18/6/07

Wireshark 101 - Filtros de Visualización Parte II

Como se menciono en la parte I, los filtros de visualización son muchisimos, sin embargo existen muchas facilidad para poder construir filtros muy potentes, y encontrar esos paquetes sospechosos o que nos estan generando problemas en la red.

En esta parte, se describen algunas opciones que nos proporciona Wireshark, que nos facilitan mucho construir filtros.

Existe una manera muy fácil de determinar que filtros se pueden aplicar para un campo específico dentro de un paquete, como habrán notado, la pantalla principal de Wireshark consta de tres areas, en la parte superior, estan los paquetes capturados, con información sobre el tiempo, el origen, destino, protocolo y una línea con información básica del paquete, cuando un paquete se selecciona en la la parte superior, en la parte media se muestra el detalle de los protocolos presentes y en la parte inferior, se muestran los valores hexadecimales contenidos en el paquete.



Supongamos que quisieramos determinar, que páginas web se han accesado utilizando el método GET de http, como lo muestra la figura a continuación se tiene seleccionado el paquete No 7, que muestra la petición de una página web con el método GET. Desglosando el protocolo http en la parte media de la pantalla, se observa como parte del paquete el "Request Method", al seleccionar esto, se observa en la parte inferior izquierda de la pantalla de Wireshark (que he resaltado con un ovalo para facilidad), se observa el filtro que reconoce Wireshark para esta porción del paquete, en este caso se ve que el filtro apropiado sería http.request.method y nos indica que es de 3 bytes.






Así que ahora podríamos aplicar el filtro http.request.method == GET y obtendríamos todas las peticiones http de páginas web, utilizando el método GET.


Una forma alterna de llegar al mismo resultado, es utilizando el botón Expression que aparece a la derecha del área para escribir el filtro de visualización, al hacerlo nos abre una pantalla enl a que se pueden construir expresiones de filtrado, a continuación se muestra esta pantalla.


En el área izquierda aparece el Field Name, es un listado bastante grande, pero si sabemos que protocolo estamos buscando, se facilita encontrar lo que queremos, por ejemplo en este caso, escribiendo http me desplego este listado donde pude seleccionar http.request.method, al tener esto seleccionado, en la columna Relation aparecen todas las expresiones disponibles para este campo especifico, finalmente en la parte derecha se puede escribir el valor del filtro, en este caso en la columna de enmedio seleccione == y en la derecha escribi el valor GET, con esto obtenemos la expresión de filtrao http.request.method == GET, luego dar un clic en OK, y al regresar a la pantalla principal, dar un clic en Apply para aplicar el filtro.

Como en el caso de los filtros de captura, es posible guardar las expresiones más utilizadas, esto se puede hacer dando un clic en el boton Filter ubicado a la izquierda del área donde se escribe el filtro, por ejemplo si tenemos aplicado el filtro anterior, y deseamos guardarlo, unicamente dar un clic en Filter, poner un nombre al filtro, en el campo filter string ya debe aparecer el filtro que tenemos aplicado, un clic en Apply y listo.

Así que de esta manera sencilla podemos construir filtros de visualización, como lo he mencionado en oportunidades anteriores, en realidad el potencial de Wireshark solo lo vamos a poder aprovechar en la medida que estemos familiarizados con los protocolos, ya que al conocer las interioridades de cada protocolo, nos ayudara a construir expresiones de filtrado más especificas y podremos realizar análisis más efectivos.

3 comentarios:

Anónimo dijo...

Hola, una pequeña consulta. ¿los filtros de captura deben contener a los filtros de visualización verdad?, o sea, ¿para hacer más eficiente aún el proceso deberíamos ajustar ambos a los mismo protocolos para no capturar paquetes que posteriormente no nos interesa ver?

Claudio

Hector Munguia dijo...

Claudio, con respecto a esta Consulta, si estas muy seguro de lo que buscas (por ejemplo quieres capturar desde una dirección especifica, o algun protocolo especifico), entonces puedes aplicar un filtro de captura, posteriormente los filtros de visualización son más granulares, puedes hacer consultas más específicas, de hecho hay muchisimos filtros de visualización que no estan disponibles como filtros de captura. Los filtros de visualización se aplican sobre paquetes capturados, o sea que puedes aplicar diferentes filtros para ver los resultados, luego con un click en el boton clear (a la derecha del area donde se escribe el filtro), se limpia el filtro y nuevamente tenemos todos los paquetes, con lo que hay que tener precaución es con los filtros de captura, ya que una vez capturado el tráfico ya no hay marcha atrás, por eso mi recomendación original, si no se esta seguro de lo que se busca es mejor capturar todo y luego utilizar filtros de visualización para el análisis.

Anónimo dijo...

OK gracias Leonel, voy a seguir probrando, si no te molesta te haré más consultas posteriormente.


Claudio.