1. Captura del tráfico:
* Selección de la interfaz: Comience Wireshark. Se le presentará una lista de interfaces de red. Elija la interfaz donde fluye el tráfico TCP/UDP que desea analizar. Esto es crucial. Elegir la interfaz incorrecta capturará datos irrelevantes. Si no está seguro, mire los nombres y descripciones de la interfaz:un adaptador Wi-Fi estará claramente etiquetado como tal.
* Iniciar captura: Haga clic en el botón "Inicio" para comenzar a capturar paquetes. Wireshark comenzará a capturar todo el tráfico en la interfaz seleccionada. Deje que la captura se ejecute durante un tiempo suficiente para asegurarse de capturar los eventos relevantes.
* Filtrado (opcional, pero muy recomendable): Para evitar abrumarse con datos irrelevantes, use filtros. Puedes filtrar por:
* Protocolo: `TCP` o` UDP` mostrarán solo paquetes TCP o UDP, respectivamente.
* Dirección IP: `IP.Addr ==192.168.1.100` mostrará solo paquetes a o desde esta dirección IP.
* Puerto: `tcp.port ==80` mostrará solo el tráfico TCP en el puerto 80 (http). `Udp.port ==53` mostrará solo el tráfico UDP en el puerto 53 (DNS).
* Combinación: Puedes combinar filtros. Por ejemplo, `TCP y Port 80 y IP.Addr ==192.168.1.100` mostrarán solo el tráfico TCP en el puerto 80 a o desde 192.168.1.100. Use `||` (o) para combinar diferentes criterios de filtro.
* Filtros de visualización: Estos filtros se aplican * después de * la captura se completa y afectan lo que se muestra. Se aplican en el campo "Filtro de visualización" en la parte superior de la ventana Wireshark.
* Filtros de captura: Estos filtros se aplican * antes de * la captura incluso comienza, diciéndole a Wireshark que solo capture paquetes que coinciden con los criterios del filtro. Están configurados en el cuadro de diálogo "Captura de filtros".
2. Análisis del tráfico capturado:
Una vez que haya capturado el tráfico relevante, Wireshark presenta los paquetes en una lista. Cada fila representa un solo paquete. Las columnas clave incluyen:
* no.: Número de paquete.
* Tiempo: Marca de tiempo de llegada de paquetes.
* Fuente: Dirección IP de origen y puerto.
* Destino: Dirección IP de destino y puerto.
* Protocolo: Protocolo utilizado (TCP, UDP, etc.).
* Longitud: Longitud del paquete.
Análisis TCP específico:
* TCP Stream: Haga clic con el botón derecho en un paquete TCP y seleccione "Seguir" -> "TCP Stream". Esto le mostrará toda la conversación entre la fuente y el destino, a menudo reconstruyendo los datos de nivel de aplicación (por ejemplo, solicitudes y respuestas HTTP).
* TCP Segment Flags: Examine las banderas TCP (SYN, ACK, FIN, RST, PSH, etc.) dentro de los detalles del paquete. Estas banderas son cruciales para comprender el estado de la conexión TCP.
* Números de secuencia y reconocimiento: Analice la secuencia y los números de reconocimiento para comprender el flujo de datos e identificar las posibles retransmisiones (debido a la pérdida de paquetes).
* Tamaño de la ventana: Observe el tamaño de la ventana para diagnosticar posibles problemas de control de congestión.
Análisis UDP específico:
* Siga la transmisión UDP: Haga clic derecho en un paquete UDP y seleccione "Sigue" -> "UDP Stream". A diferencia de TCP, UDP no garantiza la entrega u pedido. La secuencia simplemente mostrará los datos sin procesar enviados en cada paquete UDP.
* Inspección de carga útil: Examine la carga útil del paquete UDP para comprender los datos de nivel de aplicación (por ejemplo, consultas y respuestas DNS). A menudo necesita conocer el protocolo de aplicación (DNS, DHCP, etc.) para interpretar la carga útil correctamente. Los disectores de protocolo de Wireshark ayudan con esto.
3. Usando las características de Wireshark:
* Jerarquía del protocolo: El panel de detalles del paquete muestra un desglose jerárquico de la estructura del paquete, lo que le permite examinar cada capa (Ethernet, IP, TCP/UDP, aplicación).
* codificación de color: Wireshark utiliza la codificación de colores para resaltar diferentes aspectos del tráfico de red, como las retransmisiones de TCP.
* Información de expertos: Busque advertencias y errores marcados en la sección "Información de expertos". Esto puede resaltar problemas potenciales como paquetes caídos o problemas de conexión.
* Estadísticas: Wireshark proporciona varias estadísticas que pueden proporcionar resúmenes del tráfico capturado.
Escenarios de ejemplo:
* Solución de problemas de una conexión de sitio web: Capture el tráfico mientras intenta acceder a un sitio web, filtre por `TCP y Port 80` o` TCP y Port 443`, y examine las solicitudes y respuestas HTTP en la secuencia TCP para identificar problemas.
* Análisis de consultas DNS: Capture el tráfico, filtre por `UDP y Port 53`, y examine las consultas y respuestas DNS para ver qué servidores DNS se contactan y qué registros se solicitan.
* Investigación de la congestión de la red: Capture el tráfico y analice los tamaños y retransmisiones de la ventana TCP para identificar posibles puntos de congestión.
Al utilizar efectivamente el filtrado, seguir las transmisiones y examinar los detalles de los paquetes, Wireshark le permite analizar profundamente el tráfico TCP y UDP, ayudando a diagnosticar problemas de red y comprender el comportamiento de la red. Recuerde consultar la extensa documentación de Wireshark para técnicas más avanzadas.