WiseDataSecurity.com

WireShark Tutorial: Filtrando paquetes en pantalla

wisedatasecurity.com
Fecha: 

  

Wireshark tiene dos lenguajes de filtrado diferentes uno es para filtrar las capturas y el otro para filtrar los resultados en pantalla. En este artículo hablaremos sobre como filtrar los resultados de los paquetes en pantalla.

Esto es muy útil porque imagine que usted está realizando Sniffing con Wireshark en una red donde hay varios usuarios conectados a internet navegando por diferentes websites, de seguro capturara miles de paquetes y no sabrá por dónde comenzar y como interpretarlos. Así que la mejor opción es filtrar los resultados en pantalla para verlos de una manera más clrara y precisa.

Lo primero que necesitas es WireShark descárgalo desde el website oficial:
http://www.wireshark.org/download.html

Si no está seguro sobre que interface seleccionar de la lista Interface List. Vaya al barra del menú principal y seleccione Capture >> Interfaces… o presione Ctrl + i.

WireShark Capture

Presione Start en la interface que este enviando y recibiendo paquetes. Si todos los números de paquetes están en 0 en todas las interfaces, en su navegador entre a cualquier website o presione refresh en una página actual para que cree un poco de actividad y poder ver que interface está enviando y recibiendo paquetes. En nuestro caso es Microsoft.

Wireshark Capture

Ahora navegue por diferentes websites para capturar varios paquetes. Si está conectado a una red donde hay más usuarios, espere a que estos naveguen por varios websites y capture sus paquetes.

Wireshark Capture

Ahora es el momento de filtrar los resultados. Puede filtrar los resultados en tiempo real (sin detener a WireShark) o detenga de capturar paquetes en Capture >> Stop o presione Ctrl + E. Utilice la caja de texto Filter: para escribir los comandos que explicaremos a continuacion: Cuando entre el comando presione Apply.

Wireshark Capture
Utilice la dirección IP que le corresponda.

Para filtrar paquetes en direcciones IPv4 especificas:

  1. ip.addr == 0.0.0.0
  2. ip.addr == 0.0.0.0 && ip.addr == 0.0.0.0 (Para filtrar más de una IP )
  3. ip.addr == 0.0.0.0 || ip.addr == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes de la fuente en direcciones IPv4 especificas:

  1. ip.src == 0.0.0.0
  2. ip.src == 0.0.0.0 && ip.src == 0.0.0.0 (Para filtrar más de una IP )
  3. ip.src == 0.0.0.0 || ip.src == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)

Para filtrar paquetes del destino en direcciones IPv4 especificas:

  1. ip.dst == 0.0.0.0
  2. ip.dst == 0.0.0.0 && ip.dst == 0.0.0.0 (Para filtrar más de una IP )
  3. ip.dst == 0.0.0.0 || ip.dst == 0.0.0.0 (Para filtrar una IP de cualquiera de las dos)
Nota: Para direcciones IP v6 utilice: ipv6.addr, ipv6.src, ipv6.dst, etc.

Para filtrar paquetes del protocolo ARP entre:

  1. arp.src.proto (dirección del protocolo de la fuente)
  2. arp.src.hw (dirección hardware de la fuente)
  3. arp.dst.hw (dirección hardware del destino)
  4. arp.src.hw_mac (dirección MAC de la fuente)
  5. arp.dst.hw_mac (dirección MAC del destino)
  6. arp.src.proto_ipv4 (dirección IPv4 de la fuente )
  7. arp.dst.proto_ipv4 (dirección IPv4 del destino)

Para filtrar paquetes del protocolo Ethernet:

  1. eth.dst == ff:ff:ff:ff:ff:ff (dirección MAC)
  2. eth.src == ff:ff:ff:ff:ff:ff (dirección MAC)
  3. eth.addr == ff:ff:ff:ff:ff:ff (dirección MAC)

Nota:En la mayoría de los ejemplos anteriores, también puede usar los operadores mayor que (>), menor que (<), no igual que (!=), mayor o igual que (>=), y menor o igual que (<=).

Para filtrar por protocolo:

Entre el nombre del protocolo en la caja de texto Filter: (tcp, http, pop, dns, arp, ssl, etc.)

Wireshark Capture

7. Para ir directo a un numero de paquete especifico:
En la barra de menú principal vaya a Go >> Go To Packet y entre el numero de paquete que desea ver.

Wireshark Capture

8. Siguiendo TCP, UDP y SSL Streams
Una de las mejores funciones que tiene WireShark es la habilidad de volver a montar o recrear paquetes TCP, UDP y SSL y mostrarlos en ASCII, EBCDIC, HEX DUMP, C ARRAYS Y RAW, en un formato de fácil lectura (en algunos casos). Esta funcionalidad le podría permitir a un atacante obtener nombres de usuarios y passwords de protocolos inseguros como Telnet y FTP.

Ejemplo: Para ver contenido HTML reconstruido de una página web, entre HTTP en la caja de texto Filter: presione Apply y luego presione el botón derecho del mouse sobre el paquete que desee y seleccione Follow TCP Stream.
Tambien lo puede hacer desde el menú principal en Analyze >> Follow TCP Stream.

Wireshark Capture
Nota: Puede usar otros protocolos diferentes al HTTP.

Estos son solo algunos de los principales comandos de Wireshark nos los podemos discutir todos en este articulo porque son miles. Para verlos todos y jugar con ellos un rato presione el botón Expression localizado al lado derecho de la caja de texto Filter:

  

Páginas Relacionadas

Los 20 puertos TCP mas usados: En el verano del 2008 el creador de la más popular herramienta de Network Scanning conocida como Nmap (Network Mapper) Gordon “Fyodor” Lyon realizo un escaneo con esta herramienta a más de 10 millones de Internet Hosts para determinar cuáles eran los números de puertos (abiertos) más usados. ... A continuación los 20 puertos abiertos (open ports) más usados que encontraron después del escaneo ...

Ad