Wireshark es un analizador de paquetes gratuito y de código abierto . Se utiliza para la resolución de problemas de red , el análisis, el desarrollo de software y protocolos de comunicaciones y la educación. Originalmente llamado Ethereal , el proyecto pasó a llamarse Wireshark en mayo de 2006 debido a problemas de marcas registradas. [4]
Autor (es) original (es) | Gerald Combs [1] |
---|---|
Desarrollador (es) | El equipo de Wireshark |
Versión inicial | 1998 |
Lanzamiento estable | 3.4.5 / 21 de abril de 2021 [2] |
Repositorio | |
Escrito en | C , C ++ |
Sistema operativo | Multiplataforma |
Tipo | Analizador de paquetes |
Licencia | GPLv2 [3] |
Sitio web | www |
Wireshark es multiplataforma , usa el kit de herramientas del widget Qt en las versiones actuales para implementar su interfaz de usuario y usa pcap para capturar paquetes; se ejecuta en Linux , macOS , BSD , Solaris , algunos otros sistemas operativos similares a Unix y Microsoft Windows . También hay una versión basada en terminal (no GUI) llamada TShark. Wireshark y los otros programas distribuidos con él, como TShark, son software libre , publicado bajo los términos de la versión 2 de la Licencia Pública General GNU .
Funcionalidad
Wireshark es muy similar a tcpdump , pero tiene una gráfica de front-end e integrada clasificación y opciones de filtrado.
Wireshark permite al usuario poner los controladores de interfaz de red en modo promiscuo (si es compatible con el controlador de interfaz de red ), para que puedan ver todo el tráfico visible en esa interfaz, incluido el tráfico de unidifusión no enviado a la dirección MAC de ese controlador de interfaz de red . Sin embargo, cuando se captura con un analizador de paquetes en modo promiscuo en un puerto de un conmutador de red , no todo el tráfico a través del conmutador se envía necesariamente al puerto donde se realiza la captura, por lo que capturar en modo promiscuo no es necesariamente suficiente para ver toda la red. tráfico. La duplicación de puertos o varias tomas de red extienden la captura a cualquier punto de la red. Los grifos pasivos simples son extremadamente resistentes a la manipulación [ cita requerida ] .
En Linux, BSD y macOS, con libpcap 1.0.0 o posterior, Wireshark 1.4 y posterior también pueden poner los controladores de interfaz de red inalámbrica en modo monitor .
Si una máquina remota captura paquetes y envía los paquetes capturados a una máquina que ejecuta Wireshark utilizando el protocolo TZSP o el protocolo utilizado por OmniPeek , Wireshark disecciona esos paquetes para poder analizar los paquetes capturados en una máquina remota en el momento en que se capturan.
Historia
A finales de la década de 1990, Gerald Combs, un graduado en informática de la Universidad de Missouri-Kansas City , trabajaba para un pequeño proveedor de servicios de Internet . Los productos de análisis de protocolos comerciales en ese momento tenían un precio de alrededor de $ 1500 [5] y no se ejecutaban en las plataformas principales de la compañía (Solaris y Linux), por lo que Gerald comenzó a escribir Ethereal y lanzó la primera versión alrededor de 1998. [6] La marca registrada Ethereal es propiedad de Network Integration Services.
En mayo de 2006, Combs aceptó un trabajo en CACE Technologies. Combs todavía tenía derechos de autor sobre la mayor parte del código fuente de Ethereal (y el resto era redistribuible bajo la GNU GPL), por lo que usó el contenido del repositorio Ethereal Subversion como base para el repositorio Wireshark. Sin embargo, no era dueño de la marca Ethereal, por lo que cambió el nombre a Wireshark. [7] En 2010, Riverbed Technology compró CACE [8] y asumió el cargo de patrocinador principal de Wireshark. El desarrollo de Ethereal ha cesado y un aviso de seguridad de Ethereal recomendó cambiar a Wireshark. [9]
Wireshark ha ganado varios premios de la industria a lo largo de los años, [10] incluidos eWeek , [11] InfoWorld , [12] [13] [14] [15] [16] y PC Magazine . [17] También es el rastreador de paquetes mejor calificado en la encuesta de herramientas de seguridad de red Insecure.Org [18] y fue el Proyecto SourceForge del mes en agosto de 2010. [19]
Combs continúa manteniendo el código general de Wireshark y publica lanzamientos de nuevas versiones del software. El sitio web del producto enumera más de 600 autores colaboradores adicionales.
