04/09/12 Anlisis de red con Wireshark. Filtros de captura y visualizacin.

| Seguridad y Redes

Seguridad y Redes
Pgina personal de Alfon.

Anlisis de red con Wireshark. Filtros de captura y visualizacin.

Posted on 24 marzo, 2008

Este artculo es fruto de algunos correos y algn comentario relativo a como filtrar en Wireshrak. Wireshark contempla dos tipos de Filtros. Filtros de capura y Filtros de visualizacin. Como ya hemos comentado en otras ocasiones, en Wireshark para los filtros de captura podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria pcap. Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Los filtros de visualizacin (Display Filer) establecen un criterio de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son mas flexibles y pontentes. Vamos a estudiar cada uno de ellos.

Filtros de Captura (Capture Filter)

Estos filtros estn basados en las libreras pcap. Los filtros son los mismos que podemos aplicar para Windump / TCPDump y que hemos visto aqu. As pues, para estos filtros, solo estudiaremos algunos ejemplos y como aplicarlos a Wireshark. Los filtros de captura son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturar todo el trfico y lo presentar en la pantalla principal. An as podrmos establecer filtros de visualizacin (display filter) para que nos muestre solo el trafco deseado. Se aplican en Capture > Options:

seguridadyredes.wordpress.com//analisis-de-red-con-wireshark-filtros-de-captura-y-visualizacian/

1/10

04/09/12 Anlisis de red con Wireshark. Filtros de captura y visualizacin. | Seguridad y Redes

En el campo Capture Filter introducimos el filtro o pulsamos el botn Capture Filter para filtros predefinidos:

Sintaxis de los Filtros y ejemplos de Filtros de captura.

Combinacin de Filtros. Podemos combinar las primitivas de los filtros de la siguiente forma: Negacin: ! not
seguridadyredes.wordpress.com//analisis-de-red-con-wireshark-filtros-de-captura-y-visualizacian/ 2/10

04/09/12 Anlisis de red con Wireshark. Filtros de captura y visualizacin. | Seguridad y Redes

Unin o Concatenacin: && and Alternancia:|| or Vamos ahora a los filtros:

Filtros basados en hosts Sintaxis Significado

host host src host host dst host host

Filtrar por host Capturar por host origen Capturar por host destino Ejemplos

host 192.168.1.20 src host 192.168.1.1 dst host 192.168.1.1 dst host SERVER-1 host www.terra.com

Captura todos los paquetes con origen y destino 192.168.1.20 Captura todos los paquetes con origen en host 192.1681.1 Captura todos los paquetes con destino en host 192.168.1.1 Captura todos los paquetes con destino en host SERVER-1 Captura todos los paquetes con origen y distino www.terra.com Filtros basados en puertos

Sintaxis

Significado

port port src port port dst port port not port port not port port and not port port1
Ejemplos

Captura todos los paquetes con puerto origen y destino port Captura todos los paquetes con puerto origen port Captura todos los paquetes con puerto destino port Captura todos los paquetes excepto origen y destino puerto port Captura todos los paquetes excepto origen y destino puertos port y port1

port 21 src port 21 not port 21 and not port 80 portrange 1-1024

Captura todos los paquetes con puerto origen y destino 21 Captura todos los paquetes con puerto origen 21 Captura todos los paquetes excepto origen y destino puertos 21 y 80

Captura todos los paquetes con puerto origen y destino en un rango de puertos 1 a 1024

dst portrange 1-1024

Captura todos los paquetes con puerto destino en un rango de puertos 1 a 1024 Filtros basados en protocolos Ethernet / IP

seguridadyredes.wordpress.com//analisis-de-red-con-wireshark-filtros-de-captura-y-visualizacian/

3/10

04/09/12 Anlisis de red con Wireshark. Filtros de captura y visualizacin. | Seguridad y Redes
Ejemplos

ip ip proto \tcp ether proto \ip ip proto \arp

Captura todo el trafico IP Captura todos los segmentos TCP Captura todo el trafico IP Captura todo el trafico ARP Filtros basados en red

Sintaxis

Significado

net net dst net net src net net

Captura todo el trafico con origen y destino red net Captura todo el trafico con destino red net Captura todo el trafico con origen red net Ejemplos

net 192.168.1.0 net 192.168.1.0/24 dst net 192.168.2.0 net 192.168.2.0 and port 21 broadcast not broadcast and not multicast

Captura todo el trafico con origen y destino subred 1.0 Captura todo el trafico para la subred 1.0 mascara 255.0 Captura todo el trafico con destino para la subred 2.0 Captura todo el trafico origen y destibo puerto 21 en subred 2.0 Captura solo el trafico broadcast Captura todo el trafico excepto el broadcast y el multicast

Aunque son filtros con ejemplos para Windump y TCPdump, los siguientes estudis de filtros avanzados se puedan aplicar sin problemas en Wireshark. Filtros avanzados aqu, aqu y aqu.

