Wireshark té uns quants trucs en la màniga, des de capturar trànsit remot fins a crear regles de tallafoc basades en paquets capturats. Llegiu més informació per obtenir alguns consells més avançats si voleu utilitzar Wireshark com a professional.

Ja hem tractat l’ús bàsic de Wireshark, així que assegureu-vos de llegir el nostre article original per a una introducció a aquesta potent eina d’anàlisi de xarxa.

Resolució de nom de xarxa

Al capturar paquets, potser us molesta que Wireshark només mostri adreces IP. Podeu convertir les adreces IP a noms de domini vosaltres mateixos, però no és massa convenient.

Wireshark pot resoldre automàticament aquesta adreça IP als noms de domini, tot i que aquesta funció no està habilitada de manera predeterminada. Quan activeu aquesta opció, sempre que sigui possible, veureu noms de domini en lloc d'adreces IP. L’inconvenient és que Wireshark haurà de buscar cada nom de domini contaminant el trànsit capturat amb peticions DNS addicionals.

Podeu habilitar aquesta configuració obrint la finestra de preferències des de Edita -> Preferències, fent clic al quadre de resolució de nom i feu clic a la casella de selecció "Habilita la resolució del nom de xarxa".

Comença a capturar automàticament

Podeu crear una drecera especial mitjançant els arguments de la línia d'ordres de Wirshark si voleu començar a capturar paquets sense demora. Haureu de saber el nombre de la interfície de xarxa que voleu utilitzar, en funció de l’ordre que Wireshark mostra les interfícies.

Creeu una còpia de la drecera de Wireshark, feu clic amb el botó dret a la finestra Propietats i canvieu els arguments de la línia d'ordres. Afegiu -i # -k al final de la drecera, substituint # pel número de la interfície que voleu utilitzar. L’opció -i especifica la interfície, mentre que l’opció -k indica a Wireshark que comenci a capturar immediatament.

Si utilitzeu Linux o un altre sistema operatiu que no sigui Windows, només heu de crear una drecera amb la següent comanda o executar-la des d'un terminal per començar a capturar-lo immediatament:

wireshark -i # -k

Si voleu més dreceres de línia de comandes, consulteu la pàgina manual de Wireshark.

Captar el trànsit des d’ordinadors remots

Wireshark capta el trànsit de les interfícies locals del sistema per defecte, però no sempre és la ubicació des de la qual es captura. Per exemple, potser voldreu capturar el trànsit d’un enrutador, d’un servidor o d’un altre equip en una ubicació diferent de la xarxa. Aquí és on entra la funció de captació remota de Wireshark. Aquesta característica només està disponible al Windows en aquest moment. La documentació oficial de Wireshark recomana que els usuaris de Linux utilitzin un túnel SSH.

Primer, haureu d’instal·lar WinPcap en el sistema remot. WinPcap ve amb Wireshark, de manera que no cal instal·lar WinPCap si ja teniu instal·lat Wireshark al sistema remot.

Un cop s'hagi indicat, obriu la finestra de serveis de l'ordinador remot. Feu clic a Inici, escriviu services.msc al quadre de cerca del menú Inici i premeu Enter. Localitzeu el servei de protocol de captura de paquets remots a la llista i inicieu-lo. De manera predeterminada, aquest servei està desactivat.

Feu clic a l'enllaç Opcions de captura de Wireshark i, a continuació, seleccioneu Remote del quadre Interfície.

Introduïu l'adreça del sistema remot i el 2002 com a port. Per connectar-vos, heu d’accedir al port 2002 del sistema remot, de manera que és possible que hàgiu d’obrir aquest port en un tallafoc.

Després de connectar-vos, podeu seleccionar una interfície del sistema remot del quadre desplegable Interfície. Feu clic a Inici després de seleccionar la interfície per iniciar la captura remota.

Wireshark en un terminal (TShark)

Si no teniu cap interfície gràfica al vostre sistema, podeu utilitzar Wireshark des d'un terminal amb l'ordre TShark.

Primer, emet la comanda tshark -D. Aquesta ordre us donarà els números de les vostres interfícies de xarxa.

Un cop tingueu, executeu la comanda tshark -i #, substituint # pel número de la interfície que voleu capturar.

TShark actua com Wireshark, imprimint el trànsit que captura al terminal. Utilitzeu Ctrl-C quan vulgueu aturar la captura.

La impressió dels paquets al terminal no és el comportament més útil. Si volem inspeccionar el trànsit amb més detall, podem deixar que TShark ho faci en un fitxer que podrem inspeccionar més endavant. Utilitzeu aquesta ordre en lloc de bolcar el trànsit a un fitxer:

nom de fitxer tshark -i # -w

TShark no us mostrarà els paquets en ser capturats, però els comptarà a mesura que els captura. Podeu utilitzar l'opció Fitxer -> Obrir a Wireshark per obrir el fitxer de captura més endavant.

Per obtenir més informació sobre les opcions de la línia de comandes de TShark, consulteu la seva pàgina manual.

Creació de regles ACL del tallafoc

Si sou un administrador de xarxa que s’encarrega d’un tallafoc i feu servir Wireshark per fer-hi voltes, potser voldreu actuar en funció del trànsit que veieu, potser per bloquejar algun trànsit sospitós. L'eina de regles ACL del tallafoc de Wireshark genera les ordres que haureu de crear regles de tallafoc al tallafoc.

Primer, seleccioneu un paquet en què vulgueu crear una regla de tallafoc basada en fer-hi clic. Després d’això, feu clic al menú Eines i seleccioneu Normes d’acl de tallafoc.

Utilitzeu el menú Producte per seleccionar el tipus de tallafoc. Wireshark és compatible amb Cisco IOS, diferents tipus de tallafocs Linux, inclosos iptables i el tallafoc de Windows.

Podeu utilitzar el quadre Filtre per crear una regla basada en l’adreça MAC del sistema, l’adreça IP, el port o tant l’adreça IP com el port. Podeu veure menys opcions de filtre, segons el producte del tallafoc.

De manera predeterminada, l’eina crea una regla que denega el trànsit entrant. Podeu modificar el comportament de la regla desmarcant les caselles de verificació Entrada o denegació. Després d’haver creat una regla, utilitzeu el botó Copia per copiar-la, i després executeu-la al tallafoc per aplicar la regla.

Voleu que en el futur escrivim res específic sobre Wireshark? Feu-nos saber als comentaris si teniu alguna sol·licitud o idea.