Características
Wireshark es un programa de captura de datos que "comprende" la estructura ( encapsulación ) de diferentes protocolos de red. Puede analizar y mostrar los campos, junto con sus significados, según lo especificado por diferentes protocolos de red. Wireshark usa pcap para capturar paquetes, por lo que solo puede capturar paquetes en los tipos de redes que admite pcap.
- Los datos se pueden capturar "desde el cable" desde una conexión de red en vivo o leer desde un archivo de paquetes ya capturados.
- Los datos en vivo se pueden leer desde diferentes tipos de redes, incluidas Ethernet , IEEE 802.11 , PPP y loopback .
- Los datos de red capturados se pueden navegar a través de una GUI o mediante la versión de terminal ( línea de comando ) de la utilidad TShark.
- Los archivos capturados se pueden editar o convertir mediante programación mediante conmutadores de línea de comandos al programa "editcap".
- La visualización de datos se puede refinar utilizando un filtro de visualización.
- Se pueden crear complementos para analizar nuevos protocolos. [20]
- Se pueden detectar llamadas VoIP en el tráfico capturado. Si se codifica en una codificación compatible, el flujo de medios incluso se puede reproducir.
- Se puede capturar tráfico USB sin procesar . [21]
- Las conexiones inalámbricas también se pueden filtrar siempre que atraviesen la Ethernet monitoreada. [ aclaración necesaria ]
- Se pueden configurar varios ajustes, temporizadores y filtros para proporcionar la posibilidad de filtrar la salida del tráfico capturado.
El formato de archivo de rastreo de red nativo de Wireshark es el formato libpcap compatible con libpcap y WinPcap , por lo que puede intercambiar los rastros de red capturados con otras aplicaciones que usan el mismo formato, incluidos tcpdump y CA NetMaster . También puede leer capturas de otros analizadores de red, como snoop , Network General 's Sniffer y Microsoft Network Monitor .
Seguridad
La captura de tráfico de red sin procesar desde una interfaz requiere privilegios elevados en algunas plataformas. Por esta razón, las versiones anteriores de Ethereal / Wireshark y tethereal / TShark a menudo se ejecutaban con privilegios de superusuario . Teniendo en cuenta la gran cantidad de disectores de protocolo que se llaman cuando se captura el tráfico y reconociendo la posibilidad de un error en un disector, se puede plantear un grave riesgo de seguridad. Debido a la gran cantidad de vulnerabilidades en el pasado (de las cuales muchas han permitido la ejecución remota de código) y las dudas de los desarrolladores sobre un mejor desarrollo futuro, OpenBSD eliminó Ethereal de su árbol de ports antes de OpenBSD 3.6. [22]
No se necesitan privilegios elevados para todas las operaciones. Por ejemplo, una alternativa es ejecutar tcpdump o la utilidad dumpcap que viene con Wireshark con privilegios de superusuario para capturar paquetes en un archivo y luego analizar los paquetes ejecutando Wireshark con privilegios restringidos. Para emular el análisis casi en tiempo real, mergecap puede fusionar cada archivo capturado en un archivo creciente procesado por Wireshark. En redes inalámbricas, es posible utilizar las herramientas de seguridad inalámbrica Aircrack para capturar tramas IEEE 802.11 y leer los archivos de volcado resultantes con Wireshark.
A partir de Wireshark 0.99.7, Wireshark y TShark ejecutan dumpcap para realizar la captura de tráfico. Las plataformas que requieren privilegios especiales para capturar tráfico solo necesitan que dumpcap se ejecute con esos privilegios. Ni Wireshark ni TShark necesitan ni deben ejecutarse con privilegios especiales.
Código de colores
Wireshark puede colorear paquetes basándose en reglas que coinciden con campos particulares en paquetes, para ayudar al usuario a identificar los tipos de tráfico de un vistazo. Se proporciona un conjunto de reglas predeterminado; los usuarios pueden cambiar las reglas existentes para colorear paquetes, agregar reglas nuevas o eliminar reglas.
Captura de paquetes de simulación
Wireshark también se puede utilizar para capturar paquetes de la mayoría de las herramientas de simulación de red, como ns , OPNET Modeler y NetSim . [23]
Ver también
- Capsa (software)
- Comparación de analizadores de paquetes
- EtherApe
- Fiddler (software)
- netsniff-ng
- Ngrep
- Omnipeek
- Tcptrace
Notas
- ^ "Wireshark - Acerca de" . La Fundación Wireshark . Consultado el 30 de enero de 2018 .
- ^ "Wireshark 3.4.5 y 3.2.13 lanzados" . La Fundación Wireshark. 21 de abril de 2021 . Consultado el 12 de mayo de 2021 .
