Wireshark representa el analizador de protocolos más utilizado del mundo. Al usarlo, puede verificar todo lo que sucede dentro de su red, solucionar diferentes problemas, analizar y filtrar el tráfico de su red utilizando varias herramientas, etc.
Si desea obtener más información sobre Wireshark y cómo filtrar por puerto, asegúrese de seguir leyendo.
¿Qué es exactamente el filtrado de puertos?
El filtrado de puertos representa una forma de filtrar paquetes (mensajes de diferentes protocolos de red) en función de su número de puerto. Estos números de puerto se utilizan para los protocolos TCP y UDP, los protocolos de transmisión más conocidos. El filtrado de puertos representa una forma de protección para su computadora ya que, mediante el filtrado de puertos, puede optar por permitir o bloquear ciertos puertos para evitar diferentes operaciones dentro de la red.
Existe un sistema bien establecido de puertos que se utilizan para diferentes servicios de Internet, como transferencia de archivos, correo electrónico, etc. De hecho, hay más de 65.000 puertos diferentes. Existen en modo "permitir" o "cerrado". Algunas aplicaciones en Internet pueden abrir estos puertos, lo que hace que su computadora esté más expuesta a piratas informáticos y virus.
Al usar Wireshark, puede filtrar diferentes paquetes según su número de puerto. Por qué querrías hacer esto? Porque de esa manera, puede filtrar todos los paquetes que no desea en su computadora por diferentes razones.
¿Cuáles son los puertos importantes?
Hay 65.535 puertos. Se pueden dividir en tres categorías diferentes: los puertos del 0 al 1023 son puertos bien conocidos y están asignados a servicios y protocolos comunes. Luego, del 1024 al 49151 son puertos registrados; ICANN los asigna a un servicio específico. Y los puertos públicos son los puertos 49152-65535, pueden ser utilizados por cualquier servicio. Se utilizan diferentes puertos para diferentes protocolos.
Si desea conocer los más comunes, consulte la siguiente lista:
| Número de puerto | Nombre del Servicio | Protocolo |
| 20, 21 | Protocolo de transferencia de archivos - FTP | TCP |
| 22 | Cáscara segura - SSH | TCP y UDP |
| 23 | Telnet | TCP |
| 25 | Protocolo simple de transferencia de correo | TCP |
| 53 | Sistema de nombres de dominio - DNS | TCP y UDP |
| 67/68 | Protocolo de configuración dinámica de host - DHCP | UDP |
| 80 | Protocolo de transferencia de hipertexto - HTTP | TCP |
| 110 | Protocolo de oficina postal - POP3 | TCP |
| 123 | Protocolo de tiempo de red - NTP | UDP |
| 143 | Protocolo de acceso a mensajes de Internet (IMAP4) | TCP y UDP |
| 161/162 | Protocolo simple de administración de red: SNMP | TCP y UDP |
| 443 | HTTP con capa de sockets seguros: HTTPS (HTTP sobre SSL / TLS) | TCP |
Análisis en Wireshark
El proceso de análisis en Wireshark representa el monitoreo de diferentes protocolos y datos dentro de una red.
Antes de comenzar con el proceso de análisis, asegúrese de conocer el tipo de tráfico que desea analizar y los distintos tipos de dispositivos que emiten tráfico:
- ¿Tiene el modo promiscuo compatible? Si lo hace, esto permitirá que su dispositivo recopile paquetes que no están destinados originalmente para su dispositivo.
- ¿Qué dispositivos tienes dentro de tu red? Es importante tener en cuenta que diferentes tipos de dispositivos transmitirán diferentes paquetes.
- ¿Qué tipo de tráfico quieres analizar? El tipo de tráfico dependerá de los dispositivos dentro de su red.
Saber cómo usar diferentes filtros es extremadamente importante para capturar los paquetes previstos. Estos filtros se utilizan antes del proceso de captura de paquetes. ¿Cómo trabajan? Al establecer un filtro específico, elimina inmediatamente el tráfico que no cumple con los criterios dados.
Dentro de Wireshark, se utiliza una sintaxis llamada sintaxis de filtro de paquetes Berkley (BPF) para crear diferentes filtros de captura. Dado que esta es la sintaxis que se usa con más frecuencia en el análisis de paquetes, es importante comprender cómo funciona.
La sintaxis de Berkley Packet Filter captura filtros basados en diferentes expresiones de filtrado. Estas expresiones constan de una o varias primitivas, y las primitivas constan de un identificador (valores o nombres que está tratando de encontrar dentro de diferentes paquetes), seguido de uno o varios calificadores.
Los calificadores se pueden dividir en tres tipos diferentes:
- Tipo: con estos calificadores, especifica qué tipo de cosa representa el identificador. Los calificadores de tipo incluyen puerto, red y host.
- Dir (dirección): estos calificadores se utilizan para especificar una dirección de transferencia. De esa forma, "src" marca la fuente y "dst" marca el destino.
- Proto (protocolo): con los calificadores de protocolo, puede especificar el protocolo específico que le gustaría capturar.
Puede utilizar una combinación de diferentes calificadores para filtrar su búsqueda. Además, puede usar operadores: por ejemplo, puede usar el operador de concatenación (& / y), el operador de negación (! / Not), etc.
