Wireshark es uno de los mejores analizadores de paquetes GUI de código abierto disponibles hoy en día. Se utiliza para capturar paquetes de red y mostrar los detalles de los datos de los paquetes. Wireshark y tcpdump utilizan libpcap para obtener datos de red en vivo. A menudo es más fácil capturar paquetes usando el comando tcpdump y visualizarlos usando Wireshark. Esto es útil para la solución de problemas de seguridad de la red o de la red y para depurar las implementaciones de protocolo.
En este tutorial, vamos a ir a través de la instalación de Wireshark en Ubuntu 16.04, CentOS 7, y Arch Linux.
Instalación en Ubuntu 16.04
Antes de comenzar la instalación, conozcamos las dependencias:
$ sudo apt-get install build-essential checkinstall libcurl4-openssl-dev bison flex qt5-default qttools5-dev libssl-dev libgtk-3-dev libpcap-d
Una vez instaladas todas las dependencias, ejecutamos lo siguiente en el terminal.
$ sudo add-apt-repository ppa:wireshark-dev/stable$ sudo apt-get update$ sudo apt-get install wireshark
Durante la instalación, si se le pregunta si los no superusuarios podrán capturar paquetes. Pulsamos la flecha izquierda del teclado para seleccionar <Sí> y pulsamos Enter.
Podemos lanzarlo desde el dash o escribir el comando:
$ wireshark
Instalación en CentOS 7
Instalaremos Wireshark en CentOS 7 utilizando yum. En la terminal, escriba los siguientes comandos:
Láncelo desde el lanzador o escriba el siguiente comando en la línea de comandos:
$ wireshark
Instalación en Arch Linux
En la terminal, escriba los siguientes comandos:
$ sudo pacman -S wireshark-qt
o si prefieres la interfaz GTK+, utiliza este comando:
$ sudo pacman -S wireshark-gtk
Instalación desde el código fuente
La instalación desde el código fuente requerirá que compiles el código fuente. Una vez que se cumplan los requisitos, ejecute los siguientes comandos en el terminal para instalar el código fuente.
Tshark
TShark es una herramienta de línea de comandos que viene junto con Wireshark para capturar el tráfico en vivo, así como leer y analizar los archivos de captura. Sin ninguna opción establecida, TShark funcionará de forma muy parecida a tcpdump. Utilizará la biblioteca pcap para capturar el tráfico de la primera interfaz de red disponible y muestra una línea de resumen en stdout para cada paquete recibido.
Tshark es automáticamente en CentOS 7 cuando se instala wireshark. En Ubuntu, puedes instalarlo con el comando:
$ sudo apt install tshark
Usando Tshark
Si quieres capturar los paquetes que vienen de/salen del puerto UDP 1812 en eth0, puedes usar el comando tshark como sigue:
$ tshark -f "tcp port 80" -i eth0 -w capture.capCapturing on 'eth0'
La bandera -f se usa para especificar un filtro de captura de red (más sobre los filtros más adelante). Los paquetes que no verifiquen la condición que sigue a la bandera -f no serán capturados. En este ejemplo, sólo se capturan los paquetes IP que vienen o van al puerto UDP 1812.
La bandera -i se utiliza para especificar la interfaz desde la que esperamos ver los paquetes RADIUS. Cambie ‘eth0’ por el nombre de su interfaz.
La bandera -w se utiliza para especificar un archivo donde se guardará el tráfico capturado para su posterior procesamiento.
Si obtiene un error de ‘Permiso denegado’ al ejecutar wireshark como usuario local, puede iniciarlo con privilegios de root o añadir la cuenta de usuario al grupo wireshark utilizando el siguiente comando:
$ sudo usermod -a -G wireshark username