El Blog de Vinsentvega ;)

Un blog de tot un poc

Filtres en Wireshark

Posted by VinsentVega a 1 Juny 2010


El wireshark és una ferramenta per capturar paquets que viatgen per la nostra xarxa. Per a capturar el que t’interese cal fer un bon filtratge de paquets, com a exemple d’aquestos filtres tenim:

host 192.168.1.1 Captura tràfic on l’origen o destí és la direcció 192.168.1.1

src 192.168.1.1 – Captura tots els paquets que tenen a 192.168.1.1 com ip d’origen.

dst 192.168.1.1 – Captura tots els paquets que tenen a 192.168.1.1 com ip de destí.

host www.wireshark.org – Captura tots els paquets que s’originen o tenen com a destí el host wireshark.org

net 192.168.1.1/24 Captura tot el tràfic destinat a la subnet 192.168.1.1 amb màscara 255.255.255.0

src net 192.168.1.1/24 – Captura tot el tràfic on l’ip d’origen esta en la subnet 192.168.1.1/24

dst net 192.168.1.1/24 – Captura tot el tràfic on l’ip de destí perteneix a la subnet 192.168.1.1/24

També és possible fer captures basades en MACs amb el filtre “ether”

ether host ff:ff:ff:ff:ff:ff – Captura dades des de i cap a la direcció MAC ff:ff:ff:ff:ff:ff

És possible utilitzar ether src o ether dst per a definir si únicament es desitja capturar tràfic d’origen o de destí.

Amb la comanda port, es pot capturar tràfic destinat a quasevol port específic:

port 80 – Captura tot el tràfic udp o tcp on l’origen o destí és el port 80 (http)

tcp port 80 – Captura únicament el tràfic tcp on l’origen o destí és el port 80

udp port 53 – Captura tot el tràfic udp on l’origen o destí és el port 53 (DNS).

També és possible utilitzar src i dst, exemple: udp src port 53.

És possible realitzar les operacions lògiques not, and i or per a construir filtres més específics:

not udp port 53 – Per a capturar tot el tràfic excepte UDP

host 192.168.1.1 and tcp port 80 – Captura tot el tràfic on l’origen o destí siga el host 192.168.1.1 i el port siga el 80 (http)

host 192.168.1.1 or host 192.168.1.2 – Capturar tot el tràfic on l’origen i destí és el host 192.168.1.1 ó el host 192.168.1.2

També podem capturar tràfics de distints protocols com:

arp – Per capturar tràfic d’Address Resolution Protocol

icmp – Captura tràfic icmp (paquets de ping). Si volem capturar només paquets de tipus ping, posariem de filtre:

icmp [0] == 8 or icmp [0] == 0 El valor dins de [] indica que estem evaluant el byte 0, i que el seu valor siga igual a 8 ó igual a 0, d’aquesta manera estaríem capturant exactament el tràfic de ping.

ip – Captura tot el tràfic IP

ipx – Capturar tràfic ipx, (si aquest protocol està corrent en la xarxa).

netbeui – Capturar tràfic de NetBIOS extended user interface

stp – Capturar tràfic de spanning tree protocol (és útil usar-ho de  la forma no stp per evitar aquest tràfic)

tcp – Captura tot el tràfic tcp

udp – Captura tot el tràfic udp

També podem mesclar operacions lògiques amb els protocols tals com: tcp not udp

Si trobem algun paquet sospitós(per si tenim un cuc en l’ordinador), polsant en el paquet i en el menú de Wireshark i agafem l’opció Analyze Follow TCP, podem vore les dades per la pila d’aplicació TCP/IP

Anuncis

Deixa un comentari

Fill in your details below or click an icon to log in:

WordPress.com Logo

Esteu comentant fent servir el compte WordPress.com. Log Out / Canvia )

Twitter picture

Esteu comentant fent servir el compte Twitter. Log Out / Canvia )

Facebook photo

Esteu comentant fent servir el compte Facebook. Log Out / Canvia )

Google+ photo

Esteu comentant fent servir el compte Google+. Log Out / Canvia )

Connecting to %s

 
%d bloggers like this: