Wireshark es un analizador de paquetes de red basado en GUI que le permite inspeccionar datos de paquetes de una red en vivo así como de un archivo previamente capturado. Aunque es una herramienta muy poderosa, un problema común al que se enfrentan los novatos es que muestra tantos datos que les resulta muy difícil determinar con exactitud la información que están buscando. Aquí es donde los filtros de pantalla de Wireshark ayudan.
Nota – Si eres completamente nuevo en Wireshark, se recomienda que primero revises su tutorial basic .
Mostrar filtros
Aquí hay un ejemplo de una captura en vivo en Wireshark:
Tenga en cuenta que una gran parte de la interfaz gráfica de usuario se utiliza para mostrar información (como Hora, Fuente, Destino, y más) sobre todos los paquetes entrantes y salientes. Para filtrar esta información según sus necesidades, debe utilizar la caja de filtro presente en la parte superior de la ventana.
1. Filtrar información basada en el protocolo
Para filtrar resultados basados en un protocolo específico, simplemente escriba su nombre en el cuadro de filtro y pulse enter. Por ejemplo, la siguiente captura de pantalla muestra información relacionada con el protocolo HTTP:
Observe que la columna Protocolo sólo contiene entradas HTTP. Si se requiere información relacionada con más de un protocolo, introduzca los nombres de los protocolos separados por una tubería doble (o un operador O lógico) |||. Aquí hay un ejemplo:
http || arp || icmp
2. Filtrar información basada en la dirección IP
Para filtrar los resultados en función de la IP de origen, utilice el filtro ip.src. Aquí hay un ejemplo:
ip.src==50.116.24.50
Del mismo modo, utilice ip.dst para filtrar los resultados en función de la dirección IP de destino. Para mostrar paquetes de origen y destino con una IP en particular, utilice el filtro ip.addr. Aquí hay un ejemplo:
ip.addr==50.116.24.50
Observe que los paquetes con la dirección IP de origen o destino como 50.116.24.50 se muestran en la salida.
Para excluir paquetes con una dirección IP específica, utilice el operador! Aquí hay un ejemplo:
ip.src!=50.116.24.50
3. Filtrar información basada en el puerto
También puede filtrar el tráfico capturado basándose en los puertos de red. Por ejemplo, para mostrar sólo los paquetes que contienen el puerto de origen o destino TCP 80, utilice el filtro tcp.port. Aquí hay un ejemplo:
tcp.port==80
Del mismo modo, puede utilizar tcp.srcport y tcp.dstport para filtrar por separado los resultados en función de los puertos de origen y destino TCP, respectivamente.
Wireshark también tiene la capacidad de filtrar resultados basados en banderas TCP. Por ejemplo, para mostrar en aquellos paquetes TCP que contengan el indicador SYN, utilice el filtro tcp.flags.syn. Aquí hay un ejemplo:
Del mismo modo, también puede filtrar los resultados basándose en otros indicadores como ACK, FIN, y más, utilizando filtros como tcp.flags.ack, tcp.flags.fin, y más, respectivamente.
4. Algunos otros filtros útiles
Wireshark muestra los datos contenidos por un paquete (actualmente seleccionado) en la parte inferior de la ventana. A veces, mientras se depura un problema, se requiere filtrar paquetes basados en una secuencia de bytes en particular. Puedes hacerlo fácilmente usando Wireshark.
Por ejemplo, los paquetes TCP que contienen la secuencia 00 00 00 01 byte pueden filtrarse de la siguiente manera:
tcp contiene 00:00:01
Siguiendo, al igual que puede filtrar resultados basados en direcciones IP (explicado anteriormente), también puede filtrar resultados basados en direcciones MAC, utilizando el filtro eth.addr. Por ejemplo, para ver todo el tráfico que entra y sale de una máquina con dirección mac, por ejemplo AA:BB:CC:DD:EE:FF, utilice el siguiente comando de filtro:
eth.addr == AA:BB:CC:DD:EE:FF
Conclusión
Apenas hemos arañado la superficie aquí, ya que Wireshark tiene mucho más que ofrecer. Para más información sobre los filtros de visualización de Wireshark, visite el sitio web oficial de Wireshark o el sitio web de Wiki Wireshark Wiki Wireshark website . Si tiene alguna duda o consulta, deje un comentario a continuación.
