Cómo filtrar por IP en Wireshark

Los administradores de red se encuentran con una amplia gama de problemas de red mientras realizan su trabajo. Siempre que haya una acción sospechosa o la necesidad de evaluar un segmento de red en particular, las herramientas de análisis de protocolos como Wireshark pueden resultar útiles. Una característica particularmente útil es el filtrado de paquetes de red por direcciones IP.

Cómo filtrar por IP en Wireshark

Si es un usuario nuevo, puede que le resulte un poco difícil configurar los pasos para hacerlo por su cuenta. Afortunadamente, hemos reunido esta guía definitiva sobre cómo filtrar por IP en Wireshark. Saldrá sabiendo la diferencia entre sus dos lenguajes de filtrado, aprenderá nuevas cadenas de filtros y mucho más.

Lo mejor es que solo necesitará ayuda para realizar estos pasos la primera vez. ¡Cada actuación siguiente será pan comido!

¿Qué es Wireshark?

Wireshark es un analizador de paquetes de red que domina el espacio de la industria desde hace bastante tiempo. Ha sido genial hasta el punto de dejar de lado muchas herramientas similares, incluido Microsoft Network Monitor. Las dos características principales que hicieron famoso a Wireshark son su flexibilidad y facilidad de uso.

Los analizadores de paquetes de red son herramientas que capturan y analizan el tráfico de datos con el mayor detalle posible en canales de comunicación específicos. Sirven como herramientas de diagnóstico definitivas para sistemas integrados.

Wireshark viene con la capacidad de primer nivel para filtrar paquetes durante la captura y análisis con diferentes niveles de complejidad. Esto lo hace igualmente conveniente tanto para principiantes como para profesionales de monitoreo de redes. Wireshark también ingiere y analiza el tráfico de varios otros analizadores de protocolos, lo que facilita la revisión del tráfico pasado en momentos específicos del pasado.

Antes de Wireshark, las herramientas de seguimiento de red solían ser muy caras o propietarias. Todo eso cambió con la llegada de esta aplicación. El software es de código abierto y es compatible con todas las plataformas principales. Esto brindó a Wireshark mucho apoyo de la comunidad, lo que eliminó el costo como una barrera y abrió espacio para una amplia gama de oportunidades de capacitación.

A continuación, se explica por qué las personas pueden querer usar Wireshark:

  • Resolución de problemas de red
  • Examinando problemas de seguridad
  • Examinar aplicaciones de red
  • Implementaciones de protocolos de depuración
  • Aprender sobre los componentes internos del protocolo de red

Wireshark se puede descargar gratis. En caso de que aún no lo haya hecho, puede hacerlo aquí. Simplemente descargue el ejecutable y haga clic en el archivo para instalarlo.

La interfaz de usuario de Wireshark

Después de descargar e instalar Wireshark, puede acceder a él desde su shell local o administrador de ventanas. Una de las primeras cosas que debe hacer es elegir una interfaz de red de la lista de redes en los adaptadores de su computadora.

Puede hacer clic en "Capturar", luego en "Interfaces" en el menú y elegir la opción adecuada.

La ventana principal de la interfaz de Wireshark consta de varias partes:

  • Menú: se utiliza para iniciar acciones
  • Barra de herramientas principal: acceso rápido a los elementos que usa con frecuencia desde el menú
  • Barra de herramientas de filtro: puede configurar filtros de visualización aquí
  • Panel de lista de paquetes: resúmenes de paquetes capturados
  • Panel de detalles: más información sobre el paquete seleccionado del carril de paquetes
  • Panel de bytes: datos del paquete del panel de la lista de paquetes, resaltando el campo elegido en ese panel
  • Barra de estado: datos capturados e información del estado del programa en curso

Puede controlar las listas de paquetes y navegar por los detalles por completo con su teclado. Aquí hay una tabla que muestra los comandos comunes de métodos abreviados de teclado.

¿Cómo agregar filtros en Wireshark?

La barra de herramientas "Filtro" es donde puede personalizar y ejecutar nuevos filtros de visualización.

Para crear y editar filtros de captura, vaya a "Administrar filtros de captura" en el menú de marcadores o navegue hasta "Capturar" y luego "Filtros de captura" en el menú principal.

Para crear y editar filtros de visualización, seleccione "Administrar filtros de visualización" en el menú de marcadores o vaya al menú principal y seleccione "Analizar", luego "Filtros de visualización".

Verá una sección de entrada de filtro con un fondo verde. Esta es el área donde ingresa y edita cadenas de filtros de visualización. Aquí también es donde puede ver el filtro aplicado actualmente. Simplemente haga clic en el nombre del filtro o haga doble clic en la cadena para editarlo.

