Wireshark es un software para analizar trafico de red, en el que podemos ver todos los detalles de los datos que viajan en dichos paquetes de datos en la red. Existen dos formas de filtrar los datos, mediante filtro de captura, en el cual solamente capturaremos el trafico que filtremos, y mediante filtros de visualizacion, mediante los cuales capturaremos todo el trafico de la red, pero solamente mostraremos aquellos datos a través del filtro. Este filtro, es el que aparece en la barra de herramientas como filtro predeterminado.
A continuación voy a poner diferentes ejemplos recopilados de como filtrar los datos.
Concatenadores y Operadores
————————–
Concatenadores
&& —> AND lógico (y)
|| —> OR lógico (ó)
Operadores
contains —> Contener (se usa cuando no sabemos exáctamente todo. Más abajo hay un ejemplo).
== —> Comparación (igual)
!= —> Comparación (desigual)
Nota: Cuando se trata de igualdades, siempre hay dos símbolos. Si la igualdad es un número, se pone este directamente. Si es una cadena de texto, se ha de poner con comillas.
Protocolos completos:
———————
Simplemente con poner el nombre del protocolo, filtrara los datos por dichos protocolos
ssl —> Protocolo SSL (capa segura).
telnet —> Telnet.
dns —> DNS.
msnms —> Mensajería Instantánea (Messenger).
ftp —> Protocolo FTP (podriamos ver el nombre de usuario y contraseña).
ftp-data —> Nos permite ver los datos del protocolo FTP.
Filtramos por diferentes campos de protocolos
———————————————
filtramos por los diferentes campos que tiene el protocolo
(Los protocolos tienen diferentes campos por los que podemos filtrar)
ip —> Filtramos por Protocolo IP.
ip.src==192.168.1.1 —> Dirección IP de Origen.
ip.dst==192.168.1.1 —> Dirección IP de Destino.
ip.ttl > 10 -> Filtramos cuando su tiempo de vida del paquete, es superior a 10
tcp —> Filtramos por Protocolo TCP
tcp.port==80 —> Indicamos los paquetes con el puerto deseado.
tcp.srcport==80 —> Indicamos el puerto de origen.
tcp.dstport==80 —> Indicamos el puerto de destino.
http —> Filtramos por Protocolo HTTP
http.host==»www.tuherenciadigital.com» —> Queremos ver los paquetes que tengan a www.tuherenciadigital.com como host.
http.date==»Wed, 30 Mar 2011 22:40:55 GMT» —> Paquetes con respecto a una fecha
http.content_type==»application/json» —> Según el tipo. Hay más tipos, pondremos ejemplos
http.content_type==»image/png» —> Imágenes PNG
http.content_type==»image/gif» —> Imágenes GIF
http.content_type==»image/jpeg» —> Imágenes JPEG
http.content_type==»text/html» —> Archivos HTML
http.content_type==»text/css» —> Hojas de estilo CSS
http.content_type==»video/quicktime» —> Vídeos
http.content_type==»application/zip» —> Archivos ZIP
http.request.method==»GET» —> Tipo de Petición GET
http.request.method==»POST» —> Tipo de Petición POST
http.user_agent contains «Mozilla» —> Navegador Mozilla
http.request.uri!=*—> Con esto me libro de los paquetes “NOTIFY * HTTP…»
http.request.uri matches «[0-9]» —> Uso de expresiones regulares.
dns -> Filtramos por DNS
dns.qry.type==»A» -> Queremos saber, que preguntas dns se hacen de direccion
dns.qry.type==»NS» -> Queremos saber, que preguntas dns se hacen de Name server
mysql -> Filtramos por Servidor MySQL
mysql.login_request -> Mostramos peticiones de login al servidor
mysql.query contains «SELECT» -> Mostramos peticiones SQL al servidor
mysql.affected_rows -> Mostramos filas afectadas despues de una consulta SQL
Esto es todo de momento. Ire ampliando el Post con mas ejemplos.
Si queremos encontrar muestras de paquetes .cap, podemos visitar la pagina web oficial de Wireshark, con un monton de ejemplos de capturas.
http://wiki.wireshark.org/SampleCaptures
Un saludo!!