miércoles, 22 de octubre de 2008

Filtros de Captura y Visualización

Conocer un poco sobre los "Capture Filters" y los "Display Filters" nos pueden ayudar a realizar un mejor análisis de trafico y por supuesto ahorrarnos mucho tiempo.


Los "Capture Filters", en la mayoría de los sniffers, utilizan la ya conocida sintaxis de BPF (Berkeley Packet Filter), mientras que los "Display Filters" pueden ser particulares para cada aplicación.

Hace un tiempo Tony Fortunato presento los "Top 10 Useful Filters", que son los siguientes:

1. Dirección IP:
"ip.addr == x.x.x.x"

2. Dirección MAC:
"eth.addr == xx:xx:xx:xx:xx:xx"

3. Protocolo ICMP:
"icmp"

4. No Mi Dirección MAC:
"eth.addr == xx:xx:xx:xx:xx:xx"

5. Protocolo DHCP:
"bootp"

6. Tiempo Delta Alto:
"frame.time_delta > 1"

7. Puerto TCP:
"tcp.port == x"

8. Puerto UDP:
"udp.port == x"

9. Análisis de RTT:
"tcp.analysis.ack_rtt > 1"

10. Tamaño de TCP:
"tcp.len > x && tcp.len < size="3">


Recientemente, Richard Bejtlich escribió un excelente articulo técnico llamado "Using Wireshark and Tshark display filters for troubleshooting". Dentro de las cosas mas interesantes podemos encontrar:

Ejemplo de un Capture Filter en Tshark (Wireshark en consola):

# tshark -i wlan0 -w sample.pcap host 192.168.2.103

Lo mismo pero con Tcpdump. En este caso hay que aclarar el Snaplen (tamaño del paquete)
ya que el default de Tcpdump es de 96 bytes:

# tcpdump -i wlan0 -s 1514 -w sample2.pcap host 192.168.2.103

En este caso estamos aplicando un Display Filter con el switch "-R" al mismo tiempo
que estamos capturando trafico:

# tshark -n -i wlan0 -w sample3.pcap -R 'ip.addr == 192.168.2.103'

Usuarios haciendo pedido de DNS que contienen la palabra "kungfoosion":

# tshark -n -i wlan0 -R 'dns.qry.name contains "kungfoosion"'

Búsqueda de la palabra "ftp" en el canal de comandos de FTP:

# tshark -n -r sample.pcap -R 'ftp.request.arg == "ftp"'

En este caso buscamos por usuarios que navegan con browsers que no son Firefox:

# tshark -i wlan0 -S -w sample5.pcap -x -R 'http.user_agent and !(http.user_agent contains "Firefox")'

Solamente visualizamos los comandos SMTP:

# tshark -n -r sample6.pcap -R 'smtp.req.command'

Durante el primer día de mi Network Security COMBAT Training trabajamos bastante con Capture Filters y especialmente con Display Filters, adicionalmente a lo que ya vimos, les recomiendo revisar los siguientes links que también los use durante mi training:

- Packet Life Cheat Sheets
- Wireshark Capture Filters
- Wireshark Display Filters
- Wireshark Display Filter Reference

No hay comentarios.:

LinkWithin