Anda di halaman 1dari 8

Anlisis de red con Wireshark. Filtros de captura y visualizacin. Wireshark contempla dos tipos de Filtros.

Filtros de captura y Filtros de visualizacin. Como ya hemos comentado en otras ocasiones, en Wireshark para los filtros de captura podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma librera pcap. Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Los filtros de visualizacin (Display Filer) establecen un criterio de filtro sobre los paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son ms flexibles y potentes. Vamos a estudiar cada uno de ellos. Filtros de Captura (Capture Filter) Estos filtros estn basados en las libreras pcap. Los filtros son los mismos que podemos aplicar para Windump / TCPDump As pues, para estos filtros, solo estudiaremos algunos ejemplos y como aplicarlos a Wireshark. Los filtros de captura son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturar todo el trfico y lo presentar en la pantalla principal. Aun as podremos establecer filtros de visualizacin (display filter) para que nos muestre solo el trfico deseado. Se aplican en Capture > Options:

En el campo Capture Filter introducimos el filtro o pulsamos el botn Capture Filter para filtros predefinidos:

Sintaxis de los Filtros y ejemplos de Filtros de captura. Combinacin de Filtros. Podemos combinar las primitivas de los filtros de la siguiente forma:

Negacin: ! not Unin o Concatenacin: && and Alternancia:|| or Vamos ahora a los filtros: Filtros basados en hosts Sintaxis host host src host host dst host host Ejemplos host 192.168.1.20 Captura todos los paquetes con origen y destino Significado Filtrar por host Capturar por host origen Capturar por host destino

192.168.1.20 Captura todos los paquetes con origen en host 192.1681.1 Captura todos los paquetes con destino en host 192.168.1.1 Captura todos los paquetes con destino en host SERVER-1 Captura todos los paquetes con origen y destino www.terra.com

src host 192.168.1.1

dst host 192.168.1.1

dst host SERVER-1

host www.terra.com Filtros basados en puertos Sintaxis

Significado Captura todos los paquetes con puerto origen y destino port Captura todos los paquetes con puerto origen port Captura todos los paquetes con puerto destino

por port

src port port

dst port port

port Captura todos los paquetes excepto origen y destino puerto port not Captura todos los paquetes excepto origen y destino puertos port y port1

not port port not port port and port port1 Ejemplos

port 21 src port 21 not port port 80 21 and not

Captura todos los paquetes con puerto origen y destino 21 Captura todos los paquetes con puerto origen 21 Captura todos los paquetes excepto origen y destino puertos 21 y 80 Captura todos los paquetes con puerto origen y destino en un rango de puertos 1 a 1024

portrange 1-1024

Captura todos los paquetes con puerto destino dst portrange 1-1024 en un rango de puertos 1 a 1024

Filtros basados en protocolos Ethernet / IP Ejemplos ip ip proto \tcp ether proto \ip ip proto \arp Filtros basados en red Sintaxis Significado Captura todo el trfico con origen y destino red net Captura todo el trfico con destino red net Captura todo el trfico con origen red net Captura todo el trfico IP Captura todos los segmentos TCP Captura todo el trfico IP Captura todo el trfico ARP

net net dst net net src net net Ejemplos

net 192.168.1.0

Captura todo el trfico con origen y destino subred 1.0 Captura todo el trfico para la subred 1.0 mascara 255.0 Captura todo el trfico con destino para la subred 2.0 Captura todo el trfico origen y destino puerto 21 en subred 2.0 Captura solo el trafico broadcast Captura todo el trfico excepto el broadcast y el multicast

net 192.168.1.0/24

dst net 192.168.2.0 net 192.168.2.0 and port 21 broadcast not broadcast and not multicast

Aunque son filtros con ejemplos para Windump y TCPdump, los siguientes estudios de filtros avanzados se puedan aplicar sin problemas en Wireshark.

Filtros de Visualizacin (Display Filter) Los filtros de visualizacin establecen un criterio de filtro sobre los paquetes que estamos capturando y que estamos visualizando en la pantalla principal de Wireshark. Al aplicar el filtro en la pantalla principal de Wireshark aparecer solo el trfico filtrado a travs del filtro de visualizacin. Lo podemos usar tambin para filtrar el contenido de una captura a travs de un fichero pcap (archivo. Pcap ). Comparando Filtros. Igual a: eq ==

No igual: ne != Mayor que:gt > Menor que: lt <

Mayor o igual: ge >= Menor o igual: le <= Combinando Filtros. Negacin: ! not Unin o Concatenacin: && and Alternancia:|| or Otros operadores. Contains: Realizamos una bsqueda por la cadena contains Como aplicar los Filtros.

Si queremos aplicar otro filtro pulsamos el botn Clear, introducimos el filtro y pulsamos Apply. Ejemplos de filtros: Filtros de visualizacin Ejemplos

Sintaxis ip.addr == 192.168.1.40

Significado Visualizar trfico por host 192.168.1.40 Visualizar todo 192.168.1.25 el trfico excepto host

ip.addr != 192.168.1.25 ip.dst == 192.168.1.30 ip.src == 192.168.1.30 ip

Visualizar por host destino192.168.1.30 Visualizar por host origen 192.168.1.30 Visualiza todo el trfico IP Visualiza todo el trfico origen y destino puerto

tcp.port ==143 ip.addr == 192.168.1.30and tcp.port == 143

143

Visualiza todo el trfico origen y destino puerto 143 relativo al host 192.168.1.30 Visualiza el trafico origen y destino www.terra.com. Visualiza los paquetes que contienen www.terra.com en el contenido en protocolo http. Visualizamos todos los correos con origen y destino al dominio miempresa.es, incluyendo usuarios, pass, etc. Filtro avanzado con el que visualizamos todo el trfico icmp de tipo echo request Visualiza todo los paquetes IP cuyo campo TTL sea igual a 1 Visualizar todos los paquetes cuyos campo Tamao de Ventana del segmento TCP sea

http contains http://www.terra.com

frame contains @miempresa.es

icmp[0:1] == 08

ip.ttl == 1

tcp.windows_size != 0

distinto de 0 Visualiza todo los paquetes IP cuyo campo TOS sea igual a x Visualiza todo los paquetes IP cuyo campo DF sea igual a x

ip.tos == x

ip.flags.df == x

udp.port == 53

Visualiza todo el trfico UDP puerto 53 Visualizamos segmentos TCP conteniendo la cadena terra.com

tcp contains terra.com