Mientras escribe, el sistema realizará una verificación del sistema de la cadena del filtro. Si ingresa uno no válido, el fondo cambia de verde a rojo. Siempre presione el botón "Aplicar" o la tecla "Enter" para aplicar la cadena de filtro.

Puede agregar un nuevo filtro haciendo clic en el botón "Agregar", que es un signo más negro sobre un fondo gris claro. Otra forma de agregar un nuevo filtro es hacer clic derecho en el área del botón de filtro. Para eliminar un filtro, haga clic en el botón menos. El botón menos aparecerá atenuado si no hay ningún filtro seleccionado.

¿Cómo filtrar por dirección IP en Wireshark?

Una característica excelente de Wireshark es que le permite filtrar paquetes por direcciones IP. Simplemente siga los pasos a continuación para obtener instrucciones sobre cómo hacerlo:

  1. Comience haciendo clic en el botón más para agregar un nuevo filtro de visualización.

  2. Ejecute la siguiente operación en el cuadro Filtro: ip.addr == [dirección IP] y presione Enter.

  3. Observe que Packet List Lane ahora solo filtra el tráfico que va a (destino) y desde (origen) la dirección IP que ingresó.

  4. Para borrar el filtro, haga clic en el botón "Borrar" en la barra de herramientas de Filtro.

IP de origen

Puede restringir la vista de paquetes a aquellos con direcciones IP de origen particulares que aparecen en ese filtro. Simplemente ejecute el siguiente comando en el cuadro de filtro y presione Enter:

ip.src == [dirección IP]

IP de destino

Puede aplicar filtros de destino para restringir la vista de paquetes a aquellos con una IP de destino específica que se muestra en el filtro.

El comando es el siguiente:

ip.dst == [dirección IP]

Filtro de captura frente a filtro de visualización

Wireshark admite dos lenguajes de filtrado: filtros de captura y filtros de visualización. El primero se utiliza para filtrar durante la captura de paquetes. Los últimos filtros mostraban paquetes. Con los filtros de visualización, puede concentrarse en los paquetes que le interesan y ocultar los que no son importantes actualmente. Puede mostrar paquetes en función de varios factores:

  • Protocolo
  • Presencia de campo
  • Valores de campo
  • Comparación de campo

Los filtros de visualización utilizan una sintaxis de operador booleano y campos que describen los paquetes que está filtrando. Una vez que cree algunos filtros de visualización, será fácil escribirlos. Los filtros de captura son un poco menos intuitivos ya que son crípticos.

A continuación, se ofrece una descripción general de las funciones y los usos de cada filtro:

Filtros de captura:

  • Se establecen antes de comenzar a capturar tráfico.
  • Imposible de cambiar durante la captura de tráfico
  • Se utiliza para la captura de tipos de tráfico específicos.

Filtros de visualización:

  • Reducen los paquetes que se muestran en Wireshark
  • Puede personalizarse durante la captura de tráfico
  • Se utiliza para ocultar el tráfico para evaluar tipos de tráfico específicos.

Para obtener más información sobre cómo filtrar durante la captura, visite esta página.

Preguntas frecuentes adicionales

¿Cómo filtro Wireshark por URL?

Puede buscar URL HTTP determinadas en la captura en Wireshark utilizando la siguiente cadena de filtro:

http contiene “[URL]. "

Tenga en cuenta que no puede utilizar los operadores "contiene" en campos atómicos (números, direcciones IP).

¿Cómo filtro Wireshark por número de puerto?

Puede utilizar el siguiente comando para filtrar Wireshark por número de puerto:

Tcp.port eq [número de puerto].

¿Cómo funciona Wireshark?

Wireshark es una herramienta de detección de paquetes de red. Analiza los paquetes de red tomando una conexión a Internet y registrando los paquetes que viajan a través de ella. Luego proporciona a los usuarios la información sobre esos paquetes, incluido su origen, destino, contenido, protocolos, mensajes, etc.

Pasando al 007 en Network Sniffing

Gracias a Wireshark, los ingenieros y administradores de redes ya no tienen que preocuparse por perderse herramientas de diagnóstico para problemas esenciales de la red. Las funciones convenientes y de fácil acceso del programa hacen que sea mucho más sencillo evaluar las vulnerabilidades de la red y realizar la resolución de problemas.

Después de leer nuestro artículo, ahora debería poder diferenciar entre las diferentes opciones de filtro en el programa relacionadas con el filtrado de IP. También aprendió las expresiones de cadena básicas para filtrar por IP y mucho más. Con suerte, esto ayudará a resolver cualquier problema de red que pueda estar encontrando.

¿Qué otras funciones usas a menudo en Wireshark? ¿Qué crees que hace que Wireshark se destaque de la competencia? Comparta sus pensamientos en la sección de comentarios a continuación.