El fascinante uso del filtro de pantalla en Wireshark

Soluciones Link

Apple

Usando Filtros de Visualización en Wireshark

El lenguaje de filtros de visualización de Wireshark te permite controlar los paquetes que la plataforma muestra actualmente. Comúnmente utilizarás filtros de visualización para verificar la presencia de un protocolo o campo. Sin embargo, también puedes utilizarlos para comparar paquetes utilizando operadores lógicos como “y” y “o”.

Cómo usar un filtro de visualización en Wireshark

Es fácil confundir el filtro de visualización de Wireshark con el filtro de captura. Este artículo explica cómo utilizar el filtro de visualización de la plataforma en una PC y una Mac. También examina la diferencia entre los filtros de visualización y los filtros de captura dentro de Wireshark.

Cómo utilizar el filtro de visualización en Wireshark en una PC con Windows

Es bastante sencillo utilizar el filtro de visualización de Wireshark en una PC. La plataforma provee un campo en la parte superior de la pantalla que te permite explicar rápidamente qué paquetes deseas mostrar. Normalmente mostrarás paquetes basados en lo siguiente:

  • Protocolo
  • Valores de campo
  • Presencia de un campo
  • Comparaciones entre campos

Sin embargo, la funcionalidad del campo de visualización permite un uso más complejo.

Hay dos métodos para utilizar el filtro de visualización en Wireshark en una PC con Windows.

Método Nº 1 – Escritura Directa del Filtro

Supongamos que simplemente deseas mostrar un protocolo, sigue estos pasos:

  1. Localiza y haz clic en la barra de herramientas del filtro de visualización en Wireshark.
  2. Ingresa el nombre del protocolo en la barra de herramientas. Por ejemplo, escribe “tcp” si deseas mostrar todos tus paquetes TCP.
  3. Presiona “Enter” para aplicar el filtro elegido. Alternativamente, puedes hacer clic en “Aplicar” después de ingresar tu expresión de filtro.

Ahora deberías ver Wireshark mostrando paquetes basados en el filtro que elegiste. Todos estos paquetes permanecen dentro de su archivo de captura asociado. Un filtro de visualización no altera el contenido dentro de un archivo de captura. Muestra los paquetes relevantes al filtro que aplicas.

Si deseas eliminar el filtro aplicado, haz clic en el botón “Limpiar”. Este se encuentra a la derecha de la barra de herramientas del filtro de visualización.

Método Nº 2 – Barra de Estadísticas

Este método es una forma de aplicar un filtro que no requiere que escribas directamente en la barra de herramientas del filtro de visualización.

  1. Localiza “Estadísticas” en el menú superior y haz clic en él.
  2. Selecciona una de las opciones del menú desplegable. Para este ejemplo, elige “Endpoint”.
  3. Debería aparecer una ventana emergente que muestra el informe de puntos finales con direcciones MAC. Haz clic derecho en una de las direcciones y selecciona “Aplicar como Filtro”.
  4. Haz clic en “Seleccionado”.

La sintaxis de tu elección se ingresará automáticamente en la barra de herramientas del filtro de visualización.

Cómo utilizar el filtro de visualización en Wireshark en una Mac

Wireshark en una Mac te permite utilizar un filtro de visualización para mostrar paquetes basados en una variedad de opciones y expresiones, incluyendo protocolos, comparaciones de campos, valores de campos y más. Hay dos formas de utilizar el filtro de visualización en una Mac.

Método Nº 1 – Barra de Herramientas del Filtro de Visualización

Los siguientes pasos te permiten mostrar un protocolo simple. Es posible utilizar una variedad de operadores para crear filtros más complejos, siempre y cuando tengas un conocimiento profundo de Wireshark. Sigue estos pasos para un filtro de visualización de protocolo simple.

  1. Haz clic en la barra de herramientas del filtro de visualización en la parte superior de la pantalla. Este es el cuadro de texto junto a la palabra “Filtro”.
  2. Ingresa el nombre del protocolo y haz clic en el botón “Aplicar”.

Wireshark muestra todos los paquetes relacionados con el protocolo ingresado que están dentro de tu filtro de captura actual. Haz clic en el botón “Limpiar” junto a la barra de herramientas del filtro de visualización para eliminar tu filtro y mostrar todos los paquetes nuevamente.

Método Nº 2 – Barra de Estadísticas

Si no conoces la expresión exacta a escribir para tu filtro, hay un método más sencillo que puedes aplicar en algunos casos. El siguiente ejemplo demuestra cómo crear un filtro de visualización utilizando un punto final. También puede aplicarse a varios otros tipos de expresiones y protocolos. Sigue estos pasos para crear un filtro de visualización de punto final.

  1. Haz clic en “Estadísticas” en la barra de menú superior.
  2. Selecciona “Puntos finales”.
  3. Navega hasta el punto final por el cual deseas filtrar en la ventana emergente, haz clic derecho y selecciona “Aplicar como Filtro”.
  4. Escoge “Seleccionado”.

Deberías ver que Wireshark ingresa automáticamente la sintaxis para tu elección en la barra de herramientas de filtro de visualización. La plataforma también mostrará los paquetes relevantes a tu punto final seleccionado.

Preguntas frecuentes adicionales

¿Cuál es la diferencia entre un filtro de visualización y un filtro de captura?

Wireshark te permite utilizar filtros de visualización y filtros de captura para navegar por tus paquetes. Estos filtros son fáciles de confundir. Sin embargo, tienen diferentes propósitos y requieren diferentes sintaxis para ser utilizados.

Un filtro de visualización se utiliza cuando has capturado todo lo que necesitas y deseas mostrar paquetes específicos para su análisis.

Los filtros de captura son más limitados que los filtros de visualización. Reducen el tamaño de una captura de paquetes en bruto y deben configurarse antes de iniciar el proceso de captura de paquetes. Normalmente utilizarás filtros de captura si deseas aplicar un comando para devolver o eliminar tipos específicos de paquetes de una captura. Los filtros de captura no se pueden modificar durante el proceso de captura.

Los filtros de visualización y los filtros de captura también difieren en términos de la sintaxis que utilizan.

Con un filtro de visualización, utilizas una combinación de filtros booleanos y operadores para crear una descripción lógica del filtro que deseas crear. Ejemplos incluyen el operador “==” y “! =” que significan igual y no igual, respectivamente.

Los filtros de captura utilizan una sintaxis más complicada que combina máscaras, desplazamientos de bytes y valores hexadecimales con lenguaje de filtrado booleano. Esto hace que los filtros de captura sean menos intuitivos que los filtros de visualización, aunque también significa que puedes utilizarlos para aplicar filtros más complejos.

Aplica tus filtros

La funcionalidad de filtro de visualización de Wireshark te permite realizar rápidas verificaciones en los paquetes de tu captura. Es ideal para capturas grandes cuando necesitas filtrar todo el ruido en tu pantalla para poder analizar protocolos o campos específicos. Wireshark proporciona información detallada sobre los diversos modificadores y expresiones de filtro de visualización a través de su wiki.

Pero ahora, queremos saber de ti. ¿Con qué frecuencia te encuentras necesitando analizar paquetes específicos en Wireshark? ¿Crees que utilizar el filtro de visualización te ayudará a ser más eficiente al utilizar la plataforma? Cuéntanos qué opinas sobre el filtro de visualización de Wireshark en los comentarios a continuación.

Deja un comentario

© 2023 INFO

Políticas de Privacidad Políticas de cookies