Docente: Martha Bernarda Mojica Mata

Alumno: Eliezer Hernández Gerónimo

LECTURAS WIRESHARK
T1 LECTURAS
WIRESHARK
Wireshark es un analizador de protocolos gratuito y de
código abierto, utilizado para la solución de problemas
en redes, análisis de tráfico y desarrollo de protocolos
de comunicación. Es ampliamente reconocido como
una herramienta esencial en el campo de la
informática de red.
Análisis de tráfico
con Wireshark
El análisis de tráfico ayuda a identificar problemas de
rendimiento en redes, ya sea por mala configuración (por
ejemplo, tormentas de broadcast) o por ataques (DoS, ARP
Spoofing, malware). Conocer la causa de los problemas
permite aplicar contramedidas adecuadas. Se destaca a
Wireshark por su interfaz intuitiva y la capacidad de soportar
más de 1100 protocolos. Su versión en línea de comandos
(Tshark) y la posibilidad de desglosar cada paquete en capas,
le permite detectar y solucionar anomalías de red de manera
detallada.
 Metodos de Captura
Uso de un Hub Port Mirroring o ARP Spoof y captura
VACL remota
Colocar un hub en el segmento de Replica el tráfico de un Técnicas como ARP Spoofing y
red permite que el tráfico pase por puerto a otro en el switch, Remote Packet Capture
el equipo con Wireshark, permitiendo monitoreo en permiten interceptar y
permitiendo su captura redes conmutadas. monitorear tráfico incluso sin
acceso directo al switch.
 Metodos de Captura
Ataques en redes de
ARP Spoofing Port Flooding
área local (LAN)
Intercepta tráfico entre dos Saturar un switch llenando su
Describe varios ataques comunes dispositivos redirigiéndolo tabla de asignaciones con
y su mitigación hacia el atacante. tramas falsificadas. Sugiere
configuraciones de port security
en switches avanzados para
evitar este ataque.
 Metodos de Captura
DDoS Funciones avanzadas
de Wireshark
Explica ataques de denegación de servicio y Herramientas avanzadas como “Follow TCP
cómo el kernel de Linux puede configurarse Stream” para seguir secuencias de datos y “Expert
para mitigar efectos de ciertos tipos de DDoS Infos” para detectar anomalías de tráfico. Se
para prevenir Syn Flooding). destacan las opciones de geolocalización y
estadísticas para visualizar la ubicación de IPs en
ataques DDoS.
 Iniciar Captura
Selecciona la interfaz de red con Capture → Options,
selecciona la interfaz deseada y configura opciones
como el modo promiscuo para capturar todo el
tráfico visible.

Comandos y
Modo promiscuo
permite que la tarjeta de red capture todos los
paquetes de la red, no solo los dirigidos a la interfaz
seleccionada.

opciones Aplicar Filtros de Captura

principales en
Se establecen en Capture → Options → Capture
Filter.
Algunos filtros comunes incluyen:
ip.addr == [IP]: Captura tráfico hacia/desde una

Wireshark
IP específica.
tcp port [número]: Filtra tráfico TCP por puerto.
icmp: Filtra únicamente tráfico de protocolo
ICMP.

Detener Captura
Usa Capture → Stop o el ícono de parada en la
interfaz para detener la captura de paquetes.
 Búsqueda y filtros de visualización
En la barra de filtro, aplica condiciones para ver solo el
tráfico relevante:
http: Filtra el tráfico HTTP.
tcp.port == 80: Filtra los paquetes con puerto TCP 80
(HTTP).
ip.src == [IP] y ip.dst == [IP]: Muestra solo los
paquetes de origen o destino específico. tcp.stream eq
[número]: Muestra paquetes en un flujo TCP específico

Comandos de
para seguimiento de sesión.

Filtros de
Buscar paquetes específicos
Edit → Find Packet: permite localizar paquetes
específicos usando filtros y expresiones.
Expresión tcp contains "[cadena]": Busca

Visualización
paquetes TCP que contengan una cadena de
texto específica.

Opciones de Estadísticas y
Gráficas
IO Graphs: Statistics → IO Graphs para gráficos de
tráfico en tiempo real.
Flow Graph: Statistics → Flow Graph para visualizar
el flujo de paquetes entre dispositivos en un esquema
cronológico.
Conversation & Endpoint Statistics: Statistics →
Conversations y Statistics → Endpoints proporcionan
datos de tráfico específico entre IPs, puertos, etc.
 Protocolos
TCP (Transmission
SYN, ACK, FIN Sequence Numbers
Control Protocol)

Analizador para observar Flags en la cabecera para identificar Importante para detección de
conexiones y seguimientos de el estado de una conexión retransmisiones o análisis de DoS y
sesión ataques de fuerza bruta

UDP (User Datagram

Protocol) ICMP (Internet Control
Echo Request y Reply
Message Protocol)
Común en análisis de tráfico de
servicios de baja latencia y DNS, Utilizado en diagnóstico de red Permite rastrear respuestas a
VoIP. (por ejemplo, ping) peticiones de ping y detectar
udp.port == [número]: Filtra conectividad o pérdida de paquetes.
por puerto UDP específico.
 Protocolos
HTTP/HTTPS DNS (Domain Name
Queries y Responses
(Hypertext Transfer System)
Protocol)
Analizado para tráfico web, Filtra tráfico DNS para resolver Permite identificar problemas de
filtrando paquetes que usan el dominios y direcciones IP resolución de nombres
puerto 80 (HTTP) y 443 (HTTPS).

ARP (Address DHCP (Dynamic Host

Resolution Protocol) Configuration
TLS/SSL
Protocol)
Filtros como arp y arp.opcode == En redes DHCP, los paquetes
0x0002 (ARP Reply) ayudan a pueden analizarse para detectar Filtrar tráfico TLS para examinar
detectar ataques de ARP Spoofing ataques de DHCP Spoofing. Filtros datos de cifrado y autenticación
o verificar la asociación IP/MAC. clave: bootp o udp.port == 67 ||
udp.port == 68.
INSTALACIÓN
 Primero Entramos a la página
oficial de Wireshark
https://www.wireshark.org/
Y después seleccionamos el
instalador que se adapte a nuestra
arquitectura de S.O
Una vez descargado el ejecutable
.exe, lo ejecutamos como
administrador, y nos saldrá la
siguiente pantalla en donde le
daremos siguiente
 En la interfaz Choose
Components, Seleccionamos la
opción External Capture Tools
(Extcap) y damos Next
En esta interfaz
dejamos igual y
damos NEXT
Seleccionamos la
ruta en donde se
instalara
Wireshark y
seleccionamos
NEXT
 Seleccionamos la
casilla Install y
esperamos que
termine el proceso
de Instalacion
Cuando termine la
isntalacion damos
next y finish