La forma mas inmediata y sencilla de utilizar un filtro en Wireshark es el filtro de visualización, este consiste en aplicar un filtro a los paquetes ya capturados de modo que el área de datos visualice únicamente los paquetes que cumplan con las condiciones impuestas por el filtro.
Las ventajas que presentan este tipo de
filtros es una mayor versatilidad y simplicidad, puesto que en lugar
de seleccionar el filtro y luego capturar los paquetes basta capturar
todos los paquetes y luego filtrarlos según sea conveniente lo cual
es de gran utilidad si aun no se conoce perfectamente como se
manifiesta la situación que se desea analizar.
Sin embargo este tipo de filtros puede
causar problemas si se desea realizar un análisis de los paquetes
enviados por un tiempo prolongado, ya que el capturar todos los
paquetes requiere usar una gran cantidad de memoria y ciclos de
procesador para llevar a cabo en análisis.
Para efectuar este filtrado el primer
paso a realizar es haber realizado o estar efectuando una captura de
paquetes de red, una vez que halla cumplido dicha condición aplicar
el filtro es tan sencillo como introducir la expresión del filtro en
la barra de filtros.
Para mostrar la operación básica de
los filtros de visualización se presenta el siguiente ejemplo
Ejemplo.
Inicialice Wireshark y comience una
captura de datos.
 |
| Figura 1: Capturando paquetes. |
Mientras la captura se esta realizando
acceda con el navegador de internet a alguna pagina web, como puede
ser http://slashdot.org/
Una vez que la pagina halla descargado
por completo y sin detener la captura introduzca en la barra de
filtros la expresión
http
Tras lo cual el área de datos lucirá
como en la figura.
 |
| Figura 2: Filtro http. |
Pruebe con las expresiones:
dns
 |
| Figura 3: Filtro dns. |
arp
 |
| Figura 4: Filtro arp. |
tcp
 |
| Figura 5: Filtro tcp. |
También pueden aplicarse filtros mas
elaborados, como lo es mostrar solo los paquetes http que provengan
de una dirección especifica
ip.addr == 216.34.181.45 &&
http
 |
| Figura 6: http desde 216.34.181.4 |
Estas son solo algunas de las
posibilidades para filtrado, la lista completa puede consultarse
desde la documentación oficial de Wireshark.
Referencias
Guia de usuario de Wireshark:
http://www.wireshark.org/docs/wsug_html_chunked/
No hay comentarios:
Publicar un comentario