En un artículo anterior vimos como instalar wireshark tanto en linux como en windows. Hoy vamos a seguir con el curso de redes y aprenderemos a usar wireshark para analizar todo lo que pasa por nuestra red a través de este manual y videotutorial de esta herramienta elemental para un administrador de red.

En el siguiente video vamos a ver como funciona, y utilizar algunos filtros.

Los ejemplos que se usaron en el video son:

Muestra el acceso a una web

  • tcp.contains “nicklabs.com.ar”
  • http contains “http://www.nicklabs.com.ar”

Busca datos de una dirección IP determinada

  • ip.addr==ip

Por protocolo

  • icmp, pop, smtp, ftp, http, upd, arp, etc.

Por puerto

  • tcp.port==443

Por ip y puerto

  • ip.addr==ip and tcp.port==443

Vamos a detallar en forma de manual de referencia el filtro y algunas funciones más de wireshark.

Los filtros se utilizan para hacer más específica una determinada búsqueda, en el caso de no usarlos, wireshark capturará todo el tráfico que detecte.

Podemos especificar filtros en las opciones de la interface, en la sección de “Capture – Options”

wiresharkfiltro

Los filtros se pueden combinar haciendo uso de los siguientes alternativas:

  • Negación: ! ó not
  • Unión o Concatenación: && ó and
  • Alternancia:|| ó or

Filtros basados en hosts

  • host 192.168.1.20—Captura todos los paquetes con origen y destino 192.168.1.20
  • src host 192.168.1.1—Captura todos los paquetes con origen en host 192.1681.1
  • dst host 192.168.1.1—Captura todos los paquetes con destino en host 192.168.1.1
  • dst host pc1—Captura todos los paquetes con destino en host pc1
  • host www.nicklabs.com.ar —Captura paquetes con origen y distino www.nicklabs.com.ar

 Filtros basados en puertos

  • port 21—Captura todos los paquetes con puerto origen y destino 21
  • src port 21—-Captura todos los paquetes con puerto origen 21
  • not port 21 and not port 80—Captura exceptuando el origen y destino de puertos 21 y 80
  • portrange 1-1024—Captura con puerto origen y destino en un rango de 1 a 1024
  • dst portrange 1-1024—Captura paquetes dentro del rango de puertos 1 a 1024

 

Filtros basados en red

  • net 192.168.1.0—Captura todo el tráfico con origen y destino subred 1.0
  • net 192.168.1.0/24—Captura todo el tráfico para la subred 1.0 mascara 255.0
  • dst net 192.168.2.0—Captura todo el tráfico con destino para la subred 2.0
  • net 192.168.2.0 and port 21—Captura el origen y destino del puerto 21 en subred 2.0
  • broadcast—Captura solo el tráfico broadcast
  • not broadcast and not multicast—Captura el tráfico excepto el broadcast y el multicast

 

Filtros de Visualización (Display Filter)

Estos se aplican directamente en la pantalla principal de wireshark. Podemos utilizar los siguientes operadores para ayudar a mejorar una búsqueda:

  • Igual a: eq ó ==
  • No igual: ne ó !=
  • Mayor que:gt ó >
  • Menor que: lt ó <
  • Mayor o igual: ge ó >=
  • Menor o igual: le ó <=
  • Negación: ! ó not
  • Unión o Concatenación: && ó and
  • Alternancia:|| ó or

Un operador muy útil es:

  • Contains: Realizamos una busqueda por la cadena contains

Estas son algunas combinaciones para puntualizar una búsqueda en tiempo real:

  • ip.addr == 192.168.0.4—Visualizar tráfico por host 192.168.0.4
  • ip.addr != 192.168.12.5—Visualizar todo el tráfico excepto host 192.168.12.5
  • ip.dst == 192.168.1.60—Visualizar por host destino192.168.1.60
  • ip.src == 192.168.6.37—Visualizar por host origen 192.168.6.37
  • ip—Visualiza todo el tráfico IP
  • tcp.port ==443—Visualiza todo el tráfico origen y destino del puerto 443
  • ip.addr == 192.168.1.3 and tcp.port == 80—Visualiza todo el tráfico origen y destino puerto 80 relativo al host 192.168.1.3
  • http contains “http://www.nicklabs.com.ar“—Visualiza el trafico origen y destino www.nicklabs.com.ar Visualiza los paquetes que contienen www.nicklabs.com.ar en el contenido en protocolo http.
  • frame contains “@nicklabs.com.ar”—Visualizamos todos los correos con origen y destino al dominio nicklabs.com.ar incluyendo usuarios, pass, etc
  • icmp[0:1] == 08—Filtro avanzado con el que visualizamos todo el tráfico icmp de tipo echo request
  • ip.ttl == 1—Visualiza todo los paquetes IP cuyo campo TTL sea igual a 1
  • tcp.windows_size != 0—Visualizar todos los paquetes cuyos campo Tamaño de Ventana del segmento TCP sea distinto de 0
  • ip.tos == x—Visualiza todo los paquetes IP cuyo campo TOS sea igual a x
  • ip.flags.df == x—Visualiza todo los paquetes IP cuyo campo DF sea igual a x
  • udp.port == 53—Visualiza todo el trafico UDP puerto 53
  • tcp contains “nicklabs.com.ar”—Visualizamos segmentos TCP conteniendo la cadena nicklabs.com.ar

 –

Wireshark por línea de comandos

 Se puede usar wireshark por consola con el comando tshark

Para capturar todo en un archivo en el caso de windows lo vamos a encontrar en ProgramFileswireshark, en linux lo ejecutamos directamente en la consola.

  • tshark-i 1 -w c:archivo

Para frenar la captura hacemos ctrol+C

Una opción muy útil es poder visualizar la captura en forma de gráfico, solo hay que seleccionar que opción queremos que aparezcan en el gráfico y los servicios para comenzar a ver en tiempo real la captura. Esta opción se encuentra en “Statistics – IO Graphs”

wiresharkgrafico

6 Comentarios

  1. perdona esque a mi no me aparece estos comandos
    tcp.contains “nicklabs.com.ar”
    http contains “http://www.nicklabs.com.ar”
    gracias

  2. Hoola queria preguntarte como haces para que en el destino envede que la ip se vea el dominio, ¿Podriamos contactar para que me resolvieras mas dudas?. Saludos y gracias.

Deja un comentario