Wireshark (antes conocido como Ethereal) es quizás el analizador de protocolos más conocido por todos, ya que no solo es posible instalarlo en cualquier máquina (Windows, Linux o Mac), sino que gracias a la cantidad de filtros que dispone (de entre otras muchas cosas, pero solo me centraré en esto) nos facilita enórmemente las cosas a la hora de filtrar y visualizar los paquetes capturados deseados.

En este post trataré de poner algunos filtros bastante interesantes que suelo usar, de esta manera, pueden servir de referencia a alguien más si los necesita. El objetivo de este post no es escribirlos todos repito, sino poner los que yo creo que son bastante interesantes. Si quereis que añada alguno más o quereis decir algo, comentad!

Concatenadores y Operadores

Concatenadores

1. && —> AND lógico (y)
2. || —> OR lógico (ó)

Operadores

3. contains —> Contener (se usa cuando no sabemos exáctamente todo. Más abajo hay un ejemplo).
4. == —> Comparación (igual)
5. != —> Comparación (desigual)

Nota: Cuando se trata de igualdades, siempre hay dos símbolos. Si la igualdad es un número, se pone este directamente. Si es una cadena de texto, se ha de poner con comillas.

Protocolos

1. ssl —> Protocolo SSL (capa segura).
2. telnet —> Telnet.
3. dns —> DNS.
4. msnms —> Mensajería Instantánea (Messenger).
5. ftp —> Protocolo FTP (podriamos ver el nombre de usuario y contraseña).
6. ftp-data —> Nos permite ver los datos del protocolo FTP.
7. ip —> Protocolo IP.

• ip.src==192.168.1.1 —> Dirección IP de Origen.
• ip.dst==192.168.1.1 —> Dirección IP de Destino.

7. tcp —> Protocolo TCP

• tcp.port==80 —> Indicamos los paquetes con el puerto deseado.
• tcp.srcport==80 —> Indicamos el puerto de origen.
• tcp.dstport==80 —> Indicamos el puerto de destino.

8. http —> Protocolo HTTP

• http.host==”www.google.com” —> Queremos ver los paquetes que tengan a Google como host.
• http.date==”Wed, 30 Mar 2011 22:40:55 GMT” —> Paquetes con respecto a una fecha
• http.content_type==”application/json” —> Según el tipo. Hay más tipos, pondremos ejemplos
• http.content_type==”image/png” —> Imágenes PNG
• http.content_type==”image/gif” —> Imágenes GIF
• http.content_type==”image/jpeg” —> Imágenes JPEG
• http.content_type==”text/html” —> Archivos HTML
• http.content_type==”text/css” —> Hojas de estilo CSS
• http.content_type==”video/quicktime” —> Vídeos
• http.content_type==”application/zip” —> Archivos ZIP
• http.request.method==”GET” —> Tipo de Petición GET
• http.request.method==”POST” —> Tipo de Petición POST
• http.user_agent contains “Mozilla” —> Navegador Mozilla
• http.request.uri!=*—> Con esto me libro de los paquetes “NOTIFY * HTTP…”
• http.request.uri matches “[0-9]” —> Uso de expresiones regulares.