Cómo utilizar Wireshark para capturar, filtrar e inspeccionar paquetes

Wireshark, una herramienta de análisis de red antes conocida como Ethereal, captura paquetes en tiempo real y los muestra en un formato legible por humanos. Wireshark incluye filtros, codificación de colores y otras características que le permiten explorar en profundidad el tráfico de la red y explorar paquetes individuales.

Este tutorial le presentará los conceptos básicos de la captura, el filtrado y la auditoría de paquetes. Puede utilizar Wireshark para inspeccionar el tráfico de la red en busca de programas sospechosos, analizar los flujos de tráfico de la red o solucionar problemas de la red.

Obtener Wireshark

Puede descargar Wireshark para Windows o macOS desde su sitio web oficial. Si está utilizando Linux u otro sistema como UNIX, probablemente encontrará Wireshark en sus repositorios de paquetes. Por ejemplo, si está utilizando Ubuntu, encontrará Wireshark en el Centro de software de Ubuntu.

Una advertencia rápida: muchas organizaciones no permiten Wireshark y herramientas similares en sus redes. No use esta herramienta en el trabajo a menos que tenga permiso.

Capturar un paquete

Después de descargar e instalar Wireshark, puede iniciarlo y hacer doble clic en el nombre de la interfaz de red en Capturar para capturar paquetes en esa interfaz. Por ejemplo, si desea capturar el tráfico en su red inalámbrica, haga clic en su interfaz inalámbrica. Puede configurar funciones avanzadas haciendo clic en Capturar> Opciones, pero esto no es necesario en este momento.

Tan pronto como haga clic en el nombre de la interfaz, verá que los paquetes comienzan a aparecer en tiempo real. Wireshark captura todos los paquetes enviados hacia o desde su sistema.

Si tiene habilitado el modo promiscuo, está habilitado de manera predeterminada, verá todos los demás paquetes en la red en lugar de solo los paquetes enviados a su adaptador de red. Para verificar si el modo promiscuo está habilitado, haga clic en Capturar> Opciones y verifique que la casilla de verificación «Habilitar el modo promiscuo en todas las interfaces» esté seleccionada en la parte inferior de esta ventana.

Haga clic en el botón rojo «Detener» en la esquina superior izquierda de la ventana cuando desee detener la captura de tráfico.

Codigo de color

Probablemente verá paquetes resaltados en una variedad de colores diferentes. Wireshark usa colores para ayudarlo a observar los tipos de tráfico. De forma predeterminada, el violeta claro es el tráfico de TCP, el azul claro es el tráfico de UDP y el negro reconoce los paquetes de error; por ejemplo, se les pueden enviar no comandos.

Para ver exactamente qué significan los códigos de color, haga clic en Ver> Reglas de coloración. Puede personalizar y cambiar las reglas de coloración aquí si lo desea.

Capturar muestras

Si no hay nada interesante sobre su propia red para explorar, la wiki de Wireshark lo cubre. A página con archivos de captura de muestra que puede cargar y explorar. Haga clic en Archivo> Abrir en Wireshark y busque el archivo descargado para abrir uno.

Puede guardar sus propias capturas en Wireshark y abrirlas más tarde. Haga clic en Archivo> Guardar para guardar los paquetes capturados.

Paquetes filtrados

Si intenta explorar algo, como el tráfico que envía un programa cuando llama a casa, le ayudará a cerrar todas las demás aplicaciones que utilizan la red para que pueda restringir el tráfico. Sin embargo, probablemente tenga que comprobar una gran cantidad de paquetes. Ahí es donde entran los filtros Wireshark.

La forma más fácil de aplicar un filtro es ingresarlo en el cuadro de filtro en la parte superior de la ventana y hacer clic en Aplicar (o presionar Enter). Por ejemplo, escriba «dns» y solo verá los paquetes DNS. Una vez que comience a escribir, Wireshark lo ayudará a completar su filtro automáticamente.

También puede hacer clic en Análisis> Mostrar filtros para seleccionar un filtro de los filtros predeterminados incluidos en Wireshark. Desde aquí, puede agregar sus propios filtros personalizados y guardarlos para acceder fácilmente en el futuro.

Para obtener más información sobre el idioma del filtro de demostración de Wireshark, lea Express construye un filtro de pantalla página de la documentación oficial de Wireshark.

Otra cosa interesante que puede hacer es hacer clic con el botón derecho en un paquete y seleccionar Seguimiento> Transmisión TCP.

Verá toda la conversación TCP entre el cliente y el servidor. También puede hacer clic en otros protocolos en el menú Seguimiento para ver las conversaciones completas de otros protocolos, si es necesario.

Cierre la ventana y verá que se ha aplicado un filtro automáticamente. Wireshark te muestra los paquetes que componen el chat.

Inspección de paquetes

Haga clic en un paquete para seleccionarlo y podrá excavar para ver sus detalles.

También puede crear filtros aquí: simplemente haga clic con el botón derecho en uno de los datos y use el submenú Aplicar como filtro para crear un filtro basado en él.


Wireshark es una herramienta increíblemente poderosa, y este tutorial solo escribe la superficie de lo que puede hacer con él. Los profesionales lo utilizan para solucionar problemas de implementación de un protocolo de red, examinar problemas de seguridad y explorar las características de un protocolo de red interno.

Puedes encontrar información más detallada en el oficial Guía del usuario de Wireshark y otras páginas documentadas en el sitio web de Wireshark.