Guia GNS3 Simulador

Wireshark contempla dos tipos de Filtros.

• Filtros de capura
• Filtros de visualización.
  

Como ya hemos comentado en otras ocasiones, en Wireshark para los filtros de captura podemos hacer uso de la ya aprendido en los filtros TCPDump / Windump, ya que usa la misma libreria pcap.

Los filtros de captura (Capture Filter) son los que se establecen para mostrar solo los paquetes de cumplan los requisitos indicados en el filtro.

Los filtros de visualización (Display Filer) establecen un criterio de filtro sobre las paquetes capturados y que estamos visualizando en la pantalla principal de Wireshark. Estos filtros son mas flexibles y potentes.

Escribir un filtro de captura

Empecemos por el filtro de captura. Puedes encontrar el filtro de captura en la primera pantalla después de iniciar Wireshark:

El filtro se aplicará a la interfaz seleccionada. Otra forma es utilizar el menú Captura y seleccionar el submenú Opciones (1).

También puedes hacer clic en el icono del engranaje (2), en cualquiera de los casos, aparecerá la siguiente ventana:

En la caja de texto etiquetada como «Introduce un filtro de captura», podemos escribir nuestro primer filtro de captura

Escribir un filtro de visualización

Para escribir un filtro de visualización, algo que necesitarás es el conocimiento de los operadores booleanos. Sí, tienes razón, estamos hablando de las operaciones básicas AND, OR y NOT. Con ellos también podemos combinar varias consultas de filtro en una sola. Por ejemplo, si buscamos tráfico TCP y paquetes que utilicen el puerto 80, podemos escribir el filtro como

tcp y tcp.puerto == 80

Otra forma es utilizar la expresión

tcp && tcp.port == 80

A continuación hemos enumerado las expresiones booleanas más utilizadas en los filtros de visualización:

1. == o eq (Operación de igualdad)

2. && o and (operación And)

3. || (doble tubería) o or (operación Or)