El lenguaje de filtro de visualización de Wireshark le permite controlar los paquetes que muestra actualmente la plataforma. Por lo general, usará filtros de visualización para verificar que un protocolo o campo esté presente. Sin embargo, también puede usarlos para comparar paquetes usando operadores lógicos, como "y" y "o".
Es fácil confundir el filtro de visualización de Wireshark con su filtro de captura. Este artículo explica cómo usar el filtro de visualización de la plataforma en una PC y una Mac. También examina la diferencia entre los filtros de visualización y los filtros de captura dentro de Wireshark.
Cómo usar el filtro de pantalla en Wireshark en una PC con Windows
Es bastante simple usar el filtro de pantalla de Wireshark en una PC. La plataforma proporciona un campo en la parte superior de la pantalla que le permite explicar rápidamente qué paquetes desea mostrar. Por lo general, mostrará los paquetes en función de lo siguiente.
- Protocolo
- Valores de campo
- La presencia de un campo.
- Comparaciones entre campos
Sin embargo, la funcionalidad del campo de visualización permite un uso más complejo.
Hay dos métodos para usar el filtro de visualización en Wireshark en una PC con Windows.
Método n.º 1: tipificación de filtro directo
Suponiendo que simplemente desea mostrar un protocolo, siga estos pasos.
- Ubique y haga clic en la barra de herramientas de filtro de visualización en Wireshark .
- Introduzca el nombre del protocolo en la barra de herramientas. Por ejemplo, escriba "tcp" si desea mostrar todos sus paquetes TCP.
- Presiona “Enter” para aplicar el filtro elegido. Alternativamente, puede hacer clic en "Aplicar" después de ingresar su expresión de filtro.
Ahora debería ver que Wireshark muestra los paquetes según el filtro que eligió. Todos estos paquetes permanecen dentro de su archivo de captura asociado. Un filtro de visualización no altera el contenido dentro de un archivo de captura. Muestra paquetes relevantes para el filtro que aplica.
Si desea eliminar su filtro aplicado, haga clic en el botón Borrar. Está ubicado a la derecha de la barra de herramientas de filtro de visualización.
Método No. 2: la barra de estadísticas
Este método es una forma de aplicar un filtro que no requiere que escriba directamente en la barra de herramientas del filtro de visualización.
- Busque "Estadísticas" en el menú superior y haga clic en él.
- Seleccione una de las opciones en el menú desplegable. Para este tutorial, elija "Puntos finales".
- Debería aparecer un cuadro emergente que muestra el informe Endpoint que muestra las direcciones MAC. Haga clic derecho en una de las direcciones y seleccione "Aplicar como filtro".
- Haga clic en "Seleccionado".
La sintaxis de su elección se ingresa automáticamente en la barra de herramientas de filtro de visualización.
Cómo usar el filtro de pantalla en Wireshark en una Mac
Wireshark en una Mac le permite usar un filtro de visualización para mostrar paquetes en función de una variedad de opciones y expresiones, incluidos protocolos, comparaciones de campo, valores de campo y más. Hay dos formas de usar el filtro de pantalla en una Mac.
Método No. 1: la barra de herramientas de filtro de visualización
Los siguientes pasos le permiten mostrar un protocolo simple. Es posible usar una variedad de operadores para crear filtros más complejos, suponiendo que tenga un conocimiento profundo de Wireshark. Siga estos pasos para un filtro de visualización de protocolo simple.
- Haga clic en la barra de herramientas de filtro de visualización en la parte superior de la pantalla. Este es el cuadro de texto junto a la palabra "Filtro".
- Introduzca el nombre del protocolo y haga clic en el botón "Aplicar".
Wireshark muestra cada paquete relacionado con el protocolo ingresado que se encuentra dentro de su filtro de captura actual. Haga clic en el botón Borrar junto a la barra de herramientas del filtro de visualización para eliminar su filtro y mostrar todos los paquetes nuevamente.
Método No. 2: la barra de estadísticas
Si no sabe la expresión exacta que debe escribir para su filtro, hay un método más simple que puede aplicar en algunos casos. El siguiente ejemplo muestra cómo crear un filtro de visualización utilizando un punto final. También se puede aplicar a varios otros tipos de expresiones y protocolos. Siga estos pasos para crear un filtro de visualización de punto final.
- Haga clic en "Estadísticas" en la barra de menú superior.
- Seleccione "Puntos finales".
- Navegue hasta el punto final por el que desea filtrar en el cuadro emergente, haga clic con el botón derecho y resalte "Aplicar como filtro".
- Elija "Seleccionado".
Debería ver que Wireshark ingresa automáticamente la sintaxis de su elección en la barra de herramientas del filtro de visualización. La plataforma también mostrará paquetes relevantes para su punto final elegido.
Preguntas frecuentes adicionales
¿Cuál es la diferencia entre un filtro de visualización y un filtro de captura?
Wireshark le permite usar filtros de visualización y filtros de captura para navegar por sus paquetes. Estos filtros son fáciles de confundir. Sin embargo, sirven para diferentes propósitos y requieren diferentes sintaxis para su uso.
Se usa un filtro de visualización cuando ha capturado todo lo que necesita y desea mostrar paquetes específicos para su análisis.
Los filtros de captura son más limitados que los filtros de visualización. Reducen el tamaño de una captura de paquetes sin procesar y deben configurarse antes de comenzar el proceso de captura de paquetes. Por lo general, usará filtros de captura si desea aplicar un comando para devolver o eliminar tipos específicos de paquetes de una captura. Los filtros de captura no se pueden modificar durante el proceso de captura.
Los filtros de visualización y los filtros de captura también difieren en cuanto a la sintaxis que utilizan.
Con un filtro de visualización, utiliza una combinación de filtros y operadores booleanos para crear una descripción lógica del filtro que desea crear. Los ejemplos incluyen “==” y “!=” que significan igual y no igual, respectivamente.
Los filtros de captura utilizan una sintaxis más complicada que combina máscaras, compensaciones de bytes y valores hexadecimales con lenguaje de filtrado booleano. Esto hace que los filtros de captura sean menos intuitivos que los filtros de visualización, aunque también significa que puede usarlos para aplicar filtros más complejos.
Aplica tus filtros
La funcionalidad de filtro de visualización de Wireshark le permite ejecutar verificaciones rápidas de los paquetes en su captura. Es ideal para capturas grandes cuando necesita eliminar todo el ruido de la pantalla para poder analizar protocolos o campos específicos. Wireshark proporciona información detallada sobre los diversos modificadores de filtro y expresiones para el filtro de visualización a través de su wiki.
Pero ahora, queremos saber de usted. ¿Con qué frecuencia necesita analizar paquetes específicos en Wireshark? ¿Crees que usar el filtro de visualización te ayudará a ser más eficiente al usar la plataforma? Cuéntanos lo que piensas sobre el filtro de visualización de Wireshark en los comentarios a continuación.
0 Comentarios