Tiburón alambre, anteriormente Ethereal, es un poderoso programa de código abierto que ayuda a los usuarios a monitorear y analizar la información que viaja hacia y desde una red específica. El software puede procesar datos complejos de cientos de protocolos en la mayoría de los tipos de redes, organizándolos en paquetes de datos. Sin embargo, cuando la red falla inesperadamente o tiene problemas, buscar entre los paquetes puede ser abrumador y requiere mucho tiempo y energía. Ahí es donde la naturaleza fácil de usar de Wireshark resulta útil.
El software admite filtros que le permiten filtrar rápidamente grandes cantidades de información. En lugar de inspeccionar los archivos capturados manualmente, puede aplicar un filtro que lo llevará a los datos que desea verificar.
Siga leyendo para conocer los mejores filtros de Wireshark y cómo marcarlos para su uso posterior.
Filtros Wireshark
Hay dos tipos de filtros en Wireshark. El primero son los filtros de captura, mientras que el otro son los filtros de visualización. Los dos operan en una sintaxis diferente y tienen propósitos específicos.
Los filtros de captura se establecen antes de iniciar una operación de captura. Los parámetros de los filtros de captura solo registran y almacenan el tráfico que te interesa analizar. Una vez iniciada la operación de captura es imposible modificar este tipo de filtro.
Por otro lado, los filtros de visualización contienen parámetros que se aplican a todos los paquetes capturados. Puede configurar este tipo de filtro antes de iniciar una operación de captura y luego ajustarlo o cancelarlo. Además, puede establecerlo mientras la operación está en curso. Un filtro de visualización mantiene los datos dentro de un búfer de rastreo, ocultando el tráfico que no le interesa y mostrando solo la información que desea ver.
Wireshark tiene una impresionante biblioteca de filtros integrados para ayudar a los usuarios a monitorear mejor sus redes. Para acceder y utilizar un filtro existente, debe escribir el nombre correcto en la sección “Aplicar un filtro de visualización” debajo de la barra de herramientas del programa. Cuando desee buscar y aplicar un filtro de captura, use la sección “Ingresar una captura” en el medio de la pantalla de bienvenida.
Aunque Wireshark cuenta con capacidades de filtrado integrales, recordar la sintaxis correcta a menudo resulta complicado. Cuando se esfuerza por escribir el filtro adecuado, pierde un tiempo valioso.
Pero estás de suerte. Hemos compilado una lista de los mejores filtros de Wireshark para ayudarlo a usar el programa de manera más eficiente y eliminar las conjeturas al analizar montones de datos guardados.
Los mejores filtros de Wireshark
Veamos varios filtros útiles que le permitirán dominar el programa.
ip.dirección == xxxx
El filtro anterior solo mostrará los paquetes capturados que incluyen la dirección IP establecida. Es una herramienta útil para inspeccionar un tipo de tráfico. La aplicación del filtro procesará el tráfico saliente y determinará cuál se alinea con la fuente o IP que está buscando.
Si desea filtrar por destino, utilice la variante ip.dst == xxxx.
La variante ip.src == xxxx lo ayuda a filtrar por fuente.
dirección IP == xxxx && dirección IP == xxxx
Esta cadena establece un filtro de conversación entre dos direcciones IP predeterminadas. Es invaluable para verificar datos entre dos redes o hosts seleccionados. El filtro ignora los datos innecesarios y solo se enfoca en encontrar la información que más le interese.
Para el filtrado de destinos, utilice la cadena ip.src == xxxx && ip.dst == xxxx.
http o dns
Cuando aplique este filtro, mostrará todos los protocolos dns o http. Es un filtro que ahorra tiempo y le permite concentrarse en un protocolo específico que desea examinar. Por ejemplo, si necesita encontrar tráfico FTP sospechoso, todo lo que necesita hacer es configurar el filtro para “ftp”. Para saber por qué una página web no aparece, establezca el filtro en “dns”.
tcp.puerto==xxx
El filtro anterior limita su búsqueda a un puerto o fuente de destino específico. En lugar de pasar por un paquete capturado completo, el filtro genera datos sobre el tráfico que entra o sale de un solo puerto. Es uno de los filtros más convenientes en los que puede confiar para completar su tarea si tiene poco tiempo.
