Los mejores filtros de Wireshark

Wireshark , anteriormente llamado Ethereal, es un poderoso programa de código abierto que ayuda a los usuarios a monitorear y analizar la información que se envía hacia y desde una red específica. El software puede procesar datos complejos de cientos de protocolos en la mayoría de los tipos de redes, organizándolos en paquetes de datos. Sin embargo, cuando la red falla repentinamente o tiene problemas, la búsqueda de paquetes puede ser abrumadora y requiere mucho tiempo y energía. Ahí es donde la naturaleza útil de Wireshark resulta útil.

El software admite filtros que le permiten filtrar rápidamente grandes cantidades de información. En lugar de verificar manualmente los archivos capturados, puede aplicar un filtro que lo llevará a los datos que desea verificar.

Siga leyendo para conocer los mejores filtros de Wireshark y cómo marcarlos para más adelante.

Filtros Wireshark

Hay dos tipos de filtros en Wireshark. El primero son filtros de captura y el segundo son filtros de visualización. Trabajan con una sintaxis diferente y tienen propósitos específicos.

Los filtros de captura se configuran antes de que comience la operación de captura. Capture el registro de configuración del filtro y guarde solo el análisis de tráfico que le interesa. Una vez iniciada la operación de captura, no es posible cambiar este tipo de filtro.

Por otro lado, los filtros de visualización contienen opciones que se aplican a todos los paquetes capturados. Puede configurar este tipo de filtro antes de iniciar una operación de captura y luego ajustarlo o deshabilitarlo. Además, puede configurarlo durante la operación. El filtro de visualización almacena datos en un búfer de seguimiento, ocultando el tráfico que no le interesa y mostrando solo la información que desea ver.

Wireshark tiene una impresionante biblioteca de filtros integrados que ayudan a los usuarios a controlar mejor sus redes. Para acceder y usar un filtro existente, debe ingresar el nombre correcto en la sección Aplicar filtro de visualización debajo de la barra de herramientas del programa. Si desea buscar y aplicar un filtro de captura, utilice la sección Introducir captura en el medio de la pantalla de bienvenida.

Si bien Wireshark cuenta con capacidades de filtrado integrales, recordar la sintaxis correcta suele ser difícil. Cuando lucha por ingresar un filtro apropiado, está perdiendo un tiempo precioso.

Pero estás de suerte. Hemos compilado una lista de los mejores filtros de Wireshark para ayudarlo a aprovechar al máximo el programa y eliminar las conjeturas al analizar montones de datos guardados.

Los mejores filtros de Wireshark

Veamos algunos filtros útiles que te permitirán dominar el programa.

dirección.ip == xxxx

El filtro anterior solo mostrará los paquetes capturados que contengan la dirección IP dada. Esta es una herramienta útil para verificar un tipo de tráfico. La aplicación del filtro procesará el tráfico saliente y determinará cuál coincide con la fuente o la dirección IP que está buscando.

Si desea filtrar por destino, utilice la opción ip.dst == xxxx.

La opción ip.src == xxxx le ayuda a filtrar por fuente.

dirección IP == xxxx && dirección IP == xxxx

Esta línea configura un filtro de diálogo entre dos direcciones IP preestablecidas. Esto es invaluable para verificar datos entre dos redes o hosts seleccionados. El filtro ignora los datos irrelevantes y solo se enfoca en encontrar la información que más te interesa.

Utilice la línea ip.src == xxxx && ip.dst == xxxx para filtrar el destino.

http o dns

Cuando aplique este filtro, mostrará cada protocolo DNS o HTTP. Este es un filtro que ahorra tiempo y le permite concentrarse en el protocolo específico que desea aprender. Por ejemplo, si necesita encontrar tráfico FTP sospechoso, todo lo que necesita hacer es configurar un filtro para «ftp». Para averiguar por qué no se muestra la página web, establezca el filtro en «dns».

tcp.puerto==xxx

El filtro anterior reduce la búsqueda a un destino o puerto de origen específico. En lugar de mirar todo el paquete capturado, el filtro genera datos sobre el tráfico entrante o saliente de un puerto. Este es uno de los filtros más prácticos en los que puede confiar para su tarea cuando tiene poco tiempo.

