Wireshark . Filtros de Captura.

En esta entrada , me gustaría discutir sobre los filtros de captura de Wireshark , un tema de utilidad a la hora de analizar el tráfico de paquetes de una red.

En este enlace podemos ver un video del funcionamiento de Wireshark.  VER VIDEO

WIKI DE WIRESHARK.

Wireshark contempla dos tipos de Filtros. Filtros de capura y Filtros de visualización. Como ya hemos comentado en otras ocasiones, en Wireshark para los filtros de captura podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria pcap.

  1. Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Para filtros de captura Wireshark depende de los mecanismos de filtrado provistos en las librerías pcap,   para Windows winpcap.¿Para que nos puede servir el filtrado de paquetes?, normalmente lo más sencillo es capturar todo el tráfico y posteriormente utilizar filtros de visualización, para analizar mejor el tráfico, sin embargo, hay diferentes situaciones, en las que los filtros de captura pueden ser de mucha utilidad, por ejemplo si solo estamos interesados en la comunicación entre un cliente y un servidor, podemos eliminar tráfico innecesario y capturar solo lo necesario y relevante, también si estamos utilizando una PC que no es muy potente, en ambientes de altos volúmenes de tráfico, es posible que la pc no sea capaz de capturar todo el tráfico, en estos casos, lo ideal es establecer un filtro de captura para obtener unicamente el tráfico relevante para nuestro análisis. Otra opción es hacer una captura inicial de todo el tráfico y después de un análisis preliminar, utilizar filtros para capturar el tráfico que consideremos relevante para el problema espécifico que se este resolviendo.Para escribir un filtro, antes de capturar data, desde el menu de wireshark escoger capture, luego options, y se abre la pantalla siguiente:

  2. El filtro de captura, se escribe en el espacio indicado a la par del boton capture filter, si hay un error en la sintaxis del filtro, wireshark indicara un mensaje de error y no iniciara la captura. Dejando este espacio en blanco, se capturara todo el tráfico.
  3. Los filtros de visualización (Display Filter) establecen un criterio de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son mas flexibles y pontentes.

Vamos a estudiar cada uno de ellos.

Filtros de Captura (Capture Filter)

Estos filtros están basados en las librerías pcap. Los filtros son los mismos que podemos aplicar para Windump / TCPDump y que vemos visto aquí.

Así pues, para estos filtros, solo estudiaremos algunos ejemplos y como aplicarlos a Wireshark.

Los filtros de captura son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro. Si no establecemos ninguno, Wireshark capturará todo el tráfico y lo presentará en la pantalla principal. Aún así podrémos establecer filtros de visualización (display filter) para que nos muestre solo el trafíco deseado.

Se aplican en Capture –> Options:

wire01_01.jpg

En el campo Capture Filter introducimos el filtro o pulsamos el botón Capture Filter para filtros predefinidos:

Wireshark capture filter filtros de captura

Sintaxis de los Filtros y ejemplos de Filtros de captura.

Combinación de Filtros.

Podemos combinar las primitivas de los filtros de la siguiente forma:

  • Negación: ! ó not
  • Unión o Concatenación: && ó and
  • Alternancia:|| ó or

Vamos ahora a los filtros:

Filtros basados en hosts
Sintaxis Significado
host host Filtrar por host
src host host Capturar por host origen
dst host host Capturar por host destino
Ejemplos
host 192.168.1.20 Captura todos los paquetes con origen y destino 192.168.1.20
src host 192.168.1.1 Captura todos los paquetes con origen en host 192.1681.1
dst host 192.168.1.1 Captura todos los paquetes con destino en host 192.168.1.1
dst host SERVER-1 Captura todos los paquetes con destino en host SERVER-1
host http://www.terra.com Captura todos los paquetes con origen y distino http://www.terra.com
Filtros basados en puertos
Sintaxis Significado
port port
Captura todos los paquetes con puerto origen y destino port
src port port
Captura todos los paquetes con puerto origen port
dst port port
Captura todos los paquetes con puerto destino port
not port port
Captura todos los paquetes excepto origen y destino puerto port
not port port and not port port1
Captura todos los paquetes excepto origen y destino puertos port y port1
Ejemplos
port 21
Captura todos los paquetes con puerto origen y destino 21
src port 21
Captura todos los paquetes con puerto origen 21
not port 21 and not port 80
Captura todos los paquetes excepto origen y destino puertos 21 y 80
portrange 1-1024
Captura todos los paquetes con puerto origen y destino en un rango de puertos 1 a 1024
dst portrange 1-1024 Captura todos los paquetes con puerto destino en un rango de puertos 1 a 1024
Filtros basados en protocolos Ethernet / IP
Ejemplos
ip Captura todo el trafico IP
ip proto \tcp Captura todos los segmentos TCP
ether proto \ip Captura todo el trafico IP
ip proto \arp Captura todo el trafico ARP
Filtros basados en red
Sintaxis Significado
net net Captura todo el trafico con origen y destino red net
dst net net Captura todo el trafico con destino red net
src net net Captura todo el trafico con origen red net

Ejemplos

net 192.168.1.0 Captura todo el trafico con origen y destino subred 1.0
net 192.168.1.0/24 Captura todo el trafico para la subred 1.0 mascara 255.0
dst net 192.168.2.0 Captura todo el trafico con destino para la subred 2.0
net 192.168.2.0 and port 21 Captura todo el trafico origen y destibo puerto 21 en subred 2.0
broadcast Captura solo el trafico broadcast
not broadcast and not multicast Captura todo el trafico excepto el broadcast y el multicast

CAPTURA DE TRÁFICO ETHERNET.

