5 trucos asesino a sacar el máximo partido de Wireshark

Wireshark tiene bastantes trucos bajo la manga, desde la captura de tráfico de control remoto para la creación de reglas de firewall basado en paquetes capturados. Siga leyendo para conocer algunos consejos más avanzados si desea utilizar Wireshark como un profesional.
Ya hemos cubierto uso básico de Wireshark , así que asegúrese de leer nuestro artículo original para una introducción a esta poderosa herramienta de análisis de redes.

Resolución de nombre de red

Si bien la captura de paquetes, es posible que le molestó que Wireshark sólo muestra las direcciones IP. Puede convertir las direcciones IP a nombres de dominio usted mismo, pero eso no es demasiado conveniente.
Wireshark puede resolver automáticamente estas direcciones IP a nombres de dominio, aunque esta función no está activada por defecto. Al habilitar esta opción, verás los nombres de dominio en lugar de direcciones IP siempre que sea posible. La desventaja es que Wireshark tendrá que buscar cada nombre de dominio, la contaminación del tráfico capturado con las peticiones DNS adicionales.
Puede habilitar esta configuración mediante la apertura de la ventana de preferencias deEdición -> Preferencias , haga clic en el nombre de la Resolución del panel y hacer clic en "Habilitar la resolución de nombres de red casilla de verificación ".

Iniciar Captura automáticamente

Usted puede crear un acceso directo especial usando argumentos de línea de comandos de Wirshark si desea iniciar la captura de paquetes sin demora. Usted necesita saber el número de la interfaz de red que desea utilizar, basado en el orden Wireshark muestra las interfaces.
Crear una copia de acceso directo del Wireshark, haga clic en él, entrar en su ventana de Propiedades y cambiar los argumentos de la línea de comandos. Añadir -i # -k hasta el final del acceso directo, en sustitución de # con el número de la interfaz que desea utilizar. La opción -i especifica la interfaz, mientras que la opción -k dice Wireshark para iniciar la captura de inmediato.
Si está utilizando Linux u otro sistema operativo que no sea Windows, basta con crear un acceso directo con el siguiente comando, o ejecutarlo desde un terminal para iniciar la captura de inmediato:
Wireshark -i # -k
Para más atajos de línea de comandos, echa un vistazo a la página del manual de Wireshark .

La captura de tráfico desde equipos remotos

Wireshark captura tráfico de interfaces locales de su sistema por defecto, pero esto no siempre es la ubicación que desea capturar desde. Por ejemplo, es posible que desee capturar el tráfico de un router, servidor o en otro equipo en una ubicación diferente en la red. Aquí es donde la función de captura remota de Wireshark viene en Esta función sólo está disponible en Windows en el momento -. La documentación oficial de Wireshark recomienda que los usuarios de Linux utilizan un túnel SSH .
En primer lugar, usted tiene que instalar WinPcap en el sistema remoto. WinPcap viene con Wireshark, por lo que no tiene que instalar WinPCap si ya ha instalado Wireshark en el sistema remoto.
Después de que se isntalled, abra la ventana de Servicios en el equipo remoto - haga clic en Inicio, escriba services.msc  en el cuadro de búsqueda del menú Inicio y pulse Intro. Busque elProtocolo de captura de paquetes a distancia de servicios de la lista y ponerlo en marcha. Este servicio está desactivado por defecto.
Haga clic en la opción de captura de enlace s en Wireshark, a continuación, seleccione remotode la caja de interfaz.
Introduzca la dirección del sistema remoto y 2002 como puerto. Debe tener acceso al puerto 2002 en el sistema remoto para conectar, por lo que puede que tenga que abrir este puerto en un servidor de seguridad.
Después de conectar, puede seleccionar una interfaz en el sistema remoto de la caja de interfaz desplegable. Haga clic en Inicio después de seleccionar la interfaz para iniciar la captura remota.

Wireshark en un Terminal (TShark)

Si usted no tiene una interfaz gráfica en su sistema, puede utilizar Wireshark desde un terminal con el comando TShark.
En primer lugar, emitir el -D tshark comandos. Este comando le dará el número de interfaces de red.
Una vez que usted tiene, ejecute el tshark -i # comando, sustituyendo # por el número de la interfaz que desea capturar en.
TShark actúa como Wireshark, la impresión de que el tráfico que captura a la terminal. UtiliceCtrl-C cuando se desea detener la captura.
Impresión de los paquetes a la terminal no es el comportamiento más útil. Si queremos inspeccionar el tráfico con más detalle, podemos tener TShark volcado en un archivo que se puede inspeccionar más tarde. Utilice este comando en lugar de volcar el tráfico a un archivo:
tshark -i # -w nombre
TShark no le mostrará los paquetes que están siendo capturados, pero va a contar con ellos, ya que les captura. Puede utilizar el archivo -> Abrir opción en Wireshark para abrir el archivo de captura después.
Para obtener más información acerca de las opciones de línea de comandos de TShark, echa un vistazo a su página de manual .

Creación de reglas de Firewall de ACL

Si usted es un administrador de red a cargo de un firewall y que estés usando Wireshark para hurgar, es posible que desee tomar medidas basadas en el tráfico que se ve - tal vez para bloquear una parte del tráfico sospechoso. De Wireshark Firewall Reglas ACL herramienta genera los comandos que necesita para crear reglas de firewall en el servidor de seguridad.
En primer lugar, seleccione un paquete que desea crear una regla de firewall basado en haciendo clic sobre ella. Después de eso, haga clic en el Herramientas menú y seleccioneFirewall Reglas ACL .
Utilice el producto menú para seleccionar el tipo de firewall. Wireshark es compatible con Cisco IOS, diferentes tipos de cortafuegos de Linux, incluyendo iptables y el cortafuegos de Windows.
Puede utilizar el filtro de la caja para crear una regla basada en la dirección de cualquiera de los sistemas MAC, la dirección IP, el puerto, o tanto la dirección IP y el puerto. Es posible que vea un menor número de opciones de filtro, dependiendo de su producto de firewall.
De forma predeterminada, la herramienta crea una regla que niega el tráfico entrante. Puede modificar el comportamiento de la regla desmarcando la entrada o Denegar casillas de verificación. Después de crear una regla, utilice el Copiar botón para copiar, y luego ejecutarlo en su servidor de seguridad para aplicar la regla.

¿Quieres que escribamos algo específico sobre Wireshark en el futuro? Háganos saber en los comentarios si usted tiene cualesquiera peticiones o ideas.