Los administradores de red encuentran una amplia variedad de problemas de red en el curso de su trabajo. Siempre que haya una acción sospechosa o sea necesario evaluar un segmento de red en particular, las herramientas de análisis de protocolos como Wireshark pueden resultar útiles. Una característica particularmente útil es el filtrado de paquetes de red por direcciones IP.
Si es un usuario novato, puede que le resulte un poco difícil configurar los pasos para hacerlo por su cuenta. Afortunadamente, hemos elaborado esta guía definitiva sobre cómo filtrar por IP en Wireshark. Saldrá sabiendo la diferencia entre sus dos lenguajes de filtrado, aprendiendo nuevas cadenas de filtros y más.
Lo mejor es que no necesitará ayuda para realizar estos pasos hasta la primera vez. ¡Cada actuación posterior será muy fácil!
¿Qué es Wireshark?
Wireshark es un analizador de paquetes de red que ha dominado el espacio de la industria desde hace bastante tiempo. Esto fue genial hasta que se dejaron de lado muchas herramientas similares, incluido Microsoft Network Monitor. Las dos características principales que hicieron famoso a Wireshark son su flexibilidad y facilidad de uso.
Los analizadores de paquetes de red son herramientas que capturan y analizan el tráfico de datos con el mayor detalle posible en canales de comunicación específicos. Sirven como las últimas herramientas de diagnóstico para los sistemas de a bordo.
Wireshark viene con la mejor capacidad de su clase para filtrar paquetes durante la captura y el análisis con diferentes niveles de complejidad. Esto lo hace tan conveniente para los principiantes como para los profesionales de monitoreo de redes. Wireshark también ingiere y analiza el tráfico de varios otros analizadores de protocolos, lo que facilita examinar el tráfico anterior en momentos específicos del pasado.
Antes de Wireshark, las herramientas de rastreo de redes eran muy caras o propietarias. Todo ha cambiado con la llegada de esta aplicación. El software es de código abierto y es compatible con todas las plataformas principales. Esto le dio a Wireshark mucho apoyo de la comunidad, lo que eliminó el costo como una barrera y abrió espacio para una amplia gama de oportunidades de capacitación.
He aquí por qué la gente puede querer usar Wireshark:
- Solución de problemas de red
- Revisión de problemas de seguridad.
- Examen de aplicaciones de red
- Implementaciones de protocolo de depuración
- Obtenga más información sobre los aspectos internos del protocolo de red.
Wireshark se puede descargar gratis. Si aún no lo has hecho, puedes hacerlo. aquí. Simplemente descargue el ejecutable y haga clic en el archivo para instalarlo.
La interfaz de usuario de Wireshark
Después de descargar e instalar Wireshark, puede acceder a él desde su shell local o desde su administrador de ventanas. Una de las primeras cosas que debe hacer es elegir una interfaz de red de la lista de redes en los adaptadores de su computadora.
Puede hacer clic en “Capturar”, luego en “Interfaces” en el menú y elegir la opción adecuada.
La ventana principal de la interfaz de Wireshark consta de varias partes:
- Menú: se utiliza para iniciar acciones
- Barra de herramientas principal: acceso rápido a los elementos que usa con frecuencia desde el menú
- Barra de herramientas de filtro: puede establecer filtros de visualización aquí
- Panel de lista de paquetes: resúmenes de paquetes capturados
- Panel de detalles: más información sobre el paquete seleccionado del canal de paquetes
- Panel de bytes: paquete de datos del panel de la lista de paquetes, resaltando el campo elegido en ese panel
- Barra de estado: datos capturados e información sobre el estado actual del programa
Puede controlar las listas de paquetes y explorar los detalles por completo con su teclado. Hay una tabla que muestra los comandos de atajos de teclado comunes aquí.
¿Cómo agregar filtros en Wireshark?
La barra de herramientas “Filtro” es donde puede personalizar y ejecutar nuevos filtros de visualización.
Para crear y editar filtros de captura, vaya a “Administrar filtros de captura” en el menú de marcadores o navegue hasta “Capturar” y luego “Filtros de captura” en el menú principal.
Para crear y modificar filtros de visualización, seleccione “Administrar filtros de visualización” en el menú de marcadores o vaya al menú principal y seleccione “Analizar”, luego “Filtros de visualización”.
Verá una sección de entrada de filtro con un fondo verde. Esta es el área donde ingresa y edita las cadenas de filtro de visualización. Aquí también puede ver el filtro aplicado actualmente. Simplemente haga clic en el nombre del filtro o haga doble clic en el canal para editarlo.
