Antes de comenzar a ver los 10 mejores filtros de Wireshark del mundo real que necesitas conocer, recuerda que siempre puedes ahondar mas en la siguiente pagina: https://ask.wireshark.org/questions/.
Los filtros a continuación, están en orden de lo mas general a mas específicos.
- Filtro de una IP especifica: El primer filtro que veremos será el de direcciones IP
ip.addr==5.1.81.68
ip source address: ip.src
ip destination address: ip.dst
lo que puedes hacer en la pantalla es arrastrar la dirección o lo que sea al campo de búsqueda y así se creara automáticamente.
2. Filtro de subred: Nuestro segundo filtro es sencillo, y viene del primero, pero necesitamos conocer toda la red, filtrar por el rango de direcciones o lo que esta dentro de una subred especifica entonces hacemos lo siguiente, le damos valor 0 al ultimo octeto o luego agregamos /24
ip.addr==5.1.81.0/24 y voila!
3. Filtros de puertos: primero veremos como filtrar por un puerto especifico y el siguiente por una lista de puertos
tcp.port==80 o tcp.port eq 80
tpc.port != 80 (para buscar puertos distintos a 80)
para buscar dos puertos
tcp.port==80 or tcp.port==443 or tcp.port ==8000
tcp.port in {80,443,8000..8010}
en el filtro anterior filtrara por los puertos ahi indicados, y en los puertos 8000, buscara uno por uno hasta el puerto 8010
4. filtro de conversacion: necesitamos ver la conversacion de los puertos
escribir el filtro seria muy tedioso, por lo tanto lo mejor sera ir a la pantalla, botón derecho, luego conversation filter, y luego dirigirnos a TCP y voila!
5. Filtro de dos protocolos: Un sistema podria estar enviando una solicitud DNS y luego estableciendo una conexion TCP y necesitamos ver ambos protocolos.
tcp or dns
6. ip contains «London»
o eth marches»london»
6. Limpiar protocolos: hay veces que hay muchos protocolos que no deseamos ver por el momento, para eso podemos eliminar de nuestra vistas unos cuantos como arp, lldp, dcp
!(arp or stp or lldp or cdp or eth.addr==ff.ff.ff.ff.ff.ff or dns or tcp.port in {443,80})
7. muestra todas las retransmisiones, acuses de recibo duplicados, cero ventanas y más en el seguimiento. Ayuda a detectar el rendimiento lento de las aplicaciones y la pérdida de paquetes. No incluirá las actualizaciones de la ventana, ya que en la mayoría de los casos no es realmente importante verlas
(tcp.analysis.flags) && !(tcp.alaysis.window_update)
8. para buscar respuestas DNS lentas
dns.time > 0.010
dns.time >0.2
ahi tu debes ir jugando con el tiempo y buscar las que sean mas lentas
9. para filtrar por codigo de pais
ip.geoip.country_iso==»UK» //filtra todo el trafico que proviene del Reino Unido
!ip.geoip.country_iso==»UK» //filtra todo el tráfico que NO proviene del Reino Unido
10. filtros de reinicio: cuando estas ocupando un sistema y de la nada se reinicia o solo quieres ver reinicios del sistema o desconexiones, nmap tambien genera un monton de este tipo de reinicios testeando puertos.
tcp.flags.reset==1