Filtros En Wireshark
Páginas: 6 (1253 palabras)
Publicado: 5 de junio de 2012
Gemma Polo Coll
ASIX 1er 02/06/2012
PAX
Funcionament dels filtres de protocol de Wireshark i normes que regeixen el filtratge
Wireshark es un analitzador de paquets de xarxa, el que s'anomena, comunament, sniffer. S'empra, pels administradors de xarxes, per aconseguir veure el tràfic que circula en un moment específic. Una de les funcions més importants de Wireshark és la de filtres delectura.
Podem trobar a la part superior de la pantalla, al programa, quatre elements relacionats amb la filtració:
Botó de Filtre: Permet definir un filtre per a visualitzar els paquets, de manera que ens puguem concentrar en l'anàlisi d'un protocol determinat, o bé el tràfic entrant o sortint d'un determinat ordinador.
Text de filtre: Podem introduir el text de filtredirectament en aquest camp i seleccionar algun filtre usat anteriorment.
Botó d'eliminació de filtre: Si el polsem eliminem el filtre actiu, i es veuran tots els paquets capturats a la pantalla de Wireshark.
Botó d'aplicació de filtre: Polsem el botó per aplicar el filtre definit. A la pantalla de Wireshark podrem veure els paquets que compleixin les condicions indicades en el filtre.Podem veure a la barra del programa Wireshark els diferents botons existents relacionats amb filtres.
De totes les possibilitats de filtrat que trobem, les més importants són les següents:
Selecció de protocols
Definició d'un filtre de captura
Definició d'un filtre de presentació de la informació
Selecció de Protocols
Podem observar la llista completa deprotocols, i activar o desactivar l'ús d'aquests protocols com ens convingui. Alguns dels protocols que podem filtrar son: tcp, http, pop, dns, arp, ssl, etc.
Hi podem accedir mitjançant la opció del menú Analyze –>Enabled Protocols.
Imatge de la llista de protocols de Wireshark.
Hi ha que tenir en compte, al desactivar filtres, que si desactivem un protocol, no apareixeran elsprotocols de nivells superiors que depenguin d'aquest.
Definició d'un Filtre de Captura
Amb Wireshark es possible definir un filtre que capturi solament paquets d'un determinat protocol, o bé destinats a un determinat port o ordinador. És a dir, només mostrarà paquets que compleixin els requisits establerts pel filtre. Estan basats en llibreries pcap. Si no posem cap d'aquests filtres,Wireshark capturarà tot el tràfic i el presentarà tot al panell principal al fer captures.
Si anem a Capture –> Options podem veure el quadre de diàlegs, i veure el mode promiscu activat.
S'empra introduint al quadre de text, situat a la vora del botó Capture Filter, l'expressió del filtre.
Per exemple, l'expressió tcp port 80 and host 192.168.1.6 ha de forçar la captura únicament delspaquets del protocol TCP amb l'origen o destí del port 80, i origen o destí d'ordinador amb IP 192.168.1.6.
Es poden combinar filtres amb negacions, unions (o concatenacions) i alternances:
- Negació: ! o not
- Unió o Concatenació: && o and
- Alternança: || o or
Exemples de Filtres de Captura
Basats en hosts
src host host Capturar per host origendst host host Capturarper host destí
Exemples:
host 192.168.1.20 Captura tots els paquets d'origen i destí 192.168.1.20
host www.ibm.com Captura tots els paquets d'origen i destí www.ibm.com
Basats en ports
port port Captura tots els paquets amb el port d'origen i destí portsrc port port Captura tots els paquets amb el port d'origen portdst port port Captura tots els paquets amb port destí portnot port portCaptura tots els paquets excepte els que tenen el port d'origen i destí portnot port port and not port port1 Captura tots els paquets excepte origen i destí ports port i port1
Exemples:
port 21 Captura tots els paquets amb el port d'origen i destí 21
portrange 1-1024 Captura tots els paquets amb el port d'origen i destí en una franja de ports d'1 a 1024
Basats en protocols Ethernet/IP
ip...
