Filtrando información con un analizador de protocolos

La siguiente nota, acompañada con un vídeo práctico, tiene por objetivo mostrar el uso de ciertos filtros de visualización desde el analizador de protocolos Wireshark.

Los filtros son, sin duda, la piedra angular de Wireshark. Cuando tenemos una toma de datos muy elevada, los filtros nos permiten mostrar únicamente aquellos paquetes que encajan con nuestro criterio de búsqueda. Podemos distinguir entre filtros de captura y filtros de visualización en función de la sintaxis con la que se rige cada uno de ellos.

Los filtros de captura se apoyan directamente en libpcap  (se abre en nueva ventana) al igual que lo hace Tcpdump  (se abre en nueva ventana) o Snort  (se abre en nueva ventana), por lo que dependen directamente de las mismas para definir los filtros. Por este motivo, podemos utilizar Wireshark para abrir ficheros generados por Tcpdump o por aquellas aplicaciones que hagan uso de los mismos.

Los filtros de visualización, en cambio, siguen una nomenclatura propia de la aplicación y se emplean para filtrar resultados sobre paquetes que previamente han sido capturados. Si aun así no se está acostumbrado a este tipo de reglas, el botón Filters y Expression, situados a ambos lado del input de búsqueda, ayudará a buscar los paquetes deseados utilizando la sintaxis adecuada.

El siguiente video tiene por objetivo mostrar algunos ejemplos de este tipo de filtrado. Además se muestran algunos operadores de utilidad para realizar búsquedas de paquetes de forma más personalizada:
[youtube http://www.youtube.com/watch?v=ylL2RtNsbhs]
Mediante el uso de ciertos operadores se podrá crear expresiones regulares con las que localizar cadenas de texto literales en determiandos paquetes, detectar anomalias de red o incluso detectar comportamientos de determinados gusanos como por ejemplo el escaneo a puertos netbios.

Para más información sobre este tipo de filtros así como ejemplos de análisis de tráfico, puede consultar el informe Análisis de tráfico con Wireshark  (se abre en nueva ventana) de INTECO-CERT.