Wireshark contempla dos tipos de Filtros: Filtros de captura y Filtros de visualización. Los filtros de captura (Capture Filter) son los que se establecen para capturar solo los paquetes que cumplan los requisitos indicados en el filtro.
Los filtros de visualización (Display Filter) establecen los criterios de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark.
Si no te suena esto del wireshark puedes mirarte este artículo anterior.
Filtros de Captura (Capture Filter)
Estos filtros están basados en las librerías pcap, estudiaremos algunos ejemplos y como aplicarlos a Wireshark.
Los filtros de captura son los que se establecen para capturar solo los paquetes que cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo presentará en la pantalla principal. Aún así podremos establecer filtros de visualización (display filter) para que nos muestre solo el tráfico deseado.
Se aplican en menú Capture submenú Capture Options. Podremos elegir entre una regla creada o crear una nueva.
Sintaxis de los Filtros y ejemplos de Filtros de captura
Combinación de Filtros.
Podemos combinar los filtros de la siguiente forma:
Negación: ! o not
Concatenación: && o and
Alternancia: || o or
Filtros basados en hosts
Filtrar por host
host host
Captura todos los paquetes con origen y destino 192.168.1.2: host 192.168.1.2
Captura todos los paquetes con origen y destino google.es: host google.es
Capturar por host origen
src host host
Captura todos los paquetes con origen en host 192.1681.1:src host 192.168.1.1
Capturar por host destino
dst host host
Captura todos los paquetes con destino en host 192.168.1.1: dst host 192.168.1.1
Captura todos los paquetes con destino en host SRV01: dst host SRV01
Filtros basados en puertos
Captura todos los paquetes con puerto origen y destino.
port puerto
Captura todos los paquetes con puerto origen y destino 22: port 22
Captura todos los paquetes con puerto origen.
src port puerto
Captura todos los paquetes con puerto origen 22: src port 22
Captura todos los paquetes con puerto destino.
dst port puerto
Captura todos los paquetes con puerto destino 22: dst port 22
Captura todos los paquetes excepto origen y destino puerto.
not port puerto
Captura todos los paquetes excepto origen y destino 22: not port 22
Captura todos los paquetes excepto origen y destino puertos puerto y puerto1
not port puerto and not port puerto1
Captura todos los paquetes excepto origen y destino puertos 22 y 80: not port 22 and not port 80
Captura un rando de puertos
portrange rango
Captura todos los paquetes con puerto destino en un rango de puertos 1 a 1024: dst portrange 1-1024
Filtros basados en protocolos Ethernet / IP
Captura todos los segmentos TCP
ip proto \tcp
Captura todo el tráfico IP
ether proto \ip
Captura todo el tráfico ARP
ip proto \arp
Filtros basados en red
Captura todo el tráfico con origen y destino red net
net net
Captura todo el tráfico con origen y destino subred 1.0: net 192.168.1.0
Captura todo el tráfico para la subred 1.0 mascara 255.0: net 192.168.1.0/24
Captura todo el tráfico con destino red net
dst net net
Captura todo el tráfico con destino para la subred 2.0:dst net 192.168.2.0
Captura todo el tráfico con origen red net
src net net
Captura todo el tráfico origen y destibo puerto 21 en subred 2.0: net 192.168.2.0 and port 21
Captura solo el tráfico broadcast
broadcast
Captura todo el tráfico excepto el broadcast y el multicast: not broadcast and not multicast
No hay comentarios:
Publicar un comentario