Mientras escribe, el sistema realizará una verificación del sistema de la cadena de filtros. Si ingresa un valor no válido, el fondo cambiará de verde a rojo. Siempre presione el botón “Aplicar” o la tecla “Entrar” para aplicar la cadena de filtro.
Puede agregar un nuevo filtro haciendo clic en el botón “Agregar”, que es un signo más negro sobre un fondo gris claro. Otra forma de agregar un nuevo filtro es hacer clic derecho en el área del botón de filtro. Para eliminar un filtro, haga clic en el botón menos. El botón menos aparecerá atenuado si no se selecciona ningún filtro.
¿Cómo filtrar por dirección IP en Wireshark?
Una gran característica de Wireshark es que le permite filtrar paquetes por direcciones IP. Simplemente siga los pasos a continuación para descubrir cómo:
- Comience haciendo clic en el botón más para agregar un nuevo filtro de visualización.
- Realice la siguiente operación en el área Filtro: ip.dirección ==[IP address] y presione Entrar.
- Tenga en cuenta que Packet List Lane ahora filtra solo el tráfico que va hacia (destino) y desde (origen) la dirección IP que ingresó.
- Para borrar el filtro, haga clic en el botón “Borrar” en la barra de herramientas Filtro.
IP de origen
Puede restringir la vista de los paquetes a aquellos con direcciones IP de origen particulares que aparecen en este filtro. Simplemente ejecute el siguiente comando en el cuadro de filtro y presione Entrar:
ip.src == [IP address]
IP de destino
Puede aplicar filtros de destino para restringir la visualización de paquetes a aquellos cuya dirección IP de destino específica aparece en el filtro.
El comando es el siguiente:
ip.dst == [IP address]
Filtro de captura vs filtro de visualización
Wireshark admite dos lenguajes de filtrado: filtros de captura y filtros de visualización. El primero se usa para filtrar al capturar paquetes. Este último filtra los paquetes mostrados. Con los filtros de visualización, puede concentrarse en los paquetes que le interesan y ocultar aquellos que no son importantes actualmente. Puede ver los paquetes en función de varios factores:
- Protocolo
- Presencia de campo
- Valores de campo
- Comparación de campo
Los filtros de visualización usan sintaxis de operadores booleanos y campos que describen los paquetes que está filtrando. Una vez que haya creado algunos filtros de visualización, será fácil anotarlos. Los filtros de captura son un poco menos intuitivos porque son crípticos.
Aquí hay una descripción general de las características y usos de cada filtro:
Filtros de captura:
- Se definen antes de empezar a captar tráfico
- No se puede editar mientras se captura el tráfico
- Se utiliza para capturar un tipo específico de tráfico
Mostrar filtros:
- Reducen los paquetes que se muestran en Wireshark
- Se puede personalizar al capturar el tráfico
- Se utiliza para enmascarar el tráfico para evaluar tipos específicos de tráfico
Para obtener más información sobre el filtrado durante la captura, visite esta página.
Preguntas frecuentes adicionales
¿Cómo filtrar Wireshark por URL?
Vosotras puede buscar las URL HTTP proporcionadas en la captura en Wireshark usando la siguiente cadena de filtro:
http contains “[URL]. “
Tenga en cuenta que no puede utilizar los operadores “contiene” en campos atómicos (números, direcciones IP).
¿Cómo filtrar Wireshark por número de puerto?
Puede usar el siguiente comando para filtrar Wireshark por número de puerto:
Tcp.port eq [port number].
¿Cómo funciona Wireshark?
Wireshark es una herramienta rastreadora de paquetes de red. Analiza los paquetes de red tomando una conexión a Internet y registrando los paquetes que pasan a través de ella. Luego proporciona a los usuarios la información sobre esos paquetes, incluido su origen, destino, contenido, protocolos, mensajes, etc.
Vaya a 007 en la detección de redes
Con Wireshark, los ingenieros y administradores de redes ya no tienen que preocuparse por quedarse sin herramientas de diagnóstico para problemas críticos de red. Las características convenientes y de fácil acceso del programa hacen que sea mucho más fácil evaluar las vulnerabilidades de la red y solucionar problemas.
Después de leer nuestro artículo, ahora debería poder notar la diferencia entre las diferentes opciones de filtro de programas relacionadas con el filtrado de IP. También aprendió expresiones de cadena básicas para el filtrado de IP y más. Espero que esto ayude a resolver cualquier problema de red que pueda tener.
¿Qué otras funciones utiliza con frecuencia en Wireshark? ¿Qué cree que diferencia a Wireshark de la competencia? Comparta sus pensamientos en la sección de comentarios a continuación.