Criando filtros no WireShark

O WireShark é o mais famoso e usado capturados de pacotes. Você pode baixar a mais recente versão em http://www.wireshark.org
Quando iniciamos a captura em poucos instantesteremos milhares de pacotes capturados.
para facilitar a leitura do dados capturados é importante conhecer alguns filtros:

Os filtros podem ser criados digitando diretamente no campo Filter

Por exemplo para filtrar todos os pacotes do protocolo HTTP, basta digitar http ou para filtrar os pacotes de DNS digite simplesmente DNS.

O jeito mais facil de fazer filtros é clicando em “Expression”

Na janela Expression você pode escolher inumeros campos para iniciar o filtro.
Se você procurar um determinado protocolo inicie digitando por exemplo “http” ou “IP”.

Neste exemplo vou iniciar digitando IP e logo uma lista de campos iniciando com IP aparece. Vou selecionar IPv4 e em IPv4 o campo ip.addr

Agora em Relation podemos escolher entre:

Vou selecionar igual == e  no campo Value basta digitar o endereço IP e clicar em OK.

Uma vez criado o filtro, basta selecionar Apply quando não desejar mais clique em Clear.

Quando estamos trabalhando com analise de pacotes, é importante filtrar o maximo e podemos fazer também uma combinação das expressões que criarmos.
Podemos usar:

Por exemplo, que “não” seja o ip 172.10.0.98 como origem ou destino e que seja http como protocolo.
ip.addr!=172.10.0.98 && http

Ip de origem 10.0.0.5 com as flags fin
ip.src==10.0.0.5 && tcp.flags.fin

Você pode baixar também uma lista de filtros pré-definidos http://packetlife.net/media/library/13/Wireshark_Display_Filters.pdf

Artigo escrito em colaboração com www.infosecbrasil.org .
Curta nossa fanpage. fb.com/infosecbrasil