La respuesta a su pregunta depende de las amenazas que está tratando de detectar. Todo lo que hace Wireshark es registrar el tráfico de red en un punto dado de una red. Wireshark también proporciona una interpretación extensa del tráfico para que no tenga que desenredar los códigos binarios para ver los detalles del tráfico de la red.
Sin embargo, incluso con las habilidades interpretativas de Wireshark, aún necesita comprender los protocolos subyacentes como TCP / IP, HTTP, DNS y TLS.
En resumen, dado que Wireshark puede registrar el tráfico, puede usarse para examinar el tráfico que entra y sale de su red en el lugar donde tiene lugar la grabación. Por lo general, un ingeniero de redes luego examina ese tráfico e intenta asegurarse de que comprende la razón de todo el tráfico. Esto ayuda a identificar el tráfico que no tiene un propósito conocido y, por lo tanto, puede ser parte de las amenazas.
- Básicamente no sé nada sobre ciberseguridad o codificación. Planeo estudiar seguridad cibernética el próximo semestre. ¿Qué puedo hacer para comenzar a aprender lo básico?
- ¿Cómo pueden los fabricantes de discos duros demostrar que sus productos están a salvo de ataques de malware?
- Cómo recuperarse de un ataque cibernético
- Cómo hacer que un sistema sea más seguro
- ¿Puedo trabajar en cualquier faceta del campo de la seguridad cibernética, incluso si soy terrible y no me gusta la programación (en cualquier idioma)?
Hay dos tipos de amenazas que se encuentran a menudo viendo la salida de Wireshark.
- El tráfico que ingresa a la red que parece estar investigando la red en busca de puertos TCP abiertos (aplicaciones) que se sabe que tienen vulnerabilidades.
- El tráfico que sale de la red va a destinos extraños. Dicho tráfico puede ser una señal de malware en las computadoras dentro de la red que envía datos a los servidores de delincuentes o contacta a los servidores de control criminal para obtener instrucciones.