12/6/07

Wireshark 101 - Filtros de visualización Parte I

Es tiempo de reanudar el tutorial sobre Wireshark, el silencio de las ultimas semanas ha sido por cuestiones de trabajo, si bien no puedo prometer actualizaciónes tan frecuentes, al menos voy a hacer mi mejor esfuerzo.

En esta oportunidad es el turno de los filtros de visualización (display filters), estos son los filtros que nos sirven para analizar el tráfico capturado, y son diferentes a los filtros de captura, én este caso, los filtros de visualización son más amplios y más potentes, incluso son más fáciles de aplicar, y son de mucha utilidad, para analizar el tráfico capturado.

En esta primera parte, quisiera mencionar los aspectos básicos de los filtros de visualización, empezando por el área donde podemos escribir un filtro, esto se ilustra en la siguiente figura:





Como puede verse en la figura, el área para escribir un filtro de captura es la ubicada abajo de la barra de herramientas. Para los filtros de visualización Wireshark nos proporciona una retroalimentación visual, si la expresión de filtrado que escribimos es correcta, el area se colorea en verde (como el caso del filtro ilustrado en la figura previa) si la expresión es incorrecta, el area se colorea en rojo, y al tratar de aplicarlo obtendremos un mensaje de error.

Los operadores que podemos utilizar para construir expresiones de filtro son los siguientes:

> ó gt Mayor que
< ó lt Menor que >= ó ge Mayor o igual que
<= ó le Menor o igual que == ó eq Igual a != ó ne No igual a Hay otro par de operadores, contains y matches que los reservaremos para otra oportunidad.

Dicho lo anterior, solo nos resta empezar a escribir filtros de visualización, hay busquedas que pueden ser muy sencillas y similares a los filtros de captura, por ejemplo:

arp - Para visualizar todos los paquetes de arp
http - Para visualizar paquetes cuyo protocolo de aplicación es http
tcp - Para visualizar todos los paquetes tcp
udp - Para visualizar todos los paquetes udp
icmp - Para visualizar paquetes icmp por ejemplo paquetes de ping.

Si lo que deseamos es filtrar direcciones especificas podemos utilizar los siguientes filtros:

ip.addr == 192.168.0.1 - Buscar paquetes cuyo ip de origen o destino es 192.168.0.1
ip.src == 192.168.01 - Buscar paquetes cuyo ip de origen es 192.168.0.1
tcp.port == 80 - Buscar paquetes tcp cuyo puerto de origen o destino es el 80
tcp.srcport == 80 - Buscar paquetes tcp cuyo puerto de origen es el 80

Los filtros de visualización son muchos, así que no tiene mucho sentido listarlos, sin embargo en la segunda parte vamos a estudiar como facilitarnos la vida al escribir filtros de visualización para poder encontrar justo ese paquete que estamos buscando.

6 comentarios:

Anónimo dijo...

Hola de nuevo, te queria hacer una pregunta pero por ahora no es sobre Wireshark, lo que pasa es que me acabo de conseguir un simulador de red llamado RouterSim Network, lo haz utilizado alguna vez? me lo recomiendas para hacer pruebas sobre él?

Atte. Claudio

Anónimo dijo...

Hola, ahora si una pregunta acerca de wireshark, la verdad es que lo quiero comenzar a utilizar pero en mi casa no dispongo de una red aún, que parámetros debo configurar para analizar el tráfico entre mi pc y algún servidor de internet??
Dispongo de un router inalámbrico en mi casa.

Gracias, Claudio

Hector Munguia dijo...

xClaudio, con respecto a tus consultas, no he utilizado el RouterSim, no se si estoy equivocado pero supongo que es el simulador de routers Cisco, si es así, te puede ser de mucha utilidad para aprender y practicar el IOS de Cisco, en especial si estas interesado en una certificacion de Cisco o estas aprendiendo a configurar routers Cisco.
En cuanto a la segunda pregunta, lo que te sugiero es que lo instales y captures, sin ningun filtro, solo asegurate de seleccionar la tarjeta apropiada en las opciones de filtrado de captura, por lo demas dejalo corriendo un rato y luego lo detienes, si estas capturando a través de una tarjeta Wireless, no vas a poder ver el tráfico a nivel de capa 2, pero si deberias poder ver paquetes desde la capa de IP para arriba, si nunca antes as capturado data, es probable que no le encuentres mucho sentido, pero si conoces algo de TCP/IP, pronto empezara a tener sentido, de hecho una aplicación muy interesante de Wireshark, es como herramienta de estudio, para ver los protocolos de red en acción. Saludos

Anónimo dijo...

Gracias, estoy haciendo unas pruebas apenas tenga mas dudas te consulto gracias.

PD: el routersim es el que dices, lo voy a utilizar a ver que sale.

Claudio

Miri dijo...

Hola una pregunta me podrias explicar la diferencia entre lso filtros de captura y los de de vista(host y ip.addr)
Gracias

Rookhe dijo...

Muchas Gracias Por tu ayuda !