- ^ "Licencia de preguntas frecuentes de Wireshark" .
- ^ "Preguntas frecuentes de Wireshark" . Consultado el 31 de diciembre de 2011 .
- ^ "NetXRay reforzado adquiere características empresariales" . InfoWorld . 17 de noviembre de 1997.
- ^ "Preguntas y respuestas con el fundador de Wireshark y Ethereal" . Entrevista a Gerald Combs . protocolTesting.com. Archivado desde el original el 7 de marzo de 2016 . Consultado el 24 de julio de 2010 .
- ^ "¿Qué pasa con el cambio de nombre? ¿Wireshark es una bifurcación?" . Wireshark: Preguntas frecuentes . Consultado el 9 de noviembre de 2007 .
- ^ "Riverbed se expande aún más en el mercado de gestión de rendimiento de red con reconocimiento de aplicaciones con la adquisición de tecnologías CACE" . Tecnología Riverbed. 21 de octubre de 2010 . Consultado el 21 de octubre de 2010 .
- ^ "enpa-sa-00024" . Etéreo. 10 de noviembre de 2006. Archivado desde el original el 23 de octubre de 2012 . Consultado el 8 de junio de 2010 .
- ^ "Premios y reconocimientos" . Wireshark: Acerca de . Consultado el 20 de septiembre de 2010 .
- ^ eWEEK Labs (28 de mayo de 2012). "Wireshark" . Las aplicaciones de código abierto más importantes de todos los tiempos . eWEEK . Consultado el 12 de agosto de 2012 .
- ^ Yager, Tom (10 de septiembre de 2007). "Lo mejor del código abierto en redes" . InfoWorld . Consultado el 1 de diciembre de 2014 .
- ^ "Premio al mejor software de código abierto: redes" . InfoWorld . 5 de agosto de 2008 . Consultado el 28 de abril de 2015 .
- ^ Mobley, High (18 de septiembre de 2012). "Bossie Awards 2012: El mejor software de seguridad y redes de código abierto" . InfoWorld . Consultado el 28 de abril de 2015 .
- ^ Ferrill, Paul (17 de septiembre de 2013). "Bossie Awards 2013: El mejor software de seguridad y redes de código abierto" . InfoWorld . Consultado el 28 de abril de 2015 .
- ^ Garza, Victor R. (29 de septiembre de 2014). "Bossie Awards 2014: El mejor software de seguridad y redes de código abierto" . InfoWorld . Consultado el 28 de abril de 2015 .
- ^ Lynn, Samara. "Wireshark 1.2.6" . Revisión y calificación de Wireshark 1.2.6 . Revista de PC . Consultado el 20 de septiembre de 2010 .
- ^ "Wireshark es el número 1 de los 14 principales rastreadores de paquetes" . Insecure.Org . Consultado el 12 de agosto de 2012 .
- ^ "Wireshark, proyecto SourceForge del mes, agosto de 2010" . SourceForge . Consultado el 12 de agosto de 2012 .
- ^ "Ejemplo de compilación de disectores" . OmniIDL . Consultado el 18 de abril de 2013 .
- ^ "Configuración de captura USB" . Wiki de Wireshark . Consultado el 31 de diciembre de 2011 .
- ^ "Registro de CVS para puertos / net / ethereal / Attic / Makefile" . Openbsd.org . Consultado el 8 de junio de 2010 .
- ^ "Wireshark opnet | Protocolo de control de transmisión | Protocolos de Internet" . Scribd . Consultado el 14 de enero de 2018 .
Referencias
- Orebaugh, Angela; Ramírez, Gilbert; Beale, Jay (14 de febrero de 2007). Kit de herramientas del analizador de protocolos de red etérea y Wireshark . Syngress. pag. 448. ISBN 978-1-59749-073-3.
- Sanders, Chris (23 de mayo de 2007). Análisis práctico de paquetes: uso de Wireshark para resolver problemas de redes del mundo real . Sin prensa de almidón . pag. 192. ISBN 978-1-59327-149-7.
- Chappell, Laura (31 de marzo de 2010). Análisis de redes de Wireshark: la guía de estudio oficial de analistas de redes certificados por Wireshark . Instituto de Análisis de Protocolo, dba “Universidad Chappell”. pag. 800. ISBN 978-1-893939-99-8.
- Cheok, Roy (1 de julio de 2014). "Wireshark: una guía para colorear mis paquetes" . Sala de lectura del Instituto SANS . Instituto SANS .
enlaces externos
- Página web oficial