Filtros de Visualizacin (Display Filter)

Los filtros de visualizacin establecen un criterio de filtro sobre las paquetes que estamos capturano y que estamos visualizando en la pantalla principal de Wireshark. Al aplicar el filtro en la pantalla principal de Wireshark aparecer solo el trafco filtrado a travs del filtro de visualizacin. Lo podemos usar tambin para filtrar el contenido de una captura a travs de un fichero pcap ( archivo.pcap ). Comparando Filtros. Igual a: eq == No igual: ne != Mayor que:gt > Menor que: lt < Mayor o igual: ge >=
seguridadyredes.wordpress.com//analisis-de-red-con-wireshark-filtros-de-captura-y-visualizacian/ 4/10

04/09/12 Anlisis de red con Wireshark. Filtros de captura y visualizacin. | Seguridad y Redes

Menor o igual: le <= Combinando Filtros. Negacin: ! not Unin o Concatenacin: && and Alternancia:|| or Otro operadores. Contains: Realizamos una busqueda por la cadena contains Como aplicar los Filtros.

Si queremos aplicar otro filtro pulsamos el botn Clear, introducimos el filtro y pulsamos Apply. Ejemplos de filtros:
Filtros de visualizacin Ejemplos Sintaxis Significado

ip.addr == 192.168.1.40 ip.addr != 192.168.1.25 ip.dst == 192.168.1.30 ip.src == 192.168.1.30 ip tcp.port ==143 ip.addr == 192.168.1.30 and tcp.port == 143 http contains http://www.terra.com

Visualizar trfico por host 192.168.1.40 Visualizar todo el trfico excepto host 192.168.1.25 Visualizar por host destino192.168.1.30 Visualizar por host origen 192.168.1.30 Visualiza todo el trfico IP Visualiza todo el trfico origen y destino puerto 143 Visualiza todo el trfico origen y destino puerto 143 relativo al host 192.168.1.30 Visualiza el trafico origen y destino www.terra.com. Visualiza los paquetes que contienen www.terra.com en el contenido en protocolo http.

frame contains

Visualizamos todos los correos con origen y destivo al dominio

5/10

seguridadyredes.wordpress.com//analisis-de-red-con-wireshark-filtros-de-captura-y-visualizacian/

04/09/12 Anlisis de red con Wireshark. Filtros de captura y visualizacin. | Seguridad y Redes

@miempresa.es icmp[0:1] == 08

miempresa.es, incluyendo usuarios, pass, etc Filtro avanzado con el que visualizamos todo el trfico icmp de tipo echo request

ip.ttl == 1 tcp.windows_size != 0

Visualiza todo los paquetes IP cuyo campo TTL sea igual a 1 Visualizar todos los paquetes cuyos campo Tamao de Ventana del segmento TCP sea distinto de 0

ip.tos == x ip.flags.df == x udp.port == 53 tcp contains terra.com

Visualiza todo los paquetes IP cuyo campo TOS sea igual a x Visualiza todo los paquetes IP cuyo campo DF sea igual a x Visualiza todo el trafico UDP puerto 53 Visualizamos segmentos TCP conteniendo la cadena terra.com

Consiga un n de telf.
Nms. disponibles en + de 50 pases Conteste llamadas en cualquier pas sonetel.com

Tu voto:

1 Vote Twitter Facebook 3 One blogger likes this.

Share this:

Me gusta:

Me gusta

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada anlisis, avanzados, captura, capture, display, ethereal, ethernet, filter, filtros, icmp, interpretar, ip, red, Snort, tcp, tcpdump, trfico, windump, wireshark. Guarda el enlace permanente.

18 Respuestas a Anlisis de red con Wireshark. Filtros de captura y visualizacin.

Juan Jo dijo:
4 septiembre, 2008 a las 9:42 am

Hola, Me parece increible la cantidad de informacin til que nos ofreces en tu blog. Yo he aprendido infinidad de cosas con l. Muchas gracias. Una pregunta que quera hacerte. He estado leyendo el artculo sobre donde poner un sniffer en una lan para olisquear todo el trfico. En mi situacin lo que yo estoy haciendo ahora es correr wireshark en mi mquina y cambiar la direccin del gateway y yo suplantar al gateway, pero esto deja sin inet a todos los de mi lan. Hay alguna posibilidad de poder montar facilmente un proxy o algo en mi mquina para q esto sea transparente?. Gracias por adelantado,
seguridadyredes.wordpress.com//analisis-de-red-con-wireshark-filtros-de-captura-y-visualizacian/ 6/10