1

Carlos Andrey Montoya

Filtros en Wireshark
Nivel: Usuario

Administracin de Plataformas y
Seguridad
Nivel Gua: 1
Objetivos:
- Conocer las distintas opciones de configuracin de Wireshark, las cules permitirn
capturar los paquetes que se necesitan para analizar los resultados de las prcticas
futuras de laboratorio
- Configurar filtros de captura en Wireshark, los cuales permitirn que la informacin que
se obtenga a travs de la aplicacin tenga la informacin depurada sobre lo que se
desea analizar.
- Configurar Filtros de vista que permitirn analizar la informacin capturada de una froma
ms acertada y precisa, ganando tiempo al revisar solo los paquetes objetivo.

Requerimientos
Windows 2003 Server (real)
Acrobat Reader
Mquina virtual de Linux (Fedora Core 7) o Mquina Virtual de Windows (W2K3 server)
Vmware

Convenciones
Consejo
Informacin
Advertencia
Tarea
Extrema precaucin
Ejecucin en una Terminal de Linux o Windows

Metodologa

Durante el desarrollo de la gua primero se indicar lo que se necesita hacer y despus
como se har, de esta manera el estudiante est en la libertad de hacer la gua basado en
el que, siempre y cuando conozca como lo va a hacer. Todos los conceptos sern
desarrollados en el transcurso de la gua.
2
Carlos Andrey Montoya
Pasos Previos

Asegrese de tener instalado el Wireshark o Ethereal en el sistema operativo donde
desee trabajar esta gua
Inicie con el usuario root en Linux o Administrator en Windows. Password
Password1
El wireshark es el software que sucedi a ethereal, y funcionan de la misma manera
en Windows que en Linux.

Desarrollo

1. Inicie la aplicacin de Wireshark

En Linux:
ethereal &
o
wireshark &

En Windows:
All ProgramsWiresharkWireshark

3
Carlos Andrey Montoya


2. Antes de iniciar la captura, se debe configurar la interfaz por donde se desea
capturar la informacin de la red. Para ello haga clic en el botn que lista las
interfaces disponibles.






Antes seguir con la gua, asegrese de identificar la interfaz de red con la que
quiere trabajar, si usted cuenta con ms de una interfaz de red puede verificar la
columna IP para ver si tiene la direccin ip de la interfaz con al que usted desea
capturar.

Para iniciar la configuracin de la interfaz haga clic en options de la interfaz
seleccionada.
4
Carlos Andrey Montoya





En la figura: Wireshark Capture Options usted puede configurar los siguientes campos:
Capture Frame
Interface: Especifica con que interfaz se desea capturar. Slo se puede capturer con
una interfaz a la vez y que Wireshark haya encontrado. No se puede utilizar la
interfaz de loopback.
IP address: Muestra la direccin IP de la interfaz seleccionada
Buffer size: n megabyte(s): Define el tamao del buffer que ser usado durante la
captura. Este es el tamao del buffer del kernel el cual almacenar los paquetes
capturados hasta que sean guardados en un archivo en el disco duro. Si descubre que
el sniffer le ha borrado paquetes, o no le aparecen algunos de ellos, se debe aumentar
el tamao.
Esta opcin solo est disponible en la versin de Windows.
Capture packets in promiscuous mode: Este check box configura la tarjeta de red
para capturar en modo promiscuo o no.
5
Carlos Andrey Montoya
Cuando una tarjeta se configura en modo promiscuo, permite capturar todos los
paquetes que pasan por la interfaz. Si usted se encuentra en un entorno de switching
capturara lo de su equipo ms el trfico de broadcast, pero si est en un entorno de
hubs podr ver todo el trfico de la red.
Si no configura la interfaz para capturar en modo promiscuo solo captur los paquetes
que vayan dirigidos hacia su equipo.
Si desea capturar el trfico de la red en un entorno de switching debe configurar sus
equipos para hacer port mirroring de los puertos principales.
Si otro proceso configura la interfaz en modo promiscuo, el sniffer capturar todo el
trfico de la interfaz as est deshabilitado en wireshark.
Para ms informacin: http://www.wireshark.org/faq.html#promiscsniff
Limit each packet to n bytes: Este campo permite especificar el tamao mximo de
los datos de cada paquete que ser capturado. Si no lo habilita el valor
predeterminado es 65535. Si desea configurar esta opcin tenga en cuenta que:
Si no necesita todos los datos de un paquete, por ejemplo, si solo necesita la
informacin de enlace y cabeceras de IP y TCP puede configurar la captura para
capturar pocos datos de los paquetes. De esta manera utilizar menos cpu y
espacio en disco
Si no captura todos los datos de los datos de los paquetes, podra ser que el dato
que necesita de un paquete est en la parte que fue borrada, o no capturada, y de
esta manera no cumplir con el objetivo de la captura.
SI algn paquete es fragmentado, no se podr reemsamblar debido a que la
informacin fue borrada o no capturada.
Capture Filter: Este campo permite especificar filtros de captura los cuales
trabajaremos durante el desarrollo de esta gua.
Puede hacer clic en el botn Capture Filter: y armar un filtro de captura con la
ayuda de los iconos.
6
Carlos Andrey Montoya

Trabajar con archivos ms grandes que 100 MB puede causar que el equipo trabaje
ms lento, en estos casos utilice la opcin de multiples files.

