Los filtros juegan un rol importante en la captura de paquetes. Mientras se trabaja en una LAN o mientras se capturan paquetes sobre un servidor hospedando diversos servicios, se pueden enfrentar problemas en la vigilancia de un protocolo o servicio particular. Para eliminar esto es necesario utilizar filtros. Los filtros pueden ser aplicados en dos lugares denominados como filtros de captura y filtros de muestra.

Filtros de captura

Los filtros de captura son aplicados para vigilar paquetes de manera selectiva. Filtrará o capturará únicamente el tráfico definido. Para hacer esta captura selectiva se debe pasar el comando de instrucciones hacia Wireshark.

La opción del filtro de captura puede ser ejecutado haciendo clic en el icono del menú “Edit Capture Filter” o Editar filtro de captura. De manera alterna, puede también ser ejecutado haciendo clic en “Capture -> Options” o Captura -> Opciones. Luego de lo cual se visualizará la ventana correspondiente.

Se puede ingresar opciones de filtrado en el campo de nombre “Capture Filter” o Filtro de Captura. También es factible hacer clic sobre “Capture Filter” y almacenar la regla de filtro de captura para uso futuro.

La pregunta ahora es ¿Cómo escribir una regla de filtrado?. Las reglas WinPcap para captura de paquetes siguen un patrón definido.

Por ejemplo; para capturar paquetes TCP donde el puerto origen es el 443, se puede utilizar la siguiente regla:

tcp src port 443

Para capturar ya sea tráfico entrante y saliente sobre el puerto 80 (HTTP), se puede utilizar la siguiente regla.

port 80

Para capturar paquetes donde la dirección IP origen es 72.21.91.29 y el número de puerto es el 80, se puede utilizar la siguiente regla.

src 72.21.91.29 and port 80

De esta manera se puede combinar diferentes condiciones para crear un filtro propio de captura y reducir el tráfico. Si no se aplica un filtro de captura, entonces todos los paquetes de red fluyendo a través de la interfaz serán capturados por Wireshark

Filtros de muestra

Los filtros de muestra también tienen un estructura definida. Por ejemplo; para visualizar los paquetes TCP capturados sobre el puerto 443 se puede utilizar el siguiente filtro de muestra.

tcp.port==443

El siguiente filtro mostrará únicamente los paquetes de una dirección IP en particular.

ip.addr==31.13.65.36

Ahora ya se puede realizar de manera rápida y fácil ambos tipos de filtros.

Fuentes:

https://www.wireshark.org/
https://www.wireshark.org/docs/wsug_html_chunked/
http://www.winpcap.org/docs/docs_40_2/html/main.html