3. Uso de Filtros

3.3. Flujos TCP

Como Ud. sabe en capa 4 se pueden estableces sesiones con el protocolo TCP, esto se conoce como flujos. En Wireshark se puede poner un filtro que permita visualizar TODOS los intercambios de información correspondientes a una sesión TCP, eso se conoce como Follow TCP Stream y permite ver desde el handshake de inicio hasta el fin-ack de la sesión.

Para hacer esto se tiene que saber el nro. de secuencia (relativo), veamos un ejemplo.

La manera más sencilla de hacerlo, es marcar un segmento TCP y luego click con el botón derecho del mouse y seleccionamos seguir -> secuencia TCP, tal como se muestra en la imagen:

Lo que se visualiza, lógicamente no es mucho, ya que la sesión es encriptada (puerto 443), pero si se elije filtrar la visualización al flujo que queremos, se puede ver los intercambios que pretendíamos.

Este intercambio se realizó contra una IP v6 de la UNAM.


Otorgada por LACNIC