tipos de tráfico específicos

📍 Aplicación:
Menú → Capture → Options → Capture Filter
Pasted image 20251012174508.png

🔎 Filtros de Visualización

Se aplican durante o después de capturar.

Filtro Resultado
ip.addr == 192.168.1.1 Tráfico con esa IP (OR)
ip.src == 192.168.1.5 Tráfico saliente
ip.dst == 8.8.8.8 Tráfico entrante
dns / tcp / ftp / arp Por protocolo
tcp.port == 443 Por puerto TCP
tcp.port != 80 Excluye puerto
and / or / not Combinar condiciones
Pasted image 20251012174456.png
💡 Campo verde = filtro válido
Campo rojo = error de sintaxis

📍 Aplicación:
Barra superior → campo de filtro → escribir condición → Enter.

⚠️ Diferencia entre Puerto y Protocolo

🧾 Conclusión

Con Wireshark puedes:

📊 Con práctica, Wireshark se convierte en tu “microscopio de red”.