GNU/Linux >> Tutoriales Linux >  >> Linux

Filtrado de paquetes en Wireshark en Kali Linux

Introducción

El filtrado le permite concentrarse en los conjuntos exactos de datos que le interesa leer. Como has visto, Wireshark recopila todo por defecto. Eso puede interferir con los datos específicos que está buscando. Wireshark proporciona dos poderosas herramientas de filtrado para que la orientación a los datos exactos que necesita sea simple e indolora.

Hay dos formas en que Wireshark puede filtrar paquetes. Puede filtrar y recopilar solo ciertos paquetes, o los resultados de los paquetes se pueden filtrar después de recopilarlos. Por supuesto, estos se pueden usar en conjunto, y su utilidad respectiva depende de qué y cuántos datos se recopilan.

Expresiones booleanas y operadores de comparación

Wireshark tiene muchos filtros integrados que funcionan muy bien. Comience a escribir en cualquiera de los campos de filtro y verá que se autocompletan. La mayoría corresponde a las distinciones más comunes que un usuario haría entre paquetes. Filtrar solo solicitudes HTTP sería un buen ejemplo.

Para todo lo demás, Wireshark usa expresiones booleanas y/u operadores de comparación. Si alguna vez ha realizado algún tipo de programación, debe estar familiarizado con las expresiones booleanas. Son expresiones que utilizan “y”, “o” y “no” para verificar la veracidad de una afirmación o expresión. Los operadores de comparación son mucho más simples. Simplemente determinan si dos o más cosas son iguales, mayores o menores entre sí.

Captura filtrada

Antes de sumergirse en los filtros de captura personalizados, eche un vistazo a los que Wireshark ya tiene incorporados. Haga clic en la pestaña "Capturar" en el menú superior y vaya a "Opciones". Debajo de las interfaces disponibles está la línea donde puede escribir sus filtros de captura. Directamente a su izquierda hay un botón llamado "Filtro de captura". Haga clic en él y verá un nuevo cuadro de diálogo con una lista de filtros de captura prediseñados. Mira a tu alrededor y mira lo que hay allí.


En la parte inferior de ese cuadro, hay un pequeño formulario para crear y guardar nuevos filtros de captura. Presione el botón "Nuevo" a la izquierda. Creará un nuevo filtro de captura con datos de relleno. Para guardar el nuevo filtro, simplemente reemplace el relleno con el nombre real y la expresión que desee y haga clic en "Aceptar". El filtro se guardará y se aplicará. Con esta herramienta, puede escribir y guardar múltiples filtros diferentes y tenerlos listos para usar nuevamente en el futuro.

Capture tiene su propia sintaxis para filtrar. A modo de comparación, omite e iguala el símbolo y usa > y para mayor y menor que. Para los booleanos, se basa en las palabras "y", "o" y "no".

Si, por ejemplo, solo quisiera escuchar el tráfico en el puerto 80, podría usar expresiones como esta:port 80 . Si solo quisiera escuchar en el puerto 80 desde una IP específica, agregaría eso. port 80 and host 192.168.1.20

Como puede ver, los filtros de captura tienen palabras clave específicas. Estas palabras clave se usan para decirle a Wireshark cómo monitorear paquetes y cuáles mirar. Por ejemplo, host se utiliza para ver todo el tráfico de una IP. src se utiliza para ver el tráfico que se origina en esa IP. dst en cambio, solo observa el tráfico entrante a una IP. Para ver el tráfico en un conjunto de direcciones IP o una red, use net .

Resultados de filtrado

La barra de menú inferior de su diseño es la dedicada a filtrar los resultados. Este filtro no cambia los datos que ha recopilado Wireshark, solo le permite clasificarlos más fácilmente. Hay un campo de texto para ingresar una nueva expresión de filtro con una flecha desplegable para revisar los filtros ingresados ​​previamente. Al lado hay un botón marcado como "Expresión" y algunos otros para borrar y guardar su expresión actual.

Haga clic en el botón "Expresión". Verá una pequeña ventana con varios cuadros con opciones en ellos. A la izquierda está el cuadro más grande con una enorme lista de elementos, cada uno con sublistas colapsadas adicionales. Estos son todos los diferentes protocolos, campos e información por los que puede filtrar. No hay forma de revisarlo todo, así que lo mejor que puedes hacer es mirar alrededor. Debería notar algunas opciones familiares como HTTP, SSL y TCP.


Las sublistas contienen las diferentes partes y métodos por los que puede filtrar. Aquí sería donde encontraría los métodos para filtrar solicitudes HTTP por GET y POST.

También puede ver una lista de operadores en los cuadros del medio. Al seleccionar elementos de cada columna, puede usar esta ventana para crear filtros sin memorizar todos los elementos por los que Wireshark puede filtrar.

Para filtrar los resultados, los operadores de comparación utilizan un conjunto específico de símbolos. == determina si dos cosas son iguales. > determina si una cosa es mayor que otra, < encuentra si algo es menor. >= y <= son para mayor o igual que y menor o igual que respectivamente. Se pueden usar para determinar si los paquetes contienen los valores correctos o filtrar por tamaño. Un ejemplo de uso de == para filtrar solo solicitudes HTTP GET como esta:http.request.method == "GET" .

Los operadores booleanos pueden encadenar expresiones más pequeñas para evaluar en función de múltiples condiciones. En lugar de palabras como captura, usan tres símbolos básicos para hacer esto. && significa "y". Cuando se usa, ambas declaraciones a ambos lados de && debe ser verdadero para que Wireshark filtre esos paquetes. || significa "o". Con || siempre que cualquiera de las expresiones sea verdadera, se filtrará. Si estuviera buscando todas las solicitudes GET y POST, podría usar || así:(http.request.method == "GET") || (http.request.method == "POST") . ! es el operador "no". Buscará todo menos lo que se especifica. Por ejemplo, !http le dará todo menos solicitudes HTTP.

Pensamientos finales

Filtrar Wireshark realmente le permite monitorear de manera eficiente el tráfico de su red. Lleva algún tiempo familiarizarse con las opciones disponibles y acostumbrarse a las poderosas expresiones que puede crear con los filtros. Sin embargo, una vez que lo haga, podrá recopilar rápidamente y encontrar exactamente los datos de red que está buscando sin tener que revisar largas listas de paquetes o hacer mucho trabajo.


Linux
  1. Capturar paquetes con tcpdump

  2. Lanzamiento de Kali Linux 1.1.0

  3. Lanzamiento de Kali Linux 2017.1

  4. Lanzamiento de Kali Linux 2016.2

  5. Lanzamiento de Kali Linux 2018.2

Descargar KaliLinux

Requisitos del sistema Linux Kali

Kali Linux contra Parrot

Cómo capturar y analizar paquetes con el comando tcpdump en Linux

Comando Tcpdump en Linux

Comando tcpdump de Linux