WIRESHARK 1.- Filtros Wireshark contempla dos tipos de Filtros.
Filtros de captura y Filtros de visualizacin. Filtros de captura
(Capture Filter) Se usan para capturar solo los paquetes de cumplan
los requisitos indicados en el filtro. Si no establecemos ninguno,
Wireshark capturar todo el trfico y lo presentar en la pantalla
principal. Combinacin de Filtros. Podemos combinar las primitivas
de los filtros de la siguiente forma: Negacin: ! not Unin o
Concatenacin: && and Alternancia:|| or Filtros basados en
hosts Sintaxis Significado host host Filtrar por host src host host
Capturar por host origen dst host host Capturar por host destino
Ejemplos Captura todos los paquetes con origen y destino host
192.168.1.20 192.168.1.20 Captura todos los paquetes con origen en
host src host 192.168.1.1 192.1681.1 Captura todos los paquetes con
destino en host dst host 192.168.1.1 192.168.1.1 Captura todos los
paquetes con destino en host dst host SERVER-1 SERVER-1 Captura
todos los paquetes con origen y destino host www.terra.com
www.terra.com Filtros basados en puertos Sintaxis Significado
Captura todos los paquetes con puerto origen y port port destino
port src port port Captura todos los paquetes con puerto origen
port dst port port Captura todos los paquetes con puerto destino
port Captura todos los paquetes excepto origen y not port port
destino puerto port not port port and not portCaptura todos los
paquetes excepto origen y port1 destino puertos port y port1
Ejemplos Captura todos los paquetes con puerto origen y port 21
destino 21 src port 21 Captura todos los paquetes con puerto origen
21 Captura todos los paquetes excepto origen y not port 21 and not
port 80 destino puertos 21 y 80 Captura todos los paquetes con
puerto origen y portrange 1-1024 destino en un rango de puertos 1 a
1024 Captura todos los paquetes con puerto destino en dst portrange
1-1024 un rango de puertos 1 a 1024
Filtros basados en protocolos Ejemplos ip ip proto \tcp ether
proto \ip ip proto \arp Filtros basados en red Sintaxis net net dst
net net src net net Ejemplos net 192.168.1.0
Ethernet / IP Captura Captura Captura Captura todo el trfico IP
todos los segmentos TCP todo el trafico IP todo el trafico ARP
Significado Captura todo el trfico con origen y destino red net
Captura todo el trfico con destino red net Captura todo el trfico
con origen red net
Captura todo el trfico con origen y destino subred 1.0 Captura
todo el trfico para la subred 1.0 mascara net 192.168.1.0/24 255.0
Captura todo el trfico con destino para la subred dst net
192.168.2.0 2.0 Captura todo el trafico origen y destino puerto 21
net 192.168.2.0 and port 21 en subred 2.0 broadcast Captura solo el
trafico broadcast not broadcast and notCaptura todo el trafico
excepto el broadcast y el multicast multicast Filtros de
visualizacin (Display Filter) Establecen un criterio de filtro
sobre los paquetes ya capturados y que estamos visualizando en la
pantalla principal de Wireshark. Estos filtros son ms flexibles y
potentes. Tambin se usa para filtrar el contenido de una captura
almacenada en un fichero .pcap. Comparando Filtros. Igual a: eq ==
No igual: ne != Mayor que:gt > Menor que: lt < Mayor o igual:
ge >= Menor o igual: le Preferentes->Capture. Para ver un
paquete seleccionado en una ventana individualmente, hacer doble
click sobre el paquete o seleccionar la opcin Show Packet in new
Windows en men View. Esto permite comparar con ms facilidad dos o
ms paquetes. Marcado de paquetes Por lo general el anlisis de
trfico es bastante complejo ya que son muchos los paquetes que se
obtienen la captura, WireShark permite marcar los paquetes para que
sean identificados con ms facilidad esta marca es aplicar colores a
los paquetes en el panel correspondiente. Existen tres funciones
para aplicar el marcado de paquetes desde el men Edit: Mark packets
(toggle) para marcar el paquete. Mark all packets, aplica la marca
a todos los paquetes. Unmark all packets, elimina la marca para
todos los paquetes. Expert Infos y Expert Info Composite
Herramientas con las que podemos ver un resumen de las anomalas,
eventos de informacin y errores aparecidos durante una sesin de
captura de funa forma clara y sencilla. Ambas nos aparecen en el
menu: Analize A la informacin suministrada por Expert Infos, el
Expert Infos Composite, ademas, no da informacin de cantidad de
paquetes que forman parte de cada evento en la columna Count, por
lo tanto nos ofrece una informacin ms detallada y mejor organizada,
para visualizar de forma ms rpida.
3.- Visualizando estadsticas WireShark proporciona un rango
amplio de estadsticas de red que son accedidas desde el men
Statistics que abarcan desde la informacin general de los paquetes
capturados hasta las estadsticas especficas de un protocolo.
