Filtrando paquetes en Wireshark en Kali Linux

Introducción

El filtrado le permite concentrarse en los conjuntos exactos de datos que le interesa leer. Como has visto, Wireshark recoge todo por defecto. Que puede interponerse en el camino de los datos específicos que está buscando. Wireshark proporciona dos poderosas herramientas de filtrado para hacer que la orientación sea de los datos exactos que necesita simple y indoloro.

Hay dos vías en las que Wireshark puede filtrar paquetes. Puede filtrar solo un recolección de ciertos paquetes, o los resultados del paquete se pueden filtrar después de que se recolecten. Por supuesto, estos pueden usarse junto entre sí, y su utilidad respectiva depende de cuál y cuántos datos se recopilan.

Expresiones booleanas y operadores de comparación

Wireshark tiene muchos filtros incorporados que funcionan bien. Comience a escribir en cualquiera de los campos de filtro, y los verá en autocompletación en. La mayoría corresponde a las distinciones más comunes que un usuario haría entre paquetes. Filtrar solo las solicitudes HTTP serían un buen ejemplo.

Para todo lo demás, Wireshark utiliza expresiones booleanas y/o operadores de comparación. Si alguna vez ha realizado algún tipo de programación, debe estar familiarizado con las expresiones booleanas. Son expresiones que usan "y", "o" y "no" para verificar la veracidad de una declaración o expresión. Los operadores de comparación son mucho más simples. Simplemente determinan si dos o más cosas son iguales, mayores o menores que el uno al otro.

Captura filtrante

Antes de sumergirse en filtros de captura personalizados, eche un vistazo a los que Wireshark ya se ha incorporado. Haga clic en la pestaña "Captura" en el menú superior y vaya a "Opciones."Debajo de las interfaces disponibles está la línea donde puede escribir sus filtros de captura. Directamente a su izquierda hay un botón etiquetado "Filtro de captura."Haga clic en él y verá un nuevo cuadro de diálogo con una lista de filtros de captura preconstruidos. Mira a tu alrededor y mira lo que hay.

En la parte inferior de esa caja, hay una pequeña forma para crear y guardar filtros de captura de Hew. Presione el botón "Nuevo" a la izquierda. Creará un nuevo filtro de captura poblado con datos de relleno. Para guardar el nuevo filtro, simplemente reemplace el relleno con el nombre y la expresión reales que desea y haga clic en "Aceptar."El filtro se guardará y aplicará. Usando esta herramienta, puede escribir y guardar múltiples filtros diferentes y tenerlos listos para usar nuevamente en el futuro.

Captura tiene su propia sintaxis para filtrar. A modo de comparación, omite e iguala símbolo y usa > y para mayor y menos que. Para los booleanos, se basa en las palabras "y", "o" y "no."

Si, por ejemplo, solo quería escuchar el tráfico en el puerto 80, podría usar y expresiones como esta: Puerto 80. Si solo quisiera escuchar en el puerto 80 desde una IP específica, lo agregaría en. Puerto 80 y anfitrión 192.168.1.20

Como puede ver, los filtros de captura tienen palabras clave específicas. Estas palabras clave se utilizan para decirle a Wireshark cómo monitorear los paquetes y cuáles mirar. Por ejemplo, anfitrión se usa para mirar todo el tráfico desde una IP. SRC se usa para mirar el tráfico que se origina en esa IP. DST En contraste, solo observa el tráfico entrante a una IP. Para ver el tráfico en un conjunto de IP o una red, use neto.

Resultados filtrantes

La barra de menú inferior en su diseño es la dedicada a filtrar resultados. Este filtro no cambia los datos que Wireshark ha recopilado, solo le permite clasificarlo más fácilmente. Hay un campo de texto para ingresar una nueva expresión de filtro con una flecha desplegable para revisar los filtros ingresados ​​anteriormente. Al lado de eso hay un botón marcado "expresión" y algunos otros para borrar y guardar su expresión actual.

Haga clic en el botón "Expresión". Verá una ventana pequeña con varias cajas con opciones en ellos. A la izquierda se encuentra la caja más grande con una gran lista de elementos, cada uno con subconsas colapsadas adicionales. Estos son todos los diferentes protocolos, campos e información por los que puede filtrar. No hay forma de pasar por todo, así que lo mejor que puede hacer es mirar a su alrededor. Debe notar algunas opciones familiares como HTTP, SSL y TCP.

Las sub-listas contienen las diferentes partes y métodos por los que puede filtrar. Aquí sería donde encontraría los métodos para filtrar las solicitudes HTTP al Get and Post.

También puede ver una lista de operadores en las cajas intermedias. Al seleccionar elementos de cada columna, puede usar esta ventana para crear filtros sin memorizar cada elemento que Wireshark pueda filtrar por.

Para los resultados de filtrado, los operadores de comparación usan un conjunto específico de símbolos. == determina si dos cosas son iguales. > determina si una cosa es mayor que otra, < encuentra si algo es menos. > = y <= son para mayores o iguales y menos o iguales a respectivamente. Se pueden usar para determinar si los paquetes contienen los valores correctos o filtrar por tamaño. Un ejemplo de uso == Para filtrar solo http obtiene solicitudes como esta: http.pedido.método == "Get".

Los operadores booleanos pueden encadenar expresiones más pequeñas juntas para evaluar en función de múltiples condiciones. En lugar de palabras como con captura, usan tres símbolos básicos para hacer esto. && representa "y."Cuando se usa, ambas declaraciones a ambos lados de && Debe ser cierto para que Wireshark filtre esos paquetes. || significa "o." Con || Mientras cualquiera de las expresiones sea verdadera, se filtrará. Si estuviera buscando todas las solicitudes de obtener y publicar, podría usar || como esto: (http.pedido.Método == "Get") || (http.pedido.Método == "Post"). ! es el operador "no". Buscará todo menos lo que se especifica. Por ejemplo, !http te dará todo menos las solicitudes http.

Pensamientos de cierre

Filtrar Wireshark realmente le permite monitorear eficientemente el tráfico de su red. Se tarda un tiempo en familiarizarse con las opciones disponibles y acostumbrarse a las poderosas expresiones que puede crear con filtros. Sin embargo, una vez que lo haga, podrá recopilar rápidamente y encontrar exactamente los datos de la red que está buscando sin tener que peinar a través de largas listas de paquetes o hacer mucho trabajo.

Tutoriales de Linux relacionados:

• Cómo arrancar dual Kali Linux y Windows 10
• Lista de las mejores herramientas de Kali Linux para pruebas de penetración y ..
• Cosas para instalar en Ubuntu 20.04
• Cómo instalar Kali Linux en VMware
• Cosas que hacer después de instalar Ubuntu 20.04 fossa focal Linux
• Una introducción a la automatización, herramientas y técnicas de Linux
• Configuración del servidor Kali HTTP
• Cómo tomar una captura de pantalla en Kali Linux
• Mastering Bash Script Loops
• Cómo buscar herramientas de piratería adicionales en Kali