tcp.flags.reset==1

La aplicación de este filtro mostrará cada restablecimiento de TCP. Cada paquete capturado tiene un TCP asociado. Cuando su valor es uno, notifica a la PC receptora que debe dejar de usar esta conexión. Este es uno de los filtros Wireshark más impresionantes, ya que un restablecimiento de TCP terminará instantáneamente la conexión.

tcp contiene xxx

Este filtro encontrará todos los paquetes de captura TCP que contengan el término especificado. Si se pregunta dónde aparece un elemento en la captura, ingrese su nombre en lugar de «xxx». El filtro encontrará todas las instancias del término, ahorrándole la molestia de leer el paquete. Por ejemplo, si reemplaza «xxx» con «tráfico», verá todos los paquetes que contienen «tráfico». El mejor uso de este filtro es escanear una ID o cadena de usuario específica.

!(arp o icmp o dns)

El filtro anterior está diseñado para excluir ciertos protocolos. Úselo para eliminar protocolos arp, dns o icmp innecesarios. Le permite bloquear los datos que distraen para que pueda concentrarse en analizar información más importante.

tcp.time_delta>. 250

Este filtro muestra paquetes TCP con un tiempo delta superior a 250 ms en su flujo.

Recuerde que debe calcular la marca de tiempo de conversión de TCP antes de usar el filtro. Si bien calcular la latencia en las conversaciones no es demasiado difícil, requiere un conocimiento avanzado de Wireshark.

tcp.análisis.flags &&! tcp.analysis.window_update

Este filtro lo ayuda a ver retransmisiones, ventanas nulas y ataques de repetición en un solo seguimiento. Esta es una excelente manera de encontrar el bajo rendimiento de la aplicación o la pérdida de paquetes.

Consejos para usar filtros Wireshark

Si no recuerda la sintaxis de filtro correcta, se sentirá frustrado y puede impedirle encontrar datos valiosos rápidamente.

A veces, la función de autocompletar de Wireshark puede ayudarlo a solucionar un problema. Por ejemplo, si está seguro de que el filtro comienza con «tcp», ingrese esta información en el campo de búsqueda correspondiente. Wireshark creará una lista de filtros que comienzan con «tcp». Desplácese por los resultados de la búsqueda hasta que encuentre el alias correcto.

Otra forma de encontrar filtros es la opción «marcador» junto al campo de entrada. Cuando selecciona Administrar filtros de visualización o Administrar expresiones de filtro, puede modificar, agregar o eliminar filtros. Si no está particularmente seguro de recordar abreviaturas sintácticas complejas, la opción «marcador» es una herramienta útil para recuperar los filtros Wireshark de uso común.

En lugar de volver a ingresar filtros de captura complejos, siga estos pasos para guardarlos en su menú de favoritos:

• Inicie Wireshark y navegue hasta la opción «marcador».

• Haga clic en «Administrar filtros de visualización» para abrir el cuadro de diálogo.

• Busque el filtro correspondiente en el cuadro de diálogo, tóquelo y haga clic en el botón «+» para guardarlo.

Esto es lo que debe hacer para guardar el filtro de visualización:

• Abra Wireshark y navegue hasta la opción «marcador».

• Seleccione «Administrar filtros de visualización» para abrir el cuadro de diálogo.

• Desplácese por la lista de opciones, toque dos veces el filtro correspondiente y haga clic en el botón «+» para guardarlo como marcador.

Si tiene prisa por analizar ciertos datos, puede hacer clic en la flecha hacia abajo junto al campo de entrada. La acción creará una lista de filtros utilizados anteriormente.

Utilice filtros para facilitar el análisis de datos

Wireshark se ha convertido en uno de los analizadores de protocolos de red más populares gracias a sus prácticos filtros. Puede usarlos para ahorrar tiempo y encontrar rápidamente parámetros específicos, como direcciones IP o valores hexadecimales. Si le resulta difícil recordar los distintos nombres de los filtros utilizados con frecuencia, guárdelos como favoritos para utilizarlos más adelante.

¿Con qué frecuencia utiliza los filtros Wireshark? ¿Confías más en filtros de captura o visualización? ¿Ha utilizado alguna vez algunas de las opciones mencionadas anteriormente? Háganos saber en los comentarios a continuación.