Podemos distinguir entre cada una de las anteriores: Estadsticas
Generales Summary, la cantidad de paquetes capturados. Protocol
Hierarchy, presenta las estadsticas para cada protocolo de forma
jerrquica. Conversations, un caso particular es el trfico entre una
IP origen y una IP destino. Endpoints, muestra las estadsticas de
los paquetes hacia y desde una direccin IP. Packet Lengths, muestra
las estadsticas por longitud de paquete. IO Graphs, muestra las
estadsticas en grafos. Hasta cinco grficas. Estadsticas especficas
de los protocolos Service Response Time entre la solicitud
(request) y la entrega (response) de algn protocolo existente. Lo
mismo para Conversations List y Endpoints list. Flow Graph Permite
la visualizacin grfica del flujo de datos entre las diferentes
conexiones realizadas entre hosts. Accedemos a esta opcin desde
Statistics > Flow Graphs.
En esta grfica podemos ver: Datos de tiempo. Mquinas
involucradas en el flujo de conexin representadas por las lneas
verticales. Sentido del flujo de los datos. Representado los las
flechas que, adems, nos indican entre que hosts o mquinas se
establece conexin. Puertos. Representado entre parntesis. Nmeros de
secuencia y acuses de recibo. Representados en la columna de la
derecha (Comments). Vemos que los nmeros de secuencia se
representan de forma relativa, es decir, el primero 0 (para no
mostrar nmeros de secuencia demasiado altos y mejor compresin de
los datos).
Vemos tambin los indicadores usados indicando el contenido y
propsito del segmento TCP: - URG. El campo Puntero de urgencia
contiene informacin vlida. - ACK. El campo Nmero de acuse de recibo
contiene informacin vlida. - PSH. La aplicacin ha solicitado una
operacin push (enviar los datos existentes en la memoria temporal
sin esperar a completar el segmento). - RST. Interrupcin de la
conexin actual. - SYN. Sincronizacin de los nmeros de secuencia. Se
utiliza al crear una conexin para indicar al otro extremo cual va a
ser el primer nmero de secuencia con el que va a comenzar a
transmitir. - FIN. Indica al otro extremo que la aplicacin ya no
tiene ms datos para enviar. Se utiliza para solicitar el cierre de
la conexin actual.
Con este tipo de grficos podemos estudiar, por ejemplo, los
problemas que pudiesen surgir en un establecimiento de conexin: cmo
se realiza una conexin TCP. Nos ayudar a interpretar logs, trazas y
tcnicas de escaneo. Veremos tambin algunos componentes de los
paquetes TCP aparte de los puertos de la mquina origen y destino.
Estos componentes importantes son los nmeros de secuencia y de
confirmacin (SEQ y ACK) que se utilizan para asegurar la integridad
de la conexin y los flags o banderas que son los encargados de
indicar la finalidad del paquete (para iniciar o finalizar una
conexin, para transmitir datos, etc). Una conexin TCP se realiza en
tres pasos. Es lo que tcnicamente se llama three-way handshake: 1.
En el sistema / host que inicia la conexin o cliente (TCP A), enva
un paquete de SYN con un nmero de secuencia inicial asociado a esta
conexin al sistema / host destinatario o servidor (TCP B). 2. Este
responde con un paquete SYN-ACK (acuse de recibo) confirmando la
recepcin del SYN inicial enviado por (TCP A) y envindole a su vez
su propio nmero de secuencia. 3. Finalmente, el cliente (TCPA)
reconoce la recepcin del SYN del servidor (TCP B) mediante el envo
de un ACK. Este es el momento en que queda establecida la conexin.
