Wireshark / Tshark.

Filtrando con frame y

frame.protocols.
Publicado el 17 noviembre, 2010de Alfon

Ya hemos visto y estudiado, usando Wireshark / Tshark, las mltiples formas que
tenemos de extraer informacin, datos binarios, datos de impresin de red y uso de
filtros tanto de captura como de visualizacin y como crear y aplicar estos filtros.

En esta ocasin vamos a ver como filtrar en

Wireshark usando frame yframe.protocol para visualizar los datos que
necesitemos.

El filtro frame.

Este filtro de visualizacin, explicado de forma sencilla, nos proporciona una

manera de filtrar a partir de los datos de un determinado frame, traza o paquete. Se
trata de filtrar los datos que son caractersticas propias de un paquete como tal.
Por ejemplo y para entenderlo mejor:

frame.number>=40

visualizar solo desde el paquete 40 includo ste.

si en Tshark hacemos lo siguiente, por ejemplo:
tshark -r captura009.pcap -V -R frame.number == 40
tendremos toda la informacin, completa del frame 40 del archivo de captura
indicado.
Tambin podemos especificar un rango:
frame.number>=40&&frame.number<=100

frame.marked

visualizar solo los paquetes que estn marcados.

frame.len>10000

visualizar los paquetes cuyo tamao total sean mayor de 1000 bytes
frame.coloring_rule.name == HTTP

visualizar los paquetes con el nombre HTTP para coloring rule. (ms adelante
veremos que es esto).

frame.time_delta > 2
visualizar los paquetes cuyo time delta sean mayor de 2 seg.

frame.time > Sep 13, 2010 11:56:25.348411000

visualizar los frames o paquetes que cumplan la condicin de tiempo indicado
pero en formato de tiempo absoluto. No se puede usar contains.

El filtro frame.protocols.
Este filtro, opcin de frame como las anteriores, nos proporciona una manera de
filtrar a partir de los datos de protocolos involucrados en un frame, traza o paquete
capturado y a partir de ah todo lo que queramos. Vamos a verlo, como siempre,
con la prctica y ejemplos.
Queremos visualizar los paquetes que contienen datos (data) :

frame.protocols contains data

Dentro del data queremos buscar algo:

frame.protocols contains data && data contains

www.daboblog.com

Podemos filtrar por protocolo:

frame.protocols contains udp

frame.protocols contains udp and udp.port == 53

Vamos a visualizar los frames o paquetes que contengan los siguintes protocolos y
caractersticas: ethernet, IP, TCP y contengan el campo data:

frame.protocols contains raw:ip:tcp:data

Vamos a realizar unas bsqueda algo ms profunda.:

frame.protocols contains eth:ip:udp:dns && dns.flags == 0x100

frame.protocols contains eth:ip:udp:dns && dns.flags == 0x100

&&dns.qry.name contains google

===
Esto es todo por hoy. Hasta la prxima..