Redes · 3 min read · Dec 17, 2025

Captura Remota de Wireshark

Captura Remota de Wireshark

Falko ha escrito un buen tutorial con algunas capturas de pantalla sobre el uso básico de Wireshark.

Este breve tutorial no tiene capturas de pantalla, pero es un caso de uso ligeramente más avanzado de Wireshark, a saber, realizar la captura en una máquina y visualizar los datos capturados en tiempo real en otra máquina.

Preliminar

El siguiente artículo describe la forma en que instalé y utilicé el software, no doy ninguna garantía de que la misma forma funcione para ti. Debes tener algunos conocimientos básicos para hacer cosas en una terminal. Como Wireshark se ejecuta en una amplia variedad de plataformas, esto debería funcionar en casi todas las plataformas que son compatibles con Wireshark y Open-SSH. En mi caso, se involucraron Debian y Ubuntu.

1. El Problema

Sucedió que tuvimos algunos problemas sutiles relacionados con DNS, a saber, con Reverse-DNS. Nuestra configuración es simple, tenemos servidores DNS locales que reenvían todas las consultas que no pueden resolver a un DNS de uplink, que debería encargarse de la resolución de nombres posterior. El DNS de uplink es administrado por otra organización, lo que llevó a la habitual acusación de “no somos culpables, nuestro equipo funciona bien, tenemos que facturarte los costos, blabla …”. Suspiro. Así que pensé en cómo se podría analizar más a fondo este problema, y rápidamente recordé mi sistema descrito en https://www.howtoforge.com/trafficanalysis-using-debian-lenny. Perfecto, pensé, la máquina ya está sentada junto al uplink, y debería ser fácil monitorear todo el tráfico que pasa por el uplink y echar un vistazo a todo el tráfico relacionado con DNS, para ver qué está pasando.

Mi primera idea fue instalar Wireshark directamente en esta máquina, y con la ayuda de un poco de reenvío X11 ver qué está sucediendo en el uplink. Pero no había suficiente espacio en disco para instalar Wireshark y todas las bibliotecas relacionadas con X11.

2. La Solución

Mi siguiente idea fue capturar el tráfico en la sonda en un archivo, copiar este archivo a mi máquina normal y leerlo en Wireshark. Pero qué engorroso, largo, copiar archivos o al menos montar unidades a través de la red. Pero la solución es tan simple. Instala tshark (el hermano menor relacionado con el modo texto de Wireshark) en la sonda, llámalo de forma remota con la ayuda de ssh, y canaliza directamente la salida de tshark a Wireshark. ¡Esta solución es del Wiki de Wireshark, pero la simplicidad me entusiasmó y me sorprendió escribir este breve tutorial!

  • Configura el inicio de sesión ssh sin contraseña en la sonda como se describe, por ejemplo, aquí, y verifica que funcione.
  • En tu máquina local donde está Wireshark y espera para hacer algo beneficioso, simplemente llámalo con
wireshark -k -i <( ssh -l root IP-de-la-sonda /usr/bin/tshark -i eth0 -w - port 53 )

y disfruta. El tráfico se filtra en la sonda, para que no te veas abrumado por la gran cantidad de paquetes que pueden viajar por tu uplink. El tráfico capturado se transporta a través de una conexión ssh segura y encriptada desde la sonda a la máquina de visualización y puedes ver en tiempo real qué está sucediendo en el uplink.

En mi caso, no necesitaba filtrar el tráfico ssh (como en el ejemplo del Wiki de Wireshark), porque la captura se realiza en eth0, y el tráfico ssh corre por eth1.

Hay otros métodos descritos en el Wiki de Wireshark utilizando pipes nombrados, pero este método usando ssh me pareció el más fácil de configurar.

Un pequeño problema que tuve mientras hacía esto, fue que cerrar Wireshark no cerró tshark en la sonda, pero un

pkill tshark

en la sonda ayudó, o, si no estás conectado a la sonda

ssh root@sonda pkill tshark

también debería funcionar.

Con respecto a nuestro problema de DNS, pude ver inmediatamente qué estaba pasando. ;-)

3. URLs

Share: X/Twitter LinkedIn
#Redes

Recibe nuevas publicaciones en tu bandeja de entrada.

No spam. Cancela la suscripción en cualquier momento.