Wireshark / Tshark. Filtrando con frame y frame.protocols.Publicado el17 noviembre, 2010deAlfonYa hemos visto y estudiado, usandoWireshark / Tshark, las mltiples formas que tenemos deextraer informacin,datos binarios,datos de impresin de redyuso de filtros tanto de captura como de visualizaciny como crear y aplicar estos filtros.

En esta ocasin vamos a vercomo filtrar en Wiresharkusandoframeyframe.protocolpara visualizar los datos que necesitemos.El filtro frame.Este filtro de visualizacin, explicado de forma sencilla, nos proporciona una manera de filtrar a partir de los datos de un determinado frame, traza o paquete. Se trata de filtrar los datos que son caractersticas propias de un paquete como tal.Por ejemplo y para entenderlo mejor: frame.number >= 40visualizar solo desde el paquete 40 includo ste.si enTsharkhacemos lo siguiente, por ejemplo:tshark -r captura009.pcap-V -R frame.number == 40tendremos toda la informacin, completa del frame 40 del archivo de captura indicado.Tambin podemos especificar un rango:frame.number >= 40 && frame.number 10000visualizar los paquetes cuyo tamaototalsean mayor de 1000 bytes frame.coloring_rule.name== HTTPvisualizar los paquetes con el nombreHTTPpara coloring rule. (ms adelante veremos que es esto). frame.time_delta > 2visualizar los paquetes cuyotime deltasean mayor de 2 seg. frame.time> Sep 13, 2010 11:56:25.348411000visualizar los frames o paquetes que cumplan la condicin de tiempo indicado pero en formato de tiempo absoluto. No se puede usar contains.El filtro frame.protocols.Este filtro, opcin de frame como las anteriores, nos proporciona una manera de filtrar a partir de los datos de protocolos involucrados en un frame, traza o paquete capturado y a partir de ah todo lo que queramos. Vamos a verlo, como siempre, con la prctica y ejemplos.Queremos visualizar los paquetes que contienen datos (data) : frame.protocols contains dataDentro del data queremos buscar algo: frame.protocols contains data && data contains www.daboblog.com

Podemos filtrar por protocolo: frame.protocols contains udp frame.protocols contains udp andudp.port== 53Vamos a visualizar los frames o paquetes que contengan los siguintes protocolos y caractersticas: ethernet,IP,TCPy contengan el campo data: frame.protocols contains raw:ip:tcp:dataVamos a realizar unas bsqueda algo ms profunda.: frame.protocols contains eth:ip:udp:dns &&dns.flags== 0x100

frame.protocols contains eth:ip:udp:dns &&dns.flags== 0x100 &&dns.qry.namecontains google

===Esto es todo por hoy. Hasta la prxima..