Filtrar información con Wireshark
Los filtros son, sin duda, la piedra angular de Wireshark. Cuando tenemos una toma de datos muy elevada, los filtros nos permiten mostrar únicamente aquellos paquetes que encajan con nuestro criterio de búsqueda. Podemos distinguir entre filtros de captura y filtros de visualización en función de la sintaxis con la que se rige cada uno de ellos.
Los filtros de captura se apoyan directamente en libpcap al igual que lo hace Tcpdump o Snort, por lo que dependen directamente de este framework para definir los filtros. Por este motivo, podemos utilizar Wireshark para abrir ficheros generados por Tcpdump o por aquellas aplicaciones que hagan uso de los mismos.
Los filtros de visualización, en cambio, siguen una nomenclatura propia de la aplicación y se emplean para filtrar resultados sobre paquetes que previamente han sido capturados. Si aun así no se está acostumbrado a este tipo de reglas, el botón Filters y Expression, situados a ambos lado del input de búsqueda, ayudará a buscar los paquetes deseados utilizando la sintaxis adecuada.
El siguiente video tiene por objetivo mostrar algunos ejemplos de este tipo de filtrado. Además se muestran algunos operadores de utilidad para realizar búsquedas de paquetes de forma más personalizada:
Mediante el uso de ciertos operadores se podrá crear expresiones regulares con las que localizar cadenas de texto literales en determinados paquetes, detectar anomalías de red o incluso detectar comportamientos de determinados gusanos como por ejemplo el escaneo a puertos netbios.
Para más información sobre este tipo de filtros así como ejemplos de análisis de tráfico, puede consultar el informe Análisis de tráfico con Wireshark de INTECO-CERT.
Fuente: INTECO-CERT
Los filtros de captura se apoyan directamente en libpcap al igual que lo hace Tcpdump o Snort, por lo que dependen directamente de este framework para definir los filtros. Por este motivo, podemos utilizar Wireshark para abrir ficheros generados por Tcpdump o por aquellas aplicaciones que hagan uso de los mismos.
Los filtros de visualización, en cambio, siguen una nomenclatura propia de la aplicación y se emplean para filtrar resultados sobre paquetes que previamente han sido capturados. Si aun así no se está acostumbrado a este tipo de reglas, el botón Filters y Expression, situados a ambos lado del input de búsqueda, ayudará a buscar los paquetes deseados utilizando la sintaxis adecuada.
El siguiente video tiene por objetivo mostrar algunos ejemplos de este tipo de filtrado. Además se muestran algunos operadores de utilidad para realizar búsquedas de paquetes de forma más personalizada:
Mediante el uso de ciertos operadores se podrá crear expresiones regulares con las que localizar cadenas de texto literales en determinados paquetes, detectar anomalías de red o incluso detectar comportamientos de determinados gusanos como por ejemplo el escaneo a puertos netbios.
Para más información sobre este tipo de filtros así como ejemplos de análisis de tráfico, puede consultar el informe Análisis de tráfico con Wireshark de INTECO-CERT.
Fuente: INTECO-CERT
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!