lunes, 12 de diciembre de 2011

Filtros de Visualización


La forma mas inmediata y sencilla de utilizar un filtro en Wireshark es el filtro de visualización, este consiste en aplicar un filtro a los paquetes ya capturados de modo que el área de datos visualice únicamente los paquetes que cumplan con las condiciones impuestas por el filtro.

Las ventajas que presentan este tipo de filtros es una mayor versatilidad y simplicidad, puesto que en lugar de seleccionar el filtro y luego capturar los paquetes basta capturar todos los paquetes y luego filtrarlos según sea conveniente lo cual es de gran utilidad si aun no se conoce perfectamente como se manifiesta la situación que se desea analizar.

Sin embargo este tipo de filtros puede causar problemas si se desea realizar un análisis de los paquetes enviados por un tiempo prolongado, ya que el capturar todos los paquetes requiere usar una gran cantidad de memoria y ciclos de procesador para llevar a cabo en análisis.

Para efectuar este filtrado el primer paso a realizar es haber realizado o estar efectuando una captura de paquetes de red, una vez que halla cumplido dicha condición aplicar el filtro es tan sencillo como introducir la expresión del filtro en la barra de filtros.

Para mostrar la operación básica de los filtros de visualización se presenta el siguiente ejemplo

Ejemplo.

Inicialice Wireshark y comience una captura de datos.

Figura 1: Capturando paquetes.

Mientras la captura se esta realizando acceda con el navegador de internet a alguna pagina web, como puede ser http://slashdot.org/

Una vez que la pagina halla descargado por completo y sin detener la captura introduzca en la barra de filtros la expresión

http

Tras lo cual el área de datos lucirá como en la figura.

Figura 2: Filtro http.

Pruebe con las expresiones:

dns
Figura 3: Filtro dns.


arp
Figura 4: Filtro arp.

tcp
Figura 5: Filtro tcp.

También pueden aplicarse filtros mas elaborados, como lo es mostrar solo los paquetes http que provengan de una dirección especifica

ip.addr == 216.34.181.45 && http

Figura 6: http desde 216.34.181.4


Estas son solo algunas de las posibilidades para filtrado, la lista completa puede consultarse desde la documentación oficial de Wireshark.


Referencias