Criando filtros no WireShark

By | 12 de novembro de 2011
Print Friendly, PDF & Email

O WireShark é o mais famoso e usado capturados de pacotes. Você pode baixar a mais recente versão em http://www.wireshark.org
Quando iniciamos a captura em poucos instantesteremos milhares de pacotes capturados.
para facilitar a leitura do dados capturados é importante conhecer alguns filtros:

Os filtros podem ser criados digitando diretamente no campo Filter

image

Por exemplo para filtrar todos os pacotes do protocolo HTTP, basta digitar http ou para filtrar os pacotes de DNS digite simplesmente DNS.

O jeito mais facil de fazer filtros é clicando em “Expression
image

Na janela Expression você pode escolher inumeros campos para iniciar o filtro.
Se você procurar um determinado protocolo inicie digitando por exemplo “http” ou “IP”.

image

Neste exemplo vou iniciar digitando IP e logo uma lista de campos iniciando com IP aparece. Vou selecionar IPv4 e em IPv4 o campo ip.addr

image

Agora em Relation podemos escolher entre:

image

image

Vou selecionar igual == e  no campo Value basta digitar o endereço IP e clicar em OK.

image

Uma vez criado o filtro, basta selecionar Apply quando não desejar mais clique em Clear.
image

Quando estamos trabalhando com analise de pacotes, é importante filtrar o maximo e podemos fazer também uma combinação das expressões que criarmos.
Podemos usar:

image

Por exemplo, que “não” seja o ip 172.10.0.98 como origem ou destino e que seja http como protocolo.
ip.addr!=172.10.0.98 && http

Ip de origem 10.0.0.5 com as flags fin
ip.src==10.0.0.5 && tcp.flags.fin

Você pode baixar também uma lista de filtros pré-definidos http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf


logoinfosec200x200[8]Artigo escrito em colaboração com www.infosecbrasil.org .
Curta nossa fanpage. fb.com/infosecbrasil