Ya se puede iniciar la transferencia de datos entre (TCP A) y (TCP
B). Lo vemos grficamente: Sean dos hosts pretenden iniciar una
conexin TCP. TCP A y TCP B, siguiendo la analoga de la explicacin
anterior. 1. TCP A _SYN( SEQ=x ) -> y TCP B 2. TCP B _SYN(
SEQ=y, ACK=x+1 ) -> TCP A, 3. TCP A _SYN( SEQ=x+1, ACK=y+1 )
-> TCP B. Vemos como TCP A enva un paquete SYN con un nmero de
secuencia inicial x que adems es aleatorio aTCP B. El resto es fcil
deducir. Las letras x e y son los nmeros de secuencia (SEQ). Se
utilizan nmeros de secuencia distintos para cada sentido de la
comunicacin. El primer nmero para cada sentido se acuerda al
establecer la comunicacin. Cada extremo se inventa un nmero
aleatorio y enva ste como inicio de secuencia. Un paso ms para
terminar de comprender la conexin TCP totalmente imprescindible
para entender muchas tcnicas de escaneo. Ejemplo:
Sean dos hosts (TCP A) y (TCP B) que pretenden iniciar una
conexin. Veremos tambin que pasa con los nmeros de secuencia
(SEQ):
Todo esto es lo que ocurre cuando realizamos un escaneado de
puerto TCP conect (). Si la opcin elegida es TCP SYN no dejamos que
se establezca totalmente la conexin, esto significara el envo por
parte de TCP A de un RST (reset) cerrando as la conexin. Es facil,
entonces, ver todo esto explicado en la grfica:
Arranque de Wireshark mediante lnea de comandos. Los comandos
bsicos. Los comandos bsicos son, en algunos casos, los mismos
usados en Tshark para su uso normal: -i interface -k iniciar de
inmediato la captura (usaremos esta opcin siempre ) -f filtro de
captura -s snaplen Por ejemplo, si queremos arrancar Wireshark
estableciendo como interface de captura la establecida como nmero
2, como filtro de captura "host 192.168.1.5", y estableciendo un
snaplen = 512: wireshark -i2 -k -f "host 192.168.1.5" -s512
Automticamente se nos abrir Wireshark capturando de inmediato segn
hemos indicado mediante comandos. Podemos parar la captura mediante
el uso de condiciones: -c n para parar cuando se cumpla la condicin
de n paquetes capturados. -a duration:/filesize:/files: paramos la
captura cuando se cumple condiciones de tiempo en segundos, tamao
en KB. o nmero de ficheros. Por ejemplo. La misma captura anterior
que se parar cuando pasen 10 segundos o cuando se cumplan la
condicin de 50 paquetes: wireshark -i2 -k -f "host 192.168.1.5"
-s512 -aduration:10 wireshark -i2 -k -f "host 192.168.1.5" -s512
-c50 Con la opcin -w podemos guardar la captura en un archivo
especificado. Y haciendo uso de lo ya aprendido podemos crear la
siguiente lnea de rdenes: wireshark -i2 -k -f "host 192.168.1.5"
-s512 -w captura_ejemplo.pcap -afilesize:10 La captura bajo las
condiciones marcadas se parar cuando el archivo creado
captura_ejemplo.pcap alcance los 10 KB. La captura se parar, pero
no se cerrar Wireshark. Para ello introduciremos la opcin -Q.
Lgicamente aadiremos la opcin -w para guardar lo capturado antes de
cerrar. Con la opcin -R podemos, al igual que con Tshark,
establecer un filtro de visualizacin o Display Filter. Podemos
tambin invocar a las estadsticas como si de Tshark se tratase. Se
abrir Wireshark e inmediatamente la ventana grfica especificada de
estadsticas. wireshark -i2 -k -f "host 192.168.1.245" -zio,stat, La
forma de "llamar" a las estdsticas es la misma que para Tshark.
Para ello repasad: Tshark, Wireshark en lnea de comandos. (III
Parte.) Estadsticas. Tshark, Wireshark en lnea de comandos. (V
Parte.) Avanzando en filtros y Estadsticas. Formateo de tiempo. Con
la opcin -t podemos formatear la impresin de tiempo en nuestras
capturas al abrir Wireshark de diferentes formas: -t ad Formato
absoluto fecha y tiempo. -t a Formato absoluto sin dato de fecha.
-t r Relativo en segundos entre primer paquete y el actual -t d
Tiempo respecto al paquete anterior Veremos entonces como en la
columna Time y dependiendo de la opcin usada se cambia el
formato:
wireshark -i2 -k -f "host 192.168.1.5" -s512 -t ad wireshark -i2
-k -f "host 192.168.1.5" -s512 t a Enlaces
http://www.wireshark.org/docs/wsug_html_chunked/index.html
http://wiki.wireshark.org/DisplayFilters
http://wiki.wireshark.org/CaptureFilters
http://wiki.wireshark.org/CaptureSetup
http://seguridadyredes.nireblog.com/cat/wireshark-tshark Dudas
Pueden descubrir mis contraseas o password con Wireshark? Si, todas
las que viajen por tu red y en forma de texto plano, ejemplo:
cualquiera que no sea https:// Otros Sniffer Ettercap, tambien es
una sniffer solo que ms enfocado al hacking, por ejemplo con
Wireshark no puedes leer los password de un sistema https:// y
ettercap si, con ettercap puedes hacer un MIM y tambin puedes
lograr hacer un envenenamiento ARP.
![Wireshark Kullanım Rehberi - exploit-db.comturkish]-wireshark... · Filter kısm ı6 7 1 ) Daha önce ... Wireshark –Adres Çözümlemenin Aktif Edilmesi Peki wireshark bu adres](https://img.pdfslide.tips/doc/110x75/5a78a6237f8b9a21538b5a13/wireshark-kullanim-rehberi-exploit-dbcom-turkish-wiresharkfilter-kism-i6.jpg)
