Filtros de captura

Una de las formas en que son aplicables las capacidades de filtrado de Wireshark son los filtros de captura, estos funcionan imponiendo una serie de condiciones que los paquetes deben de cumplir para ser capturados y almacenados en memoria.

Estos requisitos son expresados como cadenas de texto siguiendo el formato de los filtros de Wireshark detallado con anterioridad.

La posibilidad de aplicar filtros durante la captura es una herramienta útil para casos donde capturar todo el trafico en una red, el cual es el comportamiento predeterminado de Wireshark, sea indeseable, ya sea por los altos requerimientos de memoria y procesador que esto requeriría, por que se desea analizar solo una sección de esa red o examinar el comportamiento de un protocolo en particular.

Estos filtros son aplicables en el dialogo de Opciones de captura, el cual puede ser accedido antes de comenzar una captura desde la barra de herramientas o desde el menú “Capture”, al accederlo el dialogo luciera como la figura 1.

Figura 1: Opciones de Captura.

Como podrá observar existe un cuadro de dialogo a la derecha de un botón con la etiqueta “Capture Filter”, es en este campo donde puede ingresar directamente la cadena del filtro, como en el caso del campo de filtro de la barra de herramientas el color de fondo del campo cambiara a verde si se siguió la sintaxis correctamente o a rojo si existe algún error sintáctico.

Una forma mas sencilla de ingresar el filtro es por medio del dialogo de Filtro de Captura, el cual puede accederse al pulsar el botón “Capture Filter”

Figura 2: Filtros de Captura.

Este filtro contiene una serie de ejemplos los cuales puede usar como base, adaptar a sus necesidades y almacenar para poder usarlos con facilidad en el futuro.

Ejemplo.

Digamos que se desea capturar únicamente los paquetes HTTP provenientes de un sitio web en particular.

En este ejemplo particular se desea capturar unicamente los paquetes provenientes del sitio de noticias http://arstechnica.com/ por lo que se accederá al dialogo de opciones de captura y se introducira el filtro:

host www.arstechnica.com

como muestra la figura

Figura 3: Filtrando del host www.arstechnica.com.

hecho esto comience la captura, en un principio no aparecerá absolutamente nada, esto es lógico puesto que no hay ningún paquete enviado o recibido desde el post indicado.

Ahora inicie un navegador de internet y diríjase a la dirección: www.arstechnica.com

Al momento que el sitio comienze a descargar Wireshark comenzara a capturar paquetes, lo que le dara una pantalla similar a la figura

Figura 4: Paquetes capturados.

Notara que la columna “Destination” solo aparecen dos valores, la dirección IP de su computadora y la dirección IP de arstechnica.com

Referencias

WireShark wiki – Capture Filters: http://wiki.wireshark.org/CaptureFilters (visitado el 5-dic-2011)