Wireshark contempla dos tipos de Filtros: Filtros de captura y Filtros de visualización.
Los filtros de captura (Capture Filter) son los que se establecen para capturar paquetes como ya vimos.
Los filtros de visualización (Display Filter) establecen los criterios de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark.
Si no te suena esto del wireshark puedes mirarte este artículo anterior.
Filtros de Visualiazación (Display Filter)
Con los filtros de visualización veremos solo los paquetes que cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark mostrará todo el tráfico capturado y lo presentará en la pantalla principal.
Estos filtros son mucho más potentes que los de captura y mucho más fáciles de utilizar. La lista es inmensa como podemos ver aquí. Pero no te asustes ya verás que es muy sencillo.
No sólo podremos analizar el tráfico en tiempo real, también podremos cargar un archivo *.cap para estudiarlo.
Estos filtros se gestionan desde esta parte de wireshark.
Sintaxis de los Filtros y ejemplos de filtros de visualización
Combinación de Filtros.
Podemos combinar los filtros de la siguiente forma:
Negación: ! o not
Concatenación: && o and
Alternancia: || o or
Los operadores que podemos utilizar para construir expresiones de filtro son los siguientes:
Mayor que: > ó gt
Menor que: < ó lt
Mayor o igual que: >= ó ge
Menor o igual que: <= ó le
Igual que: == ó eq
No es igual a: != ó ne
Contains: busca la cadena contains
busca la cadena "google.es" en los paquetes tcp: tcp contains "www.google.es"
Creación de filtros
Puedes perderte por el menú de filtros. Por suerte tiene buscador para facilitarnos la vida. Una vez localizado sólo tienes que crear la regla y aplicarla. Fácil y sencillo. Para familiarizanos un poco vamos a ver unos cuantos ejemplos.
Flitrado por protocolo
Para visualizar los paquetes arp
arp
Para visualizar paquetes icmp como el ping.
icmp
Para visualizar los paquetes udp
udp
Para visualizar los paquetes tcp
tcp
Filtrar por direcciones ip
Para visualizar todos los paquetes ip
ip
Para visualizar paquetes cuya ip de origen o destino es 192.168.100.1
ip.addr == 192.168.100.1
Para visualizar paquetes cuya ip de origen es 192.168.100.1
ip.src == 192.168.100.1
Para visualizar paquetes cuya ip de destino es 192.168.100.1
ip.dest == 192.168.100.1
Podemos filtrar por puerto
Para visualizar paquetes tcp cuyo puerto de origen o destino es el 80
tcp.port == 80
Para visualizar paquetes tcp cuyo puerto de origen es el 23
tcp.srcport == 23
Para visualizar paquetes tcp cuyo puerto de destino es el 23
tcp.dstport == 23
Ejemplos de filtors http
Para visualizar paquetes del protocolo de aplicación http
http
Para visualizar paquetes que tenga ha google como host
http.host==”www.google.es”
Para visualizar paquetes http que tenga una fecha concreta
http.date==”Sun, 3 Mar 2013 15:32:33 GMT+1”
Para visualizar paquetes http según su contenido
http.content_type==”text/html”
http.content_type==”text/css”
http.content_type==”image/png”
http.content_type==”image/gif”
http.content_type==”image/jpeg”http.content_type==”application/json"
http.content_type==”application/zip"
http.content_type==”video/quicktime”
Para visualizar paquetes http según con peticiones
http.request.method==”GET”
http.request.method==”POST”
Para visualizar paquetes http según el explorar
http.user_agent contains “Android”
http.user_agent contains “Mozilla”
http.user_agent contains “Firefox”
http.user_agent contains “MSIE”
Algunos ejemplos mas
Para visualizar los paquetes de todos los DELL de la red, a partir del OUI
eth.addr[0:3]==00:06:5B
Para visualizar los paquetes de la extensión de voip 0401
sip.To contains "a0401"
Para visualizar los correos con origen y destivo al dominio gmail.comframe contains “@gmail.com”
No hay comentarios:
Publicar un comentario