Tutorial. Análisis de Red Con Wireshark

Tutorial: Anlisis de red con Wireshark.
Filtros de captura y visualizacin
Wireshark contempla dos tipos de filtros: filtros de captura y filtros de visualizacin.
En Wireshark para los filtros de captura podemos hacer uso de la librera pcap que se usa en
los filtros TCPDump / Windump.
Los filtros de captura (Capture Filter) son los que se establecen para mostrar slo los
paquetes que cumplan los requisitos indicados en el filtro.
Los filtros de visualizacin (Display Filter) establecen un criterio de filtro sobre los paquetes
capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son
ms flexibles y potentes.
Vamos a estudiar cada uno de ellos.
Filtros de Captura (Capture Filter)

Estos filtros estn basados en las libreras pcap. Los filtros son los mismos que podemos aplicar
para Windump / TCPDump.
As pues, para estos filtros, slo estudiaremos algunos ejemplos y como aplicarlos a Wireshark.
Los filtros de captura son los que se establecen para mostrar slo los paquetes que cumplan los
requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturar todo el trfico y lo
presentar en la pantalla principal. An as podremos establecer filtros de visualizacin (display filter)
para que nos muestre slo el trfico deseado.
Se aplican en Capture > Options:
Encarnacin Marn Caballero Pgina 1 de 6

En el campo Capture Filter introducimos el filtro o pulsamos el botn Capture Filter para
filtros predefinidos:
Sintaxis de los Filtros y ejemplos de Filtros de captura
Combinacin de Filtros.
Podemos combinar las primitivas de los filtros de la siguiente forma:
Negacin: ! not
Unin o Concatenacin: && and

Alternancia: || or
Vamos ahora a los filtros:
Filtros basados en hosts
Sintaxis Significado
Host host Filtrar por host
src host host Capturar por host origen
dst host host Capturar por host destino

Ejemplos
host 192.168.1.20 Captura todos los paquetes con origen y destino 192.168.1.20
src host 192.168.1.1 Captura todos los paquetes con origen en host 192.1681.1
dst host 192.168.1.1 Captura todos los paquetes con destino en host 192.168.1.1
dst host SERVER-1 Captura todos los paquetes con destino en host SERVER-1
host Captura todos los paquetes con origen y distinto

http://www.terra.com http://www.terra.com
Filtros basados en puertos
port port Captura todos los paquetes con puerto origen y destino port
src port port Captura todos los paquetes con puerto origen port
dst port port Captura todos los paquetes con puerto destino port
Captura todos los paquetes excepto origen y destino puerto

not port port
port
not port port and not Captura todos los paquetes excepto origen y destino puertos
port port1 port y port1
Ejemplos
port 21 Captura todos los paquetes con puerto origen y destino 21
src port 21 Captura todos los paquetes con puerto origen 21
not port 21 and not port Captura todos los paquetes excepto origen y destino puertos
80 21 y 80
Captura todos los paquetes con puerto origen y destino en

portrange 1-1024
un rango de puertos 1 a 1024
Captura todos los paquetes con puerto destino en un rango

dst portrange 1-1024
de puertos 1 a 1024

Filtros basados en protocolos Ethernet / IP
Ejemplos
ip Captura todo el trfico IP
ip proto \tcp Captura todos los segmentos TCP
ether proto \ip Captura todo el trfico IP
ip proto \arp Captura todo el trfico ARP
Filtros basados en red
net net Captura todo el trfico con origen y destino red net
dst net net Captura todo el trfico con destino red net
src net net Captura todo el trfico con origen red net
Ejemplos
net 192.168.1.0 Captura todo el trfico con origen y destino subred 1.0
net 192.168.1.0/24 Captura todo el trfico para la subred 1.0 mascara 255.0
dst net 192.168.2.0 Captura todo el trfico con destino para la subred 2.0
net 192.168.2.0 and port Captura todo el trfico origen y destino puerto 21 en subred
21 2.0
broadcast Captura solo el trafico broadcast
not broadcast and not

Captura todo el trfico excepto el broadcast y el multicast
multicast
Aunque son filtros con ejemplos para Windump y TCPdump, los siguientes estudios de filtros
avanzados se puedan aplicar sin problemas en Wireshark.

Filtros de Visualizacin (Display Filter)

Los filtros de visualizacin establecen un criterio de filtro sobre los paquetes que estamos
capturando y que estamos visualizando en la pantalla principal de Wireshark. Al aplicar el filtro en la
pantalla principal de Wireshark aparecer solo el trfico filtrado a travs del filtro de visualizacin.
Lo podemos usar tambin para filtrar el contenido de una captura a travs de un fichero pcap
(archivo.pcap).
Comparando Filtros.
Igual a: eq ==
No igual: ne !=
Mayor que: gt >
Menor que: lt <
Mayor o igual: ge >=

Menor o igual: le <=
Combinando Filtros.
Negacin: ! not
Unin o Concatenacin: && and

