27 ene 2014

Wireshark: Más que una pantalla principal (Parte II)

En el artículo pasado vimos como Wireshark es más que una cara bonita. Uno de los objetivos de la serie es ver funcionalidades que nos puede aporta esta magnífica herramienta, y que en el día a día quizá no utilicemos. 

Wireshark puede realizar gestión de archivos para las capturas, y esto es interesante para que los ficheros no crezcan de manera indefinida. Para entender esto vamos a ver que opciones tenemos en la interfaz para gestionar archivos. Se puede indicar al sniffer que utilice múltiples archivos para almacenar el tráfico recogido. Las opciones que aporta la opción de múltiples archivos son:
  • Se creará un nuevo archivo después de un número determinado de KB, MB o GB
  • Se creará un nuevo archivo después de un número determinado de minutos. 
  • Otras opciones interesantes son la finalización de la captura después de generar un número determinado de archivos o se sobrescribirán después de un número determinado de ficheros. 

Por otro lado, se disponen de los filtros display, los cuales ya nombramos en el anterior artículo. Para utilizarlos se debe indicar, por ejemplo, el protocolo del que se quiere filtrar paquetes: http, tcp, arp, ip, etcétera. Cada protocolo dispone de los denominados atributos, a los cuales se accede a través del punto, por ejemplo http.content_type == “application/pdf”. Este filtro solo mostrará los paquetes del protocolo HTTP que tengan un content_type de PDF, es decir, internamente albergará un archivo PDF o parte de él. 

Los filtros son evaluaciones lógicas, por lo que al final se pueden concatenar con el fin de afinar los filtros o búsquedas de ocurrencias. Los operadores son los siguientes:
  • Operador and. Solo se mostrarán los paquetes que cumplan ambas condiciones, por ejemplo http && ip.src == 192.168.1.40. Este filtro de ejemplo mostrará los paquetes que en el nivel de aplicación tenga HTTP como protocolo, y además tenga como dirección IP de origen la dirección 192.168.1.40. 
  • Operador or. En este caso se mostrarán los paquetes que cumplan al menos una de las condiciones, por ejemplo arp || http contains “Cookie”. Este filtro mostrará los paquetes de tipo ARP o paquetes de tipo HTTP que contengan el campo Cookie. En este caso no se podría dar las dos condiciones nunca, pero vale con una de las dos.
  • Operador not. En este último caso el operador not niega el resultado obtenido de un filtro normal, por ejemplo http.content_type == “application_pdf” && not arp. Este filtro mostrará los paquetes de tipo HTTP que contengan un trozo o un archivo de PDF y que además los paquetes no sean de tipo ARP. Es un ejemplo absurdo pero que ejemplifica claramente la negación.
Los operadores lógicos se encuentran disponibles para los filtros de captura que vimos en el primer artículo. Aunque hay que recordar que los filtros cambian. 

Hasta aquí la segunda parte de Wireshark, en la que vemos que es más que una cara bonita.



No hay comentarios:

Publicar un comentario