ASIX 1er 02/06/2012
PAX
Funcionament dels filtres de protocol de Wireshark i normes que regeixen el filtratge
Wireshark es un analitzador de paquets de xarxa, el que s'anomena, comunament, sniffer. S'empra, pels administradors de xarxes, per aconseguir veure el tràfic que circula en un moment específic. Una de les funcions més importants de Wireshark és la de filtres delectura.
Podem trobar a la part superior de la pantalla, al programa, quatre elements relacionats amb la filtració:
Botó de Filtre: Permet definir un filtre per a visualitzar els paquets, de manera que ens puguem concentrar en l'anàlisi d'un protocol determinat, o bé el tràfic entrant o sortint d'un determinat ordinador.
Text de filtre: Podem introduir el text de filtredirectament en aquest camp i seleccionar algun filtre usat anteriorment.
Botó d'eliminació de filtre: Si el polsem eliminem el filtre actiu, i es veuran tots els paquets capturats a la pantalla de Wireshark.
Botó d'aplicació de filtre: Polsem el botó per aplicar el filtre definit. A la pantalla de Wireshark podrem veure els paquets que compleixin les condicions indicades en el filtre.Podem veure a la barra del programa Wireshark els diferents botons existents relacionats amb filtres.
De totes les possibilitats de filtrat que trobem, les més importants són les següents:
Selecció de protocols
Definició d'un filtre de captura
Definició d'un filtre de presentació de la informació
Selecció de Protocols
Podem observar la llista completa deprotocols, i activar o desactivar l'ús d'aquests protocols com ens convingui. Alguns dels protocols que podem filtrar son: tcp, http, pop, dns, arp, ssl, etc.
Hi podem accedir mitjançant la opció del menú Analyze –>Enabled Protocols.
Imatge de la llista de protocols de Wireshark.
Hi ha que tenir en compte, al desactivar filtres, que si desactivem un protocol, no apareixeran elsprotocols de nivells superiors que depenguin d'aquest.
Definició d'un Filtre de Captura
Amb Wireshark es possible definir un filtre que capturi solament paquets d'un determinat protocol, o bé destinats a un determinat port o ordinador. És a dir, només mostrarà paquets que compleixin els requisits establerts pel filtre. Estan basats en llibreries pcap. Si no posem cap d'aquests filtres,Wireshark capturarà tot el tràfic i el presentarà tot al panell principal al fer captures.
Si anem a Capture –> Options podem veure el quadre de diàlegs, i veure el mode promiscu activat.
S'empra introduint al quadre de text, situat a la vora del botó Capture Filter, l'expressió del filtre.
Per exemple, l'expressió tcp port 80 and host 192.168.1.6 ha de forçar la captura únicament delspaquets del protocol TCP amb l'origen o destí del port 80, i origen o destí d'ordinador amb IP 192.168.1.6.
Es poden combinar filtres amb negacions, unions (o concatenacions) i alternances:
- Negació: ! o not
- Unió o Concatenació: && o and
- Alternança: || o or
Exemples de Filtres de Captura
Basats en hosts
src host host Capturar per host origendst host host Capturarper host destí
Exemples:
host 192.168.1.20 Captura tots els paquets d'origen i destí 192.168.1.20
host www.ibm.com Captura tots els paquets d'origen i destí www.ibm.com
Basats en ports
port port Captura tots els paquets amb el port d'origen i destí portsrc port port Captura tots els paquets amb el port d'origen portdst port port Captura tots els paquets amb port destí portnot port portCaptura tots els paquets excepte els que tenen el port d'origen i destí portnot port port and not port port1 Captura tots els paquets excepte origen i destí ports port i port1
Exemples:
port 21 Captura tots els paquets amb el port d'origen i destí 21
portrange 1-1024 Captura tots els paquets amb el port d'origen i destí en una franja de ports d'1 a 1024
Basats en protocols Ethernet/IP
ip...
Leer documento completo
Regístrate para leer el documento completo.