Clase Nro.

Filtros de Wireshark

1) Filtrar por hora, fecha, etc.

view/time display format/time of day

2) Crear filtro tcp syn.

* En la barra de filtrado buscar los paquetes TCP.
* Una vez seleccionado el paquete TCP, ir al apartado de Transmission
Control Protocol y en flags y ahí se puede ver el valor del Syn bit. Si el valor
del Syn bit es 1 significa que este fue el primer paquete de la serie para
intentar o atentar establecer una comunicación.
* Una vez seleccionado la línea del Syn bit se puede ver en la esquina inferior
izquierda del Wireshark.

* Para crear un botón con este filtro se setea en la barra de filtrado

tcp.flags.syn == 1 (se debe colocar un operador booleano para que haga la
búsqueda).
* Dar clic en el botón con el signo + en la barra de filtrado y colocar un
nombre para este filtro, ejemplo (conexiones TCP/SYN).
3) Crear regla de color.
* Ir a la pestaña view/coloring rules.
* Dar clic en el botón de +, ingresar el nombre del filtro creado en el paso 2 y
agregar nuevamente el tipo de filtrado, ejemplo tcp.flags.syn==1 y dar al
botón ok.
* Ir nuevamente a la pestaña de coloring rules y tildar el filtro creado
anteriormente para que este surja efecto.
* Seleccionar el filtro creado y en los botones Foreground y Background
establecer el color de letra y de fondo según su preferencia.
Nota: es importante acotar que la pestaña coloring rules tiene un orden
jerárquico, por lo que dependiendo el orden de las reglas las mismas serán
priorizadas.

Estadísticas en Wireshark

1) Conversations.
En la pestaña statistics/conversations. En esa pestaña de puede ver que las
conversaciones están organizadas por capas de direccionamiento.

Geolocalización IP en Wireshark

1) Se debe contar con una base de datos la cual se puede descargar desde la
página de Max Mind (www.maxmind.com).
2) Ir a la pestaña edit/preferences/name resolution.
3) Dar clic en el botón editar del campo Max Mind database directories y en
botón con el signo + importar la base de datos de Max Mind.
 Clase Nro. 2

Agregar puerto de origen y destino

1) Seleccionar algún paquete capturado y en el apartado user datagram
protocol se pueden visualizar tanto el puerto de origen como de destino.
2) Dar clic derecho sobre el campo source y seleccionar la opción Aplly as
Column.
3) Por lo general estaremos viendo únicamente los puertos UDP, para poder
ver también los puertos TCP dar clic derecho en la columna Source Port y
Edit Column agregar la regla udp.srcport or tcp.srcport (esta regla permite
ver los puertos de origen para las conexiones TCP y UDP). Para ver el destino
de los puertos dar clic derecho en Destination Port y en Edit Column crear la
regla udp.dstport or tcp.dstport.

Agregar Columna Host

Muchas veces los ataques pueden ser mediante el protocolo HTTP a pesar de
estar encriptados, por lo que se puede crear un filtro para el campo Host o en
su defecto un botón.
1) en la barra de filtrado escribir HTTP, luego en el campo Hypertext Transfer
Protocol y al campo Host y Aplly as a Column.

Agregar Nombre a los puertos existentes

1) en la pestaña View seleccionar la opción Preferences e ir a Name
Resolution.
2) tildar en campo Resolve Transport Names y Resolve Network (ip) Address.
Con estas opciones el PCAP utilizara el DNS de la maquina anfitrión para
resolver esas direcciones IP que no hayan sido traducidas. Hay que tomar en
cuenta que estas opciones van a generar cierto trafico DNS procedente de
Wireshark.
3) algunas direcciones privadas no vas a ser resueltas por el DNS, así que, si
se sabe el origen de dicha dirección dar clic derecho sobre el paquete y
seleccionar Edit Resolved Name, en el campo Name colocar el identificador
para dicha dirección, ejemplo: 192.168.10.108 WS-Sistemas