Tutorial para monitorizar tráfico de red con Wireshark

pexels photo 35903484



Tutorial para monitorizar tráfico de red con Wireshark

Tutorial para monitorizar tráfico de red con Wireshark

En redes corporativas medianas es habitual ver picos de 800 Mbps sostenidos en enlaces troncales durante horas de oficina. Wireshark permite capturar y diseccionar esos flujos sin necesidad de hardware especializado. La herramienta se ha convertido en el estándar de facto para analizar tráfico real en entornos Ethernet y Wi-Fi.

Table
  1. Arquitectura interna y captura de paquetes
    1. Modo promiscuo frente a modo monitor en Wi-Fi
  2. Instalación y primeros pasos en sistemas reales
    1. Configuración recomendada antes de la primera captura
  3. Filtros de captura y filtros de visualización
    1. Filtros más utilizados en entornos de producción
  4. Análisis de protocolos y estadísticas
    1. Exportación de objetos y reconstrucción de flujos
  5. Ejemplos prácticos con datos reales
  6. Limitaciones y buenas prácticas
    1. Consejos para capturas prolongadas

Arquitectura interna y captura de paquetes

Wireshark se apoya en la biblioteca libpcap (o WinPcap/Npcap en Windows) para poner la tarjeta de red en modo promiscuo. Una vez activado, recibe copias de todos los frames que llegan al adaptador, independientemente de su dirección MAC destino.

El motor de disección interpreta cada capa del modelo OSI de forma independiente. Cuando llega un paquete TCP, Wireshark extrae primero la cabecera Ethernet, luego la IP, después la TCP y finalmente el payload de la aplicación. Esta separación permite aplicar filtros en cualquier nivel sin perder contexto.

Modo promiscuo frente a modo monitor en Wi-Fi

  • El modo promiscuo funciona en redes cableadas y muestra todo el tráfico que atraviesa el switch cuando este opera en modo no administrado o cuando se usa un puerto espejo.
  • En Wi-Fi el modo monitor desactiva la asociación con puntos de acceso y captura tramas de gestión, control y datos de todos los canales cercanos.
  • Para activar el modo monitor en Linux basta con ejecutar airmon-ng start wlan0 y seleccionar la interfaz mon0 resultante dentro de Wireshark.

Instalación y primeros pasos en sistemas reales

En distribuciones Ubuntu recientes basta con sudo apt install wireshark y añadir el usuario al grupo wireshark para evitar ejecutar la aplicación como root. En macOS la opción recomendada sigue siendo la compilación oficial que incluye Npcap.

Una vez abierto el programa, la lista de interfaces muestra el ancho de banda estimado en tiempo real. Seleccionar la interfaz correcta es el primer paso crítico: elegir una interfaz virtual como docker0 en lugar de la física suele generar capturas vacías o irrelevantes.

Configuración recomendada antes de la primera captura

  1. Desactiva la resolución de nombres DNS en Preferencias → Name Resolution para evitar consultas adicionales que alteren el tráfico.
  2. Activa “Update list of packets in real time” solo cuando necesites ver paquetes conforme llegan; en capturas largas es mejor dejarlo desactivado para reducir consumo de CPU.
  3. Define un tamaño máximo de archivo de captura (ring buffer) de 100 MB si vas a dejar Wireshark corriendo durante horas.

Filtros de captura y filtros de visualización

Los filtros de captura se aplican en el propio driver y reducen la cantidad de datos que llegan a Wireshark. Un filtro clásico como host 192.168.1.10 evita que el kernel copie paquetes que no involucran esa dirección IP.

Los filtros de visualización, en cambio, se ejecutan después de la captura y permiten navegar por el tráfico ya almacenado. La sintaxis es más rica y permite expresiones como tcp.flags.reset == 1 and tcp.port == 443.

Filtros más utilizados en entornos de producción

Filtro Objetivo Ejemplo de uso
tcp.port == 443 Tráfico HTTPS Identificar handshakes TLS lentos
dns.qry.name contains "api" Consultas DNS específicas Detectar dominios maliciosos
icmp.type == 8 Echo requests Localizar escaneos de red
http.request.method == "POST" Peticiones POST Analizar envíos de formularios

Análisis de protocolos y estadísticas

La pestaña Statistics → Protocol Hierarchy muestra el porcentaje de cada protocolo dentro de la captura. En una red típica de oficina es común ver entre 45 % y 60 % de tráfico TLS, seguido de DNS y SMB.

La opción Conversations permite agrupar tráfico por pares IP o por puertos. Esta vista es especialmente útil cuando se investiga un posible exfiltración de datos: basta ordenar por bytes enviados para identificar rápidamente la máquina que más información está transmitiendo.

Exportación de objetos y reconstrucción de flujos

  • Desde File → Export Objects → HTTP se pueden extraer archivos descargados durante la captura sin necesidad de montar un proxy.
  • La opción Follow → TCP Stream reconstruye la conversación completa de una conexión y permite guardar el contenido en texto plano o hexadecimal.
  • Para flujos TLS es necesario proporcionar la clave privada del servidor si se quiere descifrar el contenido; de lo contrario solo se ven los metadatos del handshake.

Ejemplos prácticos con datos reales

En una auditoría de red de una empresa de 120 empleados se capturaron 47 GB de tráfico durante dos horas. Al aplicar el filtro tls.handshake.type == 1 se detectaron 312 conexiones a dominios no autorizados en las últimas dos semanas.

Otro caso habitual es el diagnóstico de latencia en aplicaciones internas. Capturando en el servidor y en el cliente simultáneamente se midió una diferencia de 187 ms entre el SYN y el SYN-ACK en una conexión TCP, lo que apuntaba a un problema de enrutamiento intermedio.

En entornos Wi-Fi, una captura de 15 minutos en canal 6 reveló que el 38 % de las tramas eran de tipo RTS/CTS, indicando colisiones excesivas por densidad de puntos de acceso.

Limitaciones y buenas prácticas

Wireshark no cifra el tráfico por sí mismo; cualquier archivo de captura (.pcapng) puede abrirse con la herramienta y contiene todo el contenido original. Es recomendable almacenar las capturas en volúmenes cifrados cuando se trabaja con datos sensibles.

El consumo de memoria crece linealmente con el número de paquetes. Para capturas superiores a 500 000 paquetes se recomienda usar tshark en línea de comandos con salida a disco en lugar de la interfaz gráfica.

Consejos para capturas prolongadas

  • Utiliza la opción de ring buffer con 10 archivos de 200 MB cada uno para evitar quedarse sin espacio.
  • Desactiva la resolución de nombres GeoIP si no vas a utilizar mapas de localización.
  • Programa la captura con dumpcap y luego abre el archivo resultante en Wireshark para análisis posterior.

El Tutorial para monitorizar tráfico de red con Wireshark se vuelve realmente efectivo cuando se combina con conocimiento previo de los protocolos que se están analizando. La herramienta no sustituye la comprensión de TCP, TLS o DNS; simplemente la hace visible.

Después de varias semanas usando Wireshark de forma habitual, la mayoría de profesionales termina creando su propio conjunto de filtros y perfiles de coloración que aceleran el diagnóstico diario. Esa personalización marca la diferencia entre una captura genérica y un análisis preciso.

Si quieres conocer otros artículos parecidos a Tutorial para monitorizar tráfico de red con Wireshark puedes visitar la categoría Internet y Redes.

Entradas Relacionadas