Interpretación de tráfico y captura de paquetes básicos

 

1. La anatomía de un Paquete (Las Capas)

Cuando haces clic en un paquete en la lista superior, el panel central te muestra las capas del modelo OSI. Esto es fundamental para saber dónde está el error:

  • Frame (Capa 1 - Física): Información sobre el tamaño del paquete y el medio.

  • Ethernet II (Capa 2 - Enlace): Aquí verás las Direcciones MAC de origen y destino. Si la MAC de destino es ff:ff:ff:ff:ff:ff, es un Broadcast.

  • Internet Protocol (Capa 3 - Red): Aquí están las Direcciones IP. Es donde verificas si el paquete va hacia la puerta de enlace correcta.

  • Transmission Control Protocol (Capa 4 - Transporte): Aquí ves los Puertos (ej: 80, 443, 21). También verás los "Flags" (SYN, ACK, FIN) que indican si una conexión se está abriendo o cerrando.

  • Application Layer (Capa 7 - Aplicación): Los datos reales del protocolo (HTTP, DNS, DHCP).

2. El "Apretón de Manos" TCP (Three-Way Handshake)

Antes de que haya datos, debe haber una conexión. Si un usuario dice "la web no carga", busca esta secuencia en Wireshark:

  1. SYN: El cliente dice "¿Podemos hablar?".

  2. SYN, ACK: El servidor responde "Sí, yo también puedo. Adelante".

  3. ACK: El cliente confirma "Oído cocina, empezamos".

Diagnóstico: Si ves muchos SYN seguidos sin respuesta (ACK), el servidor está caído o un Firewall está bloqueando el puerto.

3. Capturas de paquetes básicas (Ejemplos Reales)

A. Resolución DNS (El traductor)

Si filtras por dns, verás dos paquetes clave:

  • Standard query: El PC pregunta "¿Quién es https://www.google.com/search?q=google.com?".

  • Standard query response: El servidor contesta "Es la IP 142.250.185.163".

  • Fallo: Si solo ves la pregunta, el servidor DNS está mal configurado o bloqueado.

B. El proceso DHCP (DORA)

Si un PC no coge IP, filtra por bootp (el nombre técnico del protocolo DHCP en Wireshark):

  • Busca el DHCP Discover. Si el servidor no responde con un Offer, el servicio DHCP en el router o servidor está apagado o el rango de IPs está lleno.

4. Seguimiento de Flujos (Follow Stream)

Leer paquetes sueltos es difícil. Wireshark tiene una función mágica:

  1. Botón derecho sobre un paquete TCP o HTTP.

  2. Selecciona Follow -> TCP Stream.

  3. Resultado: Se abrirá una ventana que muestra la conversación completa "en humano" (el texto que el servidor y el cliente se han intercambiado). Es ideal para ver errores 404 de páginas web o mensajes de error de correo electrónico.

5. Análisis de Errores Comunes

  • TCP Retransmission (Paquetes negros/rojos): Indica que un paquete se envió pero no llegó confirmación, así que se reenvía. Causa: Cable en mal estado, interferencias Wi-Fi o saturación del router.

  • ICMP Destination Unreachable: El router te está diciendo "Sé dónde quieres ir, pero no hay camino". Revisa la tabla de enrutamiento o la puerta de enlace.

Resumen para el técnico:

  • Capa 2: Problemas de switches/MACs.

  • Capa 3: Problemas de IPs/Routers.

  • Capa 4: Problemas de Puertos/Firewalls.

  • Capa 7: Problemas de la Aplicación/Servicio.