Capture only the Ethernet-based traffic to and from Ethernet MAC address 08:00:08:15:ca:fe:

  • ether host 08:00:08:15:ca:fe

Ethernet Multicast traffic only:

  • ether multicast

Ethernet Broadcast traffic only:

  • ether broadcast

Ethernet traffic to/from a range of addresses:

(ether[0:4]>=0x00804400 and ether[0:4]<=0x008044ff) or (ether[6:4]>=0x00804400 and ether[6:4]<=0x008044ff)

Aunque son filtros con ejemplos para Windump y TCPdump, los siguientes estudis de filtros avanzados se puedan aplicar sin problemas en Wireshark. Filtros avanzados aquí, aquí y aquí.

Filtros de Visualización (Display Filter)

Los filtros de visualización establecen un criterio de filtro sobre las paquetes que estamos capturano y que estamos visualizando en la pantalla principal de Wireshark. Al aplicar el filtro en la pantalla principal de Wireshark aparecerá solo el trafíco filtrado a través del filtro de visualización.

Lo podemos usar también para filtrar el contenido de una captura a través de un fichero pcap ( archivo.pcap ).

Comparando Filtros.

  • Igual a: eq ó ==
  • No igual: ne ó !=
  • Mayor que:gt ó >
  • Menor que: lt ó <
  • Mayor o igual: ge ó >=
  • Menor o igual: le ó <=

Combinando Filtros.

  • Negación: ! ó not
  • Unión o Concatenación: && ó and
  • Alternancia:|| ó or

Otro operadores.

  • Contains: Realizamos una busqueda por la cadena contains

Como aplicar los Filtros.

Filtros de visualización wireshark

Si queremos aplicar otro filtro pulsamos el botón Clear, introducimos el filtro y pulsamos Apply.

Ejemplos de filtros:

Filtros de visualización
Ejemplos
Sintaxis Significado
ip.addr == 192.168.1.40 Visualizar tráfico por host 192.168.1.40
ip.addr != 192.168.1.25 Visualizar todo el tráfico excepto host 192.168.1.25
ip.dst == 192.168.1.30 Visualizar por host origen 192.168.1.30
ip.src == 192.168.1.30 Visualizar por host destino 192.168.1.30
ip Visualiza todo el tráfico IP
tcp.port ==143 Visualiza todo el tráfico origen y destino puerto 143
ip.addr == 192.168.1.30 and tcp.port == 143 Visualiza todo el tráfico origen y destino puerto 143 relativo al gost 192.168.1.30
http contains “http://www.terra.com Visualiza el trafico origen y destino http://www.terra.com. Visualiza los paquetes que contienen http://www.terra.com en el contenido en protocolo http.
frame contains “@miempresa.es” Visualizamos todos los correos con origen y destivo al dominio miempresa.es, incluyendo usuarios, pass, etc
icmp[0:1] == 08 Filtro avanzado con el que visualizamos todo el tráfico icmp de tipo echo request
ip.ttl == 1 Visualiza todo los paquetes IP cuyo campo TTL sea igual a 1
tcp.windows_size != 0 Visualizar todos los paquetes cuyos campo Tamaño de Ventana del segmento TCP sea distinto de 0
ip.tos == x Visualiza todo los paquetes IP cuyo campo TOS sea igual a x
ip.flags.df == x Visualiza todo los paquetes IP cuyo campo DF sea igual a x
udp.port == 53 Visualiza todo el trafico UDP puerto 53
tcp contains “terra.com” Visualizamos segmentos TCP conteniendo la cadena terra.com

A complete list of Ethernet display filter fields can be found in the display filter reference

Some useful filters:

ilter Traffic Description
  • eth all Ethernet based
    eth.addr==08.00.08.15.ca.fe to and from Ethernet MAC address 08:00:08:15:ca:fe
    !(eth.addr==08.00.08.15.ca.fe) all except to and from Ethernet MAC address 08:00:08:15:ca:fe
    eth.dst==ff:ff:ff:ff:ff:ff Ethernet Broadcast only
    eth.dst!=ff:ff:ff:ff:ff:ff all except Ethernet Broadcast
    (eth.dst[0] & 1) Ethernet Multicast only (least significant bit of first address byte set)
    !(eth.dst[0] & 1) all except Ethernet Multicast (least significant bit of first address byte not set)

Note: the Ethernet Broadcast address (ff:ff:ff:ff:ff:ff) is per definition a Multicast one (least significant bit of first address byte set). If you want to see only Multicasts, you have to filter out the Broadcasts as well (eth.dst[0] & 1) && eth.dst!=ff:ff:ff:ff:ff:ff .

 

Obtenido de : soporteredes.com y    http://seguridadyredes.nireblog.com

Esta entrada fue publicada en Linux, Sistemas Operativos. Guarda el enlace permanente.

4 respuestas a Wireshark . Filtros de Captura.

  1. María Calbul dijo:

    Se agradece la información.

  2. eduard centeno dijo:

    Compañero, exelente informacion, te felicito,.muy bueno tu sitio. muchisimas gracias

  3. BruBry dijo:

    Arigato ^^

  4. KabS dijo:

    Que buen me ayudaste gracis

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s