Capture File(s) frame
File: Este campo permite especificar el nombre del archive que ser usado para
guardar los paquetes capturados, Si no especifica ningn nombre ser guardado en
una archivo temporal.
Puede hacer clic en el botn Browse y buscar la ubicacin del archivo y seleccionar o
escribir un nombre de archivo.

Use multiple files: no almacena toda la informacin de los paquetes en un solo
archivo sino que crea uno nuevo cuando una condicin especifica se cumple.
Next file every n megabyte(s): Funciona solo con la opcin de multiple files, cambia
a un nuevo archivo cada que la captura llega a un determinado tope de espacio.
Next file every n minute(s): Funciona solo con la opcin de multiple files, cambia a
un nuevo archivo cada que ha pasado un determinado tiempo, ya sea segundos,
minutos, horas, das.
Ring buffer with n files: Funciona solo con la opcin de multiple files, crea un
buffer en anillo con n archivos definidos.
Stop capture after n file(s): Funciona solo con la opcin de multiple files, detiene la
captura despus de haber guardado n archivos.

7
Carlos Andrey Montoya
Stop Capture... frame
... after n packet(s): Detiene la captura despus de un determinado nmero de
paqutes capturados.
... after n megabytes(s): Detiene la captura despus de un determinado nmero de
byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s) han sido capturados. No aplica si se usan
mltiples archivos
... after n minute(s): Detiene la captura despus de un determinado tiempo.

Display Options frame
Update list of packets in real time: Esta opcin permite especificar si Wireshark
debe mostrar los paquetes capturados en tiempo real, de lo contrario no mostrar los
pauquetes capturados hasta que se detenga la captura. Las capturas de Wireshark
corren en un proceso seprado al de mostrar los paquetes.
Automatic scrolling in live capture: Est opcin permite que Wireshark realize el
scroll de la barra cuando los paquetes no caben en una ventana. De esta manera podr
estar monitoreando los paquetes nuevos de la captura. Esta opcin es deshabilitada si
no se usa Update list of packets in real time.
Hide capture info dialog: Esconde la ventana de dialogo de Wireshark, en esta
ventana se muestra un resumen de la captura.
Cuando se desea monitorear en tiempo real el trfico de la red, una buena opcin es
habilitar las tres opciones del frame Display Options, debido a que permite visualizar
todos los paquetes que se van capturando, en tiempo real.

Name Resolution frame
Enable MAC name resolution: Esta opcin habilita al wireshark para trasladar las
direcciones MAC en nombres de equipos. Se utiliza para reconocer ms fcil los
equipos cuando no se reconoce sus direcciones MAC
Enable network name resolution: Esta opcin habilita al wireshark para trasladar
las direcciones IP en nombres de equipos. Se utiliza para reconocer ms fcil los
equipos cuando no se reconoce sus direcciones IP
8
Carlos Andrey Montoya
Enable transport name resolution: Esta opcin habilita al wireshark para trasladar
los Puertos en protocolos. Se utiliza para reconocer ms fcil los protocolos cuando
no se reconoce los puertos predeterminados de las aplicaciones.
Cuando realice capturas, deshabilite todas las opciones de resolucin de nombres, ya
que si est tratando de rastrear un problema necesita comparar las direcciones ip y las
MAC, no los nombres.
Botones
Una vez haya configurado las opciones de captura, puede hacer cliec en el botn start
para iniciar la captura o cancel para cancelarla.
Una vez haya iniciado la captura puede cancelarla cuando lo desee haciendo clic en
el botn cancel el cual se muestra en la siguiente grfica.


Cuando se empieza a capturar se activa la venta de capturing est ventana est dividida
en tres partes:
a) Lista de los paquetes: En esta parte se muestra la lista de todos los paquetes que
se capturan
b) Detalle del paquete: al hacer clic sobre un paquete, se muestra el contenido del
paquete, las capas de los protocolos y los datos asociados, est informacin est
decodificada para ser ms entendible.
c) Bytes del paquete: muestra el contenido del paquete en bytes.
La visualizacin de estas partes se pueden activar o desactivar a travs del men view.

9
Carlos Andrey Montoya


Filtros de captura
Como ya se mencion, los filtros de captura permiten acotar las capturas que se hagan y
de esta manera no tener archivos demasiado extensos con informacin innecesaria.

