WireShark es un analizador de protocolos de red, vamos, lo que popularmente llamamos un sniffer aunque tiene más funciones además de sniffar tráfico de red. La definición de Wireshark en la wikipedia habla de un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones para desarrollo de software y protocolos, y como una herramienta didáctica para educación. Muchos de vosotros lo conocereis como Ethereal y, tras esta nueva versión, se han solucionado numerosas vulnerabilidades y se han añadido nuevas características relacionadas con VoIP, que incluyen SIP, H323, y análisis de streams RTP así como playback. También se ha añadido soporte oficial para Mac OS X de forma experimental, y también se pueden personalizar las columnas de las capturas y además se soporta gran variedad de nuevos protocolos.
Esta licenciado bajo GPL y esta disponible para sistemas operativos GNU/Linux, Unix-like, Windows, y como ya hemos dicho para Mac OS X.
Todo aquel que administre una red, tarde o temprano, se verá en la tesitura de intentar averiguar qué está pasando, bien en un momento determinado, bien de una forma constante, en la red que administra. Analizar de forma correcta el tráfico que circula por la red es fundamental para llevar a buen término la investigación y la posterior solución.
En la instalación, si es bajo sistemas Windows, se ofrece la instalación de WinpCap (Windows Packet Capture, librería para Windows de captura de paquetes y monitorización de tráfico de red), así que es recomendable que optemos por instalarla aunque el sistema ya cuente con otra librería que haga la misma función.
Asimismo, debemos tener en cuenta que en una topología de red montada a través de switches permite que Wireshark capture únicamente paquetes propios ya que este tipo de hardware se limita a mandar datos a los puertos especificados, impidiendo la “escucha” de casi todo el tráfico circulante y proveniente de otros ordenadores de la red. Dicho tráfico no pasa por nuestro cable físico y no se puede, por tanto, capturar a no ser que dispongamos de un switch gestionable y utilicemos la redirección de puertos o de tráfico del switch para que todo el tráfico de la red pase por nuestro ordenador de una forma transparente. Si no se dispone de un Switch con estas características se puede remediar con la instalación (de modo temporal porque no es demasiado recomendable por aquello de las colisiones), en el punto concreto de nuestra red que deseemos, de un hub porque este componente actúa mandando todos los paquetes recibidos a todos los host conectados, independientemente del puerto y la máquina al que van dirigidos y así es posible capturar todo el tráfico de la red si éste pasa a través de un hub y el ordenador donde tenemos montado WireShark está conectado a éste. Está claro que no podemos prescindir del Switch que da servicio a la red, así que la solución pasa por conectar el hub al switch y pasar los ordenadores a estudiar a través del hub, incluído el nuestro. Esto se debe hacer mediante la conexión del puerto uplink del hub a cualquier puerto libre de nuestro switch.