Wire Shark
5
Wireshark / Tshark. Filtrando con frame y frame.protocols. Publicado el 17 noviembre, 2010 de Alfon Ya hemos visto y estudiado, usando Wireshark / Tshark , las múltiples formas que tenemos de extraer información , datos binarios , datos de impresión de red y uso de filtros tanto de captura como de visualización y como crear y aplicar estos filtros. En esta ocasión vamos a ver como filtrar en Wireshark usando frame yframe.protocol para visualizar los datos que necesitemos. El filtro frame. Este filtro de visualización, explicado de forma sencilla, nos proporciona una manera de filtrar a partir de los datos de un determinado frame, traza o paquete. Se trata de filtrar los datos que son características propias de un paquete como tal. Por ejemplo y para entenderlo mejor: frame.number >= 40 visualizará solo desde el paquete 40 incluído éste. si en Tshark hacemos lo siguiente, por ejemplo: tshark -r captura009.pcap -V -R “frame.number == 40″ tendremos toda la información, completa del frame 40 del archivo de captura indicado. También podemos especificar un rango:
-
Upload
noel-montero-urrutia -
Category
Documents
-
view
213 -
download
0
description
Wire shark
Transcript of Wire Shark
Wireshark / Tshark. Filtrando con frame y frame.protocols.Publicado el17 noviembre, 2010deAlfonYa hemos visto y estudiado, usandoWireshark / Tshark, las mltiples formas que tenemos deextraer informacin,datos binarios,datos de impresin de redyuso de filtros tanto de captura como de visualizaciny como crear y aplicar estos filtros.
En esta ocasin vamos a vercomo filtrar en Wiresharkusandoframeyframe.protocolpara visualizar los datos que necesitemos.El filtro frame.Este filtro de visualizacin, explicado de forma sencilla, nos proporciona una manera de filtrar a partir de los datos de un determinado frame, traza o paquete. Se trata de filtrar los datos que son caractersticas propias de un paquete como tal.Por ejemplo y para entenderlo mejor: frame.number >= 40visualizar solo desde el paquete 40 includo ste.si enTsharkhacemos lo siguiente, por ejemplo:tshark -r captura009.pcap-V -R frame.number == 40tendremos toda la informacin, completa del frame 40 del archivo de captura indicado.Tambin podemos especificar un rango:frame.number >= 40 && frame.number 10000visualizar los paquetes cuyo tamaototalsean mayor de 1000 bytes frame.coloring_rule.name== HTTPvisualizar los paquetes con el nombreHTTPpara coloring rule. (ms adelante veremos que es esto). frame.time_delta > 2visualizar los paquetes cuyotime deltasean mayor de 2 seg. frame.time> Sep 13, 2010 11:56:25.348411000visualizar los frames o paquetes que cumplan la condicin de tiempo indicado pero en formato de tiempo absoluto. No se puede usar contains.El filtro frame.protocols.Este filtro, opcin de frame como las anteriores, nos proporciona una manera de filtrar a partir de los datos de protocolos involucrados en un frame, traza o paquete capturado y a partir de ah todo lo que queramos. Vamos a verlo, como siempre, con la prctica y ejemplos.Queremos visualizar los paquetes que contienen datos (data) : frame.protocols contains dataDentro del data queremos buscar algo: frame.protocols contains data && data contains www.daboblog.com
Podemos filtrar por protocolo: frame.protocols contains udp frame.protocols contains udp andudp.port== 53Vamos a visualizar los frames o paquetes que contengan los siguintes protocolos y caractersticas: ethernet,IP,TCPy contengan el campo data: frame.protocols contains raw:ip:tcp:dataVamos a realizar unas bsqueda algo ms profunda.: frame.protocols contains eth:ip:udp:dns &&dns.flags== 0x100
frame.protocols contains eth:ip:udp:dns &&dns.flags== 0x100 &&dns.qry.namecontains google
===Esto es todo por hoy. Hasta la prxima..
