12/6/07

Wireshark 101 - Filtros de visualización Parte I

Es tiempo de reanudar el tutorial sobre Wireshark, el silencio de las ultimas semanas ha sido por cuestiones de trabajo, si bien no puedo prometer actualizaciónes tan frecuentes, al menos voy a hacer mi mejor esfuerzo.

En esta oportunidad es el turno de los filtros de visualización (display filters), estos son los filtros que nos sirven para analizar el tráfico capturado, y son diferentes a los filtros de captura, én este caso, los filtros de visualización son más amplios y más potentes, incluso son más fáciles de aplicar, y son de mucha utilidad, para analizar el tráfico capturado.

En esta primera parte, quisiera mencionar los aspectos básicos de los filtros de visualización, empezando por el área donde podemos escribir un filtro, esto se ilustra en la siguiente figura:





Como puede verse en la figura, el área para escribir un filtro de captura es la ubicada abajo de la barra de herramientas. Para los filtros de visualización Wireshark nos proporciona una retroalimentación visual, si la expresión de filtrado que escribimos es correcta, el area se colorea en verde (como el caso del filtro ilustrado en la figura previa) si la expresión es incorrecta, el area se colorea en rojo, y al tratar de aplicarlo obtendremos un mensaje de error.

Los operadores que podemos utilizar para construir expresiones de filtro son los siguientes:

> ó gt Mayor que
< ó lt Menor que >= ó ge Mayor o igual que
<= ó le Menor o igual que == ó eq Igual a != ó ne No igual a Hay otro par de operadores, contains y matches que los reservaremos para otra oportunidad.

Dicho lo anterior, solo nos resta empezar a escribir filtros de visualización, hay busquedas que pueden ser muy sencillas y similares a los filtros de captura, por ejemplo:

arp - Para visualizar todos los paquetes de arp
http - Para visualizar paquetes cuyo protocolo de aplicación es http
tcp - Para visualizar todos los paquetes tcp
udp - Para visualizar todos los paquetes udp
icmp - Para visualizar paquetes icmp por ejemplo paquetes de ping.

Si lo que deseamos es filtrar direcciones especificas podemos utilizar los siguientes filtros:

ip.addr == 192.168.0.1 - Buscar paquetes cuyo ip de origen o destino es 192.168.0.1
ip.src == 192.168.01 - Buscar paquetes cuyo ip de origen es 192.168.0.1
tcp.port == 80 - Buscar paquetes tcp cuyo puerto de origen o destino es el 80
tcp.srcport == 80 - Buscar paquetes tcp cuyo puerto de origen es el 80

Los filtros de visualización son muchos, así que no tiene mucho sentido listarlos, sin embargo en la segunda parte vamos a estudiar como facilitarnos la vida al escribir filtros de visualización para poder encontrar justo ese paquete que estamos buscando.
Publicar un comentario