A continuación, se muestran algunos ejemplos de filtros de captura que puede utilizar en Wireshark:
| Filtros | Descripción |
| host 192.168.1.2 | Todo el tráfico asociado con 192.168.1.2 |
| puerto 22 tcp | Todo el tráfico asociado con el puerto 22 |
| src 192.168.1.2 | Todo el tráfico que se origina en 192.168.1.2 |
Es posible crear filtros de captura en los campos de encabezado del protocolo. La sintaxis se ve así: proto [desplazamiento: tamaño (opcional)] = valor. Aquí, proto representa el protocolo que desea filtrar, el desplazamiento representa la posición del valor en el encabezado del paquete, el tamaño representa la longitud de los datos y el valor son los datos que está buscando.
Mostrar filtros en Wireshark
A diferencia de los filtros de captura, los filtros de visualización no descartan ningún paquete, simplemente los ocultan mientras se visualizan. Esta es una buena opción, ya que una vez que descarte los paquetes, no podrá recuperarlos.
Los filtros de visualización se utilizan para comprobar la presencia de un determinado protocolo. Por ejemplo, si desea mostrar paquetes que contienen un protocolo en particular, puede escribir el nombre del protocolo en la barra de herramientas "Filtro de pantalla" de Wireshark.
Otras opciones
Hay varias otras opciones que puede utilizar para analizar paquetes en Wireshark, según sus necesidades.
- En la ventana "Estadísticas" de Wireshark, puede encontrar diferentes herramientas básicas que puede utilizar para analizar paquetes. Por ejemplo, puede utilizar la herramienta "Conversaciones" para analizar el tráfico entre dos direcciones IP diferentes.
- En la ventana "Información de expertos", puede analizar las anomalías o comportamientos poco comunes dentro de su red.
Filtrado por puerto en Wireshark
Filtrar por puerto en Wireshark es fácil gracias a la barra de filtro que le permite aplicar un filtro de visualización.
Por ejemplo, si desea filtrar el puerto 80, escriba esto en la barra de filtro: "tcp.port == 80. " Lo que también puede hacer es escribir "eq"En lugar de" == ", ya que" eq "se refiere a" igual ".
También puede filtrar varios puertos a la vez. El || en este caso se utilizan signos.
Por ejemplo, si desea filtrar los puertos 80 y 443, escriba esto en la barra de filtro: "tcp.port == 80 || tcp.port == 443", o "tcp.port eq 80 || tcp.port eq 443.”
Preguntas frecuentes adicionales
¿Cómo filtro Wireshark por dirección IP y puerto?
Hay varias formas de filtrar Wireshark por dirección IP:
1. Si está interesado en un paquete con una dirección IP en particular, escríbalo en la barra de filtro: "ip.adr == x.x.x.x.”
2. Si está interesado en paquetes que provienen de una dirección IP en particular, escriba esto en la barra de filtro: "ip.src == x.x.x.x.”
3. Si está interesado en paquetes que van a una dirección IP en particular, escriba esto en la barra de filtro: "ip.dst == x.x.x.x.”
Si desea aplicar dos filtros, como la dirección IP y el número de puerto, consulte el siguiente ejemplo: "ip.adr == 192.168.1.199. && tcp.port eq 443.”Dado que“ && ”representan símbolos para“ y ”, al escribir esto, puede filtrar su búsqueda por dirección IP (192.168.1.199) y por número de puerto (tcp.port eq 443).
¿Cómo captura Wireshark el tráfico del puerto?
Wireshark captura todo el tráfico de la red a medida que ocurre. Capturará todo el tráfico del puerto y le mostrará todos los números de puerto en las conexiones específicas.
Si desea iniciar la captura, siga estos pasos:
1. Abra "Wireshark".
2. Toca "Capturar".
3. Seleccione "Interfaces".
4. Toca "Iniciar".
Si desea centrarse en un número de puerto específico, puede utilizar la barra de filtro.
Cuando desee detener la captura, presione "Ctrl + E".
¿Qué es el filtro de captura para una opción DHCP?
La opción Protocolo de configuración dinámica de host (DHCP) representa un tipo de protocolo de administración de red. Se utiliza para asignar automáticamente direcciones IP a los dispositivos que están conectados a la red. Al usar una opción de DHCP, no es necesario que configure manualmente varios dispositivos.
Si desea ver solo los paquetes DHCP en Wireshark, escriba "bootp" en la barra de filtro. ¿Por qué bootp? Porque representa la versión anterior de DHCP y ambos usan los mismos números de puerto: 67 y 68.
¿Por qué debería utilizar Wireshark?
Usar Wireshark tiene numerosas ventajas, algunas de las cuales son:
1. Es gratis: puede analizar el tráfico de su red de forma totalmente gratuita.
2. Se puede usar para diferentes plataformas: puede usar Wireshark en Windows, Linux, Mac, Solaris, etc.
3. Es detallado: Wireshark ofrece un análisis profundo de numerosos protocolos.
4. Ofrece datos en vivo: estos datos se pueden recopilar de varias fuentes, como Ethernet, Token Ring, FDDI, Bluetooth, USB, etc.
5. Es ampliamente utilizado: Wireshark es el analizador de protocolos de red más popular.
¡Wireshark no muerde!
Ahora ha aprendido más sobre Wireshark, sus habilidades y opciones de filtrado. Si desea estar seguro de que puede solucionar e identificar cualquier tipo de problema de red o inspeccionar los datos que entran y salen de su red, manteniéndolos seguros, definitivamente debería probar Wireshark.
¿Ha utilizado alguna vez Wireshark? Cuéntanoslo en la sección de comentarios a continuación.