tcp.flags.reset==1
La aplicación de este filtro mostrará cada restablecimiento de TCP. Cada paquete capturado tiene un TCP asociado. Cuando su valor se establece en uno, alerta a la PC receptora que debe dejar de operar en esa conexión. Este es uno de los filtros de Wireshark más impresionantes, ya que un restablecimiento de TCP finaliza la conexión al instante.
tcp contiene xxx
Este filtro encontrará todos los paquetes de captura TCP que incluyan el término especificado. Si tiene curiosidad sobre dónde aparece el elemento dentro de una captura, escriba su nombre en lugar de “xxx”. El filtro localizará todas las instancias del término, evitando que tenga que leer todo el paquete. Por ejemplo, cuando reemplaza “xxx” con “tráfico”, verá todos los paquetes que contienen “tráfico”. Es mejor usar este filtro para escanear una ID de usuario o cadena específica.
!(arp o icmp o dns)
El filtro anterior está diseñado para excluir protocolos específicos. Úselo para eliminar el protocolo arp, dns o icmp que no necesita. Le permite bloquear los datos que distraen para que pueda concentrarse en analizar información más urgente.
tcp.time_delta > .250
Este filtro muestra los paquetes TCP con un tiempo delta superior a 250 mSeg dentro de su flujo.
Recuerde que antes de usar el filtro, deberá calcular la marca de tiempo de conversión de TCP. Si bien calcular los retrasos en las conversaciones no es demasiado desafiante, requiere algunos conocimientos avanzados de Wireshark.
tcp.analysis.flags && !tcp.analysis.window_update
Este filtro lo ayuda a ver las retransmisiones, las ventanas cero y los ataques duplicados en un solo seguimiento. Es una excelente manera de encontrar rendimientos mediocres de aplicaciones o pérdidas de paquetes.
Consejos para usar filtros Wireshark
No recordar la sintaxis correcta de un filtro es frustrante y puede impedirle encontrar datos valiosos rápidamente.
A veces, la función de autocompletar de Wireshark puede ayudarlo a resolver el problema. Por ejemplo, si está seguro de que el filtro comienza con “tcp”, escriba esta información en el campo de búsqueda correspondiente. Wireshark generará una lista de filtros que comienzan con “tcp”. Vaya hacia abajo en los resultados de búsqueda hasta que encuentre el apodo correcto.
Otra forma de encontrar filtros es la opción “marcador” al lado del campo de entrada. Cuando selecciona “Administrar filtros de visualización” o “Administrar expresiones de filtro”, puede modificar, agregar o eliminar filtros. Si no está especialmente seguro de recordar abreviaturas de sintaxis complejas, la opción de “marcador” es una herramienta sencilla para recuperar los filtros de Wireshark utilizados con frecuencia.
En lugar de volver a escribir filtros de captura complejos, siga los pasos a continuación para guardarlos en el menú “marcador”:
- Lanzamiento Tiburón alambre y navegue hasta la opción “marcador”.
- Haga clic en “Administrar filtros de visualización” para ver el cuadro de diálogo.
- Encuentre el filtro apropiado en el cuadro de diálogo, tóquelo y presione el botón “+” para guardarlo.
Esto es lo que debe hacer para guardar un filtro de visualización:
- Abra Wireshark y vaya a la opción “marcador”.
- Elija “Administrar filtros de visualización” para abrir la ventana de diálogo.
- Escanee la lista de opciones, toque dos veces el filtro apropiado y haga clic en el botón “+” para guardarlo como marcador.
Si tiene prisa por analizar datos específicos, es posible que desee presionar la flecha hacia abajo junto al campo de entrada. La acción generará una lista de filtros utilizados anteriormente.
Use filtros para un análisis de datos sin complicaciones
Wireshark se ha convertido en uno de los analizadores de protocolos de red más populares, gracias a sus prácticos filtros. Puede usarlos para ahorrar tiempo y localizar rápidamente parámetros específicos como direcciones IP o valores HEX. Si tiene dificultades para recordar los diferentes apodos de los filtros que usa con frecuencia, guárdelos como favoritos para usarlos más adelante.
¿Con qué frecuencia utiliza los filtros Wireshark? ¿En qué confía más, filtros de captura o visualización? ¿Ha utilizado alguna vez algunas de las opciones mencionadas anteriormente? Háganos saber en la sección de comentarios.