Wireshark
3. Uso de Filtros
3.1. filtro de visualizacion
Como dijimos, se emplean para limitar el contenido de lo visualizado a lo que nosotros necesitamos- Podemos por ejemplo filtrar trafico especifico de un puerto.
tcp.port == 80
- Podemos utilizar
ip.addr
Con este último filtro capturamos todos los correos con origen y destino
al dominio @hotmail.com, incluyendo usuarios, pass, etc.
ip.addr == xxx.xxx.xxx.xxx Con esta notación le decimos a wireshark que
capture todos los paquetes con origen y destino con esa IP.
ip.scr == xxx.xxx.xxx.xxx Capturar con esta IP como origen.
ip.dst == xxx.xxx.xxx.xxx con esta última notación capturamos los paquetes con esa IP de destino.
Podemos usar también el operador != (que no sea igual a).
También podemops usar filtros que en vez de especificar IP, especifique direcciones Ethernet con eth.
También lo operadores lógicos como OR(||) y AND (&&)
ip.scr==80.x.x.x or ip.src==200.80.x.x.
ip.scr == 192.168.0.10 and ip.dst == 192.168.0.25
- Podemos utilizar operadores mayor y menor que > <, pero tener en cuenta que compara la ip como un numero entero
192.168.24.252 es menor a 192.168.25.100
rango de ip ip.scr >= 192.168.24.100 and ip.scr < 192.168.24.200
mas información sobre los filtros https://wiki.wireshark.org/DisplayFilters.