Si los comandos de red como ping o tracert son el "estetoscopio" del técnico, Wireshark es el microscopio electrónico. Es un analizador de protocolos (o sniffer) que captura el tráfico que pasa por una interfaz de red y lo desglosa bit a bit para que podamos entender qué está pasando realmente.
1. ¿Para qué sirve Wireshark en SMR?
En el mantenimiento de redes, lo usamos cuando los problemas no son evidentes:
Diagnosticar lentitud: Ver si hay excesivas retransmisiones de paquetes.
Seguridad: Detectar si una aplicación envía contraseñas en texto plano (sin cifrar).
Depuración: Confirmar si el servidor DHCP realmente está respondiendo al cliente o si el paquete se pierde en el camino.
Aislamiento de fallos: Ver si un equipo está inundando la red con tráfico basura (tormentas de broadcast).
2. El flujo de trabajo básico
Para analizar una red, seguimos estos tres pasos:
Captura: Seleccionamos la tarjeta de red (Ethernet o Wi-Fi) y empezamos a "grabar" el tráfico.
Filtrado: Como pasan miles de paquetes por segundo, usamos filtros para ver solo lo que nos interesa (ej:
ip.addr == 192.168.1.50o simplementehttp).Inspección: Abrimos un paquete y vemos sus capas (Capa 2: Ethernet, Capa 3: IP, Capa 4: TCP, Capa 7: HTTP).
3. Los Colores de Wireshark
Wireshark usa un código de colores para ayudarnos a detectar problemas a simple vista:
Verde: Tráfico HTTP/TCP normal.
Azul claro: Tráfico DNS o UDP.
Negro sobre rojo/naranja: ¡Peligro! Indica paquetes con errores, retransmisiones o conexiones cortadas abruptamente. Si ves mucho negro, hay un problema físico o de saturación.
4. Filtros esenciales para el técnico
Dominar los filtros de visualización es lo que diferencia a un novato de un profesional:
| Filtro | Qué muestra |
|---|---|
| ip.addr == 192.168.1.1 | Todo el tráfico que entra o sale de esa IP. |
| tcp.port == 80 | Solo el tráfico de navegación web (HTTP). |
| icmp | Solo los paquetes de ping. Útil para ver por qué falla una respuesta. |
| bootp o dhcp | Para ver el proceso DORA (solicitud de IP). |
| arp | Para ver quién está preguntando por las MAC de la red. |
5. Modo Promiscuo y Port Mirroring
Por defecto, una tarjeta de red solo "oye" lo que va dirigido a ella. Para analizar el tráfico de otros equipos en un switch:
Modo Promiscuo: Obligamos a nuestra tarjeta a leer todo lo que le llegue, aunque no sea para ella.
Port Mirroring (SPAN): En switches gestionables, debemos configurar un puerto para que "copie" todo el tráfico de la red hacia el puerto donde tenemos conectado nuestro Wireshark.
Resumen de seguridad:
Aviso ético: Wireshark es una herramienta de diagnóstico, pero en manos equivocadas puede capturar información privada. Como técnico de SMR, solo debes usarlo en redes bajo tu gestión o con autorización para resolver incidencias.