Análisis y filtro de tráfico con Wireshark

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

Los filtros son, sin duda, la piedra angular de Wireshark. Cuando tenemos una toma de datos muy elevada, los filtros nos permiten mostrar únicamente aquellos paquetes que encajan con nuestro criterio de búsqueda. Podemos distinguir entre filtros de captura y filtros de visualización en función de la sintaxis con la que se rige cada uno de ellos.

Los filtros de captura se apoyan directamente en libpcap al igual que lo hace Tcpdump o Snort, por lo que dependen directamente de las mismas para definir los filtros. Por este motivo, podemos utilizar Wireshark para abrir ficheros generados por Tcpdump o por aquellas aplicaciones que hagan uso de los mismos.

Los filtros de visualización, en cambio, siguen una nomenclatura propia de la aplicación y se emplean para filtrar resultados sobre paquetes que previamente han sido capturados. Si aun así no se está acostumbrado a este tipo de reglas, el botón Filters y Expression, situados a ambos lado del input de búsqueda, ayudará a buscar los paquetes deseados utilizando la sintaxis adecuada.

El siguiente video tiene por objetivo mostrar algunos ejemplos de este tipo de filtrado. Además se muestran algunos operadores de utilidad para realizar búsquedas de paquetes de forma más personalizada:

Mediante el uso de ciertos operadores se podrá crear expresiones regulares con las que localizar cadenas de texto literales en determiandos paquetes, detectar anomalias de red o incluso detectar comportamientos de determinados gusanos como por ejemplo el escaneo a puertos netbios.

Para más información sobre este tipo de filtros así como ejemplos de análisis de tráfico, puede consultar el informe Análisis de tráfico con Wireshark en formato pdf publicado por INTECO-CERT.

vía INTECO

Califica esta entrada

Etiquetas: ,


Deja un comentario

Cuanto es 18 + 16 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos