Cómo usar un filtro de visualización en Wireshark

El lenguaje de filtro de visualización de Wireshark le permite controlar qué paquetes muestra actualmente la plataforma. Normalmente, los filtros de visualización se utilizan para comprobar la presencia de un protocolo o campo. Sin embargo, también puede usarlos para comparar paquetes usando operadores lógicos como «y» y «o».

Es fácil confundir el filtro de visualización de Wireshark con el filtro de captura. Este artículo explica cómo usar el filtro de visualización de la plataforma en PC y Mac. También analiza la diferencia entre los filtros de visualización y los filtros de captura dentro de Wireshark.

Cómo usar el filtro de pantalla en Wireshark en una PC con Windows

Usar el filtro de pantalla Wireshark en una PC es bastante simple. La plataforma proporciona un cuadro en la parte superior de la pantalla que le permite explicar rápidamente qué paquetes desea mostrar. Por lo general, mostrará paquetes basados ​​en lo siguiente.

• Protocolo
• Valores de campo
• Presencia de campo
• Comparaciones entre campos

Sin embargo, la funcionalidad del campo de visualización permite usos más complejos.

Hay dos formas de usar el filtro de visualización en Wireshark en una PC con Windows.

Método número 1 – Tipo de filtro directo

Suponiendo que solo desea mostrar el registro, haga lo siguiente.

• Busque y haga clic en la barra de herramientas Filtro de visualización en Wireshark .

• Introduzca un nombre para el protocolo en la barra de herramientas. Por ejemplo, ingrese «tcp» si desea mostrar todos sus paquetes TCP.

• Presiona «Enter» para aplicar el filtro seleccionado. Alternativamente, puede hacer clic en «Aplicar» después de ingresar la expresión de filtro.

Ahora debería ver que Wireshark muestra los paquetes según el filtro que seleccionó. Todos estos paquetes permanecen dentro de su archivo de captura asociado. El filtro de visualización no cambia el contenido del archivo de captura. Muestra los paquetes relacionados con el filtro que está aplicando.

Si desea eliminar el filtro aplicado, haga clic en el botón «Borrar». Se encuentra a la derecha de la barra de herramientas de filtro de visualización.

Método número 2 – Panel de estadísticas

Este método es una forma de aplicar un filtro que no requiere escribir directamente en la barra de herramientas del filtro de visualización.

• Busque «Estadísticas» en el menú superior y haga clic en él.

• Seleccione una de las opciones de la lista desplegable. Para este tutorial, seleccione Endpoints.

• Debería aparecer una ventana emergente de informe de punto final que muestre las direcciones MAC. Haga clic con el botón derecho en una de las direcciones y seleccione Aplicar como filtro.

• Haga clic en Seleccionado.

La sintaxis que elija se ingresa automáticamente en la barra de herramientas de filtro de visualización.

Cómo usar el filtro de visualización en Wireshark en Mac

Wireshark en Mac le permite usar un filtro de visualización para mostrar paquetes en función de una variedad de parámetros y expresiones, incluidos protocolos, comparaciones de campo, valores de campo y más. Hay dos formas de usar el filtro de visualización en Mac.

Método n.º 1: barra de herramientas de filtro de visualización

Los siguientes pasos muestran un protocolo simple. Puede usar diferentes operadores para crear filtros más complejos si es bueno con Wireshark . Siga estos pasos para un filtro de visualización de registro simple.

• Haga clic en la barra de herramientas de filtro de visualización en la parte superior de la pantalla. Es un cuadro de texto junto a la palabra «Filtro».

• Introduzca un nombre para el protocolo y haga clic en el botón Aplicar.

Wireshark muestra cada paquete asociado con el protocolo ingresado que se encuentra dentro de su filtro de captura actual. Haga clic en el botón Borrar junto a la barra de herramientas del filtro de visualización para eliminar el filtro y volver a mostrar todos los paquetes.

Método número 2 – Panel de estadísticas

Si no conoce la expresión exacta del filtro, en algunos casos se puede utilizar un método más sencillo. El siguiente ejemplo muestra cómo crear un filtro de visualización utilizando un punto final. También se puede aplicar a varios otros tipos de expresiones y protocolos. Siga estos pasos para crear un filtro de visualización de punto final.

• Haga clic en «Estadísticas» en la barra de menú superior.

• Seleccione Puntos finales.

• Navegue hasta el punto final que desea filtrar en la ventana emergente, haga clic con el botón derecho y resalte «Aplicar como filtro».

• Seleccione «Seleccionado».

Debería ver que Wireshark ingresa automáticamente la sintaxis para su selección en la barra de herramientas del filtro de visualización. La plataforma también mostrará paquetes relacionados con su punto final elegido.

Preguntas frecuentes adicionales

¿Cuál es la diferencia entre un filtro de visualización y un filtro de captura?

Wireshark le permite usar filtros de visualización y filtros de captura para navegar a través de sus paquetes. Estos filtros son fáciles de confundir. Sin embargo, sirven para diferentes propósitos y requieren una sintaxis diferente para ser utilizados.

El filtro de visualización se utiliza cuando ha recopilado todo lo que necesita y desea mostrar ciertos paquetes para su análisis.

Los filtros de captura son más limitados que los filtros de visualización. Reducen el tamaño de la captura de paquetes sin procesar y deben instalarse antes de iniciar el proceso de captura de paquetes. Por lo general, usará filtros de captura cuando desee usar un comando para devolver o eliminar ciertos tipos de paquetes de una captura. Los filtros de captura no se pueden cambiar durante el proceso de captura.

Los filtros de visualización y los filtros de captura también difieren en la sintaxis que utilizan.

Con un filtro de visualización, utiliza una combinación de filtros lógicos y operadores para crear una descripción lógica del filtro que desea crear. Los ejemplos incluyen «==» y «!=», que significan «igual a» y «no igual» respectivamente.

Los filtros de captura utilizan una sintaxis más compleja que combina máscaras, compensaciones de bytes y valores hexadecimales con un lenguaje de filtrado lógico. Esto hace que los filtros de captura sean menos intuitivos que los filtros de visualización, aunque también significa que puede usarlos para aplicar filtros más complejos.

Aplica tus filtros

La funcionalidad de filtro de visualización de Wireshark le permite inspeccionar rápidamente los paquetes en su captura. Es ideal para tomas grandes en las que necesita eliminar todo el ruido de la pantalla para poder analizar protocolos o campos específicos. Wireshark proporciona información detallada sobre los diversos modificadores de filtro y muestra expresiones de filtro a través de su wiki.

Pero ahora queremos saber de ti. ¿Con qué frecuencia tiene que analizar ciertos paquetes en Wireshark? ¿Crees que usar un filtro de visualización te ayudará a ser más eficiente al usar la plataforma? Cuéntenos lo que piensa del filtro de visualización de Wireshark en los comentarios a continuación.