Para establecer los filtros de captura, estos se deben poner antes de iniciarla.
Para ello ingrese por options de la interfaz de la que desea capturar, y colocar sus filtros
de captura en el campo Capture Filter.
Para establecer los filtros tiene las siguientes opciones
Especificar el protocolo, por ejemplo:
o tcp
o ip
o arp
o icmp

10
Carlos Andrey Montoya
Especificar un puerto o rango de puertos
o port 53
o port 80
o port 25
o portrange 1025-2050
o portrange 2000-30000
Note que cuando utiliza port #, no est especificando protocolo de transporte ni fuente
o destino as que capturar todos los paquetes que tenga en puerto el nmero 25
Especificar trfico de broadcast o multicast
o broadcast
o multicast

Especificar un equipo o una red
o host 192.168.130.111
o net 192.168.130.0/24
o host www.wireshark.org

Especificar una fuente o un destino (ip o tcp o udp)
o src 192.168.130.111
o dst host www.wireshark.org
o src port 2024
o src portrange 1024-65535
o dst port http
o tcp dst port 80


11
Carlos Andrey Montoya
Negar condiciones
o not arp
o not ip
o not icmp
o not host 192.168.130.111
o not tcp port 25

Anidar condiciones
o ip and tcp port 80
o tcp port http or tcp port 25
o (host 192.168.130.111 and tcp port 80) or host www.wireshark.org
Pruebe cada uno de estos filtros, teniendo en cuenta su direccin IP en el caso que lo
requiera, navegue a travs de la red y verifique las capturas
Tenga en cuenta que los filtros utilizados, usan puertos especficos, por ejemplo 80 o
http, si usted no navega utilizando estos puertos no ver ninguna captura. Para inducir
trfico por este puerto abra el browser (Internet Explorer o Firefox) y entre a
www.wireshark.org o www.icesi.edu.co
Una forma de inducir trfico por un puerto y direccin especficos es
telnet DIRIP PUERTO
cambie DIRIP por la direccin IP con la que desea probar y PUERTO por el puerto
especifico que desea trabajar. Para salirse del telnet, si tiene respuesta del servidor:
quit
o
exit

Para mayor informacin sobre los filtros de captura revise la pgina
http://wiki.wireshark.org/CaptureFilters, en esta pgina

12
Carlos Andrey Montoya
Filtros de Visualizacin
Una vez se ha capturado el trfico, usted puede establecer otros filtros para buscar
comunicaciones especficas, o problemas puntuales.
estos filtros no eliminan los paquetes que se han capturado solo muestra los que
cumplen con las condiciones del filtro, si se elimina el filtro, se volver a mostrar
todos los paquetes.
Para establecer un filtro puede escribirlo en le campo filter o hacer clic en el botn
Expression y armarlo por medio del men de ayuda


Para establecer los filtros de visualizacin hay que tener en cuenta las reglas del filtro de
captura, sin embargo el formato de la expresin es muy diferente en algunos casos.
Algunas de las opciones son:
Especificar el protocolo, por ejemplo:
o tcp
o ip
o arp
o icmp

Especificar un puerto o rango de puertos
o tcp.port==53
o tcp.port==80
o tcp.port==25
o tcp.port > 1025 and tcp.port < 2050
o tcp.port > 2000 and tcp.port < 30000
13
Carlos Andrey Montoya
Especificar un equipo o una red
o ip.addr==192.168.130.111
o ip.addr==192.168.130.0/24

Especificar una fuente o un destino (ip o tcp o udp)
o ip.src==192.168.130.111
o ip.dst==200.3.192.20
www.icesi.edu.co (200.3.192.20)
o tcp.srcport==2024
o tcp.srcport>1024 && tcp.srcport<65535
o http
o tcp.dstport==80

Negar condiciones
o not arp
o not ip
o not icmp
o not ip.addr==192.168.130.111
o not tcp.port==25
o !ip.src==192.168.130.111

Anidar condiciones
o ip and tcp.port 80
o tcp.port==80 or tcp.port==25
o (ip.addr==192.168.130.111 and tcp.port==80) or ip.addr==200.3.192.20
o (ip.src==192.168.130.111 && tcp.port==80) || ip.dst==200.3.192.20
o !ARP && !ICMP && ip.addr==192.168.130.0/24 || tcp.port==25
14
Carlos Andrey Montoya
Pruebe cada uno de estos filtros, teniendo en cuenta su direccin IP en el caso que lo
requiera, navegue a travs de la red y verifique las capturas
Tenga en cuenta que los filtros utilizados, usan puertos especficos, por ejemplo 80 o
http, si usted no navega utilizando estos puertos no ver ninguna captura. Para inducir
trfico por este puerto abra el browser (Internet Explorer o Firefox) y entre a
www.wireshark.org o www.icesi.edu.co
Para ms informacin sobre los Display Filters visite la pgina:
http://wiki.wireshark.org/DisplayFilters
Wireshark permite identificar paquetes que cumplen con algunas reglas establecidas,
la identificacin se hace mediante colores en los paquetes capturados. Si desea ms
informacin sobre este servicio visite la siguiente pgina de Internet:
http://wiki.wireshark.org/ColoringRules
Esta gua est basada en la ayuda de Wireshark