miércoles, 24 de noviembre de 2010

Ya hemos visto y estudiado, usando Wireshark / Tshark, las múltiples formas que tenemos de extraer información, datos binarios, datos de impresión de red y uso de filtros tanto de captura como de visualización y como crear y aplicar estos filtros.

wireshark tshark frame.protocols dns dns.qry.name

En esta ocasión vamos a ver como filtrar en Wireshark usando frame y frame.protocol para visualizar los datos que necesitemos.

El filtro frame.

Este filtro de visualización, explicado de forma sencilla, nos proporciona una manera de filtrar a partir de los datos de un determinado frame, traza o paquete. Se trata de filtrar los datos que son características propias de un paquete como tal.

Por ejemplo y para entenderlo mejor:

  • frame.number >= 40

visualizará solo desde el paquete 40 incluído éste.

si en Tshark hacemos lo siguiente, por ejemplo:

tshark -r captura009.pcap -V -R "frame.number == 40"

tendremos toda la información, completa del frame 40 del archivo de captura indicado.

También podemos especificar un rango:

frame.number >= 40 && frame.number <= 100
  • frame.marked

visualizará solo los paquetes que estén marcados.

  • frame.len > 10000

    visualizará los paquetes cuyo tamaño total sean mayor de 1000 bytes

  • frame.coloring_rule.name == "HTTP"

visualizará los paquetes con el nombre HTTP para coloring rule. (más adelante veremos que es esto).

  • frame.time_delta > 2

visualizará los paquetes cuyo time delta sean mayor de 2 seg.

  • frame.time > "Sep 13, 2010 11:56:25.348411000"

visualizará los frames o paquetes que cumplan la condición de tiempo indicado pero en formato de tiempo absoluto. No se puede usar contains.

El filtro frame.protocols.

Este filtro, opción de frame como las anteriores, nos proporciona una manera de filtrar a partir de los datos de protocolos involucrados en un frame, traza o paquete capturado y a partir de ahí todo lo que queramos. Vamos a verlo, como siempre, con la práctica y ejemplos.

Queremos visualizar los paquetes que contienen datos (data) :

  • frame.protocols contains "data"

Dentro del data queremos buscar algo:

  • frame.protocols contains "data" && data contains "www.daboblog.com"

wireshark frame.protocols extraccion datos data

Podemos filtrar por protocolo:

  • frame.protocols contains "udp"
  • frame.protocols contains "udp" and udp.port == 53

Vamos a visualizar los frames o paquetes que contengan los siguintes protocolos y características: ethernet, IP, TCP y contengan el campo data:

  • frame.protocols contains raw:ip:tcp:data

Vamos a realizar unas búsqueda algo más profunda.:

  • frame.protocols contains eth:ip:udp:dns && dns.flags == 0x100

wireshark tshatk frame.protocols dne standard query

  • frame.protocols contains eth:ip:udp:dns && dns.flags == 0x100 && dns.qry.name contains "google"

wireshark tshark frame.protocols dns dns.qry.name

===


Fuente:http://seguridadyredes.nireblog.com/post/2010/11/17/wireshark-tshark-filtrando-con-frame-y-frameprotocols


Sin duda una gran guia de Wireshark la que tenemos ante nuestros ojos

No hay comentarios:

Publicar un comentario