Alternancia: || or
Otros operadores.
Contains: Realizamos una bsqueda por la cadena contains.
Cmo aplicar los Filtros.
Si queremos aplicar otro filtro pulsamos el botn Clear, introducimos el filtro y pulsamos Apply.
Ejemplos de filtros:
Filtros de visualizacin

Ejemplos
ip.addr == 192.168.1.40 Visualizar trfico por host 192.168.1.40
ip.addr != 192.168.1.25 Visualizar todo el trfico excepto host 192.168.1.25
ip.dst == 192.168.1.30 Visualizar por host destino192.168.1.30
ip.src == 192.168.1.30 Visualizar por host origen 192.168.1.30
ip Visualiza todo el trfico IP
tcp.port == 143 Visualiza todo el trfico origen y destino puerto 143
ip.addr == 192.168.1.30 and Visualiza todo el trfico origen y destino puerto 143
tcp.port == 143 relativo al host 192.168.1.30
Visualiza el trafico origen y destino

http contains http://www.terra.com. Visualiza los paquetes que
http://www.terra.com contienen http://www.terra.com en el contenido en
protocolo http.
frame contains Visualizamos todos los correos con origen y destino al

@miempresa.es dominio miempresa.es, incluyendo usuarios, pass, etc.
Filtro avanzado con el que visualizamos todo el trfico

icmp[0:1] == 08
icmp de tipo echo request
Visualiza todo los paquetes IP cuyo campo TTL sea igual a

ip.ttl == 1
1
Visualizar todos los paquetes cuyos campo Tamao de

tcp.windows_size != 0
Ventana del segmento TCP sea distinto de 0
Visualiza todo los paquetes IP cuyo campo TOS sea igual

ip.tos == x
ax
Visualiza todo los paquetes IP cuyo campo DF sea igual a

ip.flags.df == x
x
udp.port == 53 Visualiza todo el trfico UDP puerto 53
Visualizamos segmentos TCP conteniendo la cadena

tcp contains terra.com
terra.com

Tutorial. Análisis de Red Con Wireshark

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Tutorial. Análisis de Red Con Wireshark

Caricato da

Copyright:

Formati disponibili

Tutorial: Anlisis de red con Wireshark.

Filtros de captura y visualizacin

Wireshark contempla dos tipos de filtros: filtros de captura y filtros de visualizacin.

Vamos a estudiar cada uno de ellos.

Filtros de Captura (Capture Filter)

Se aplican en Capture > Options:

Encarnacin Marn Caballero Pgina 1 de 6

Sintaxis de los Filtros y ejemplos de Filtros de captura

Unin o Concatenacin: && and

Vamos ahora a los filtros:

Filtros basados en hosts

Host host Filtrar por host

src host host Capturar por host origen

dst host host Capturar por host destino

Encarnacin Marn Caballero Pgina 2 de 6

host Captura todos los paquetes con origen y distinto

Filtros basados en puertos

Captura todos los paquetes excepto origen y destino puerto

port 21 Captura todos los paquetes con puerto origen y destino 21

src port 21 Captura todos los paquetes con puerto origen 21

Captura todos los paquetes con puerto origen y destino en

Captura todos los paquetes con puerto destino en un rango

Encarnacin Marn Caballero Pgina 3 de 6

Filtros basados en protocolos Ethernet / IP

ip Captura todo el trfico IP

ip proto \tcp Captura todos los segmentos TCP

ether proto \ip Captura todo el trfico IP

ip proto \arp Captura todo el trfico ARP

Filtros basados en red

broadcast Captura solo el trafico broadcast

not broadcast and not

Encarnacin Marn Caballero Pgina 4 de 6

Filtros de Visualizacin (Display Filter)

Menor que: lt <

Mayor o igual: ge >=

Unin o Concatenacin: && and

Cmo aplicar los Filtros.

Encarnacin Marn Caballero Pgina 5 de 6

ip.addr == 192.168.1.40 Visualizar trfico por host 192.168.1.40

ip.addr != 192.168.1.25 Visualizar todo el trfico excepto host 192.168.1.25

ip.dst == 192.168.1.30 Visualizar por host destino192.168.1.30

ip.src == 192.168.1.30 Visualizar por host origen 192.168.1.30

ip Visualiza todo el trfico IP

tcp.port == 143 Visualiza todo el trfico origen y destino puerto 143

Visualiza el trafico origen y destino

frame contains Visualizamos todos los correos con origen y destino al

Filtro avanzado con el que visualizamos todo el trfico

Visualiza todo los paquetes IP cuyo campo TTL sea igual a

Visualizar todos los paquetes cuyos campo Tamao de

Visualiza todo los paquetes IP cuyo campo TOS sea igual

Visualiza todo los paquetes IP cuyo campo DF sea igual a

udp.port == 53 Visualiza todo el trfico UDP puerto 53

Visualizamos segmentos TCP conteniendo la cadena

Encarnacin Marn Caballero Pgina 6 de 6

Potrebbero piacerti anche