Cómo filtrar por dirección IP en Wireshark

Los administradores de red encuentran una amplia gama de problemas de red mientras realizan su trabajo. Siempre que haya una acción sospechosa o la necesidad de evaluar un segmento de red en particular, las herramientas de análisis de protocolos como Wireshark pueden resultar útiles. Una característica particularmente útil es el filtrado de paquetes de red por direcciones IP.

Cómo filtrar por dirección IP en Wireshark

Si es la primera vez que lo usa, puede que le resulte un poco difícil configurar los pasos para hacerlo por su cuenta. Afortunadamente, hemos reunido esta guía definitiva sobre cómo filtrar por IP en Wireshark. Saldrá sabiendo la diferencia entre sus dos lenguajes de filtrado, aprendiendo nuevas cadenas de filtros y mucho más.

Lo mejor es que solo necesitará ayuda para realizar estos pasos la primera vez. ¡Cada actuación siguiente será pan comido!

¿Qué es Wireshark?

Wireshark es un analizador de paquetes de red que domina el espacio de la industria desde hace bastante tiempo. Ha sido excelente hasta el punto de dejar de lado muchas herramientas similares, incluido Microsoft Network Monitor. Las dos características principales que hicieron famoso a Wireshark son su flexibilidad y facilidad de uso.

Los analizadores de paquetes de red son herramientas que capturan y analizan el tráfico de datos con el mayor detalle posible en canales de comunicación específicos. Sirven como herramientas de diagnóstico definitivas para sistemas integrados.

Wireshark viene con la capacidad de primer nivel para filtrar paquetes durante la captura y el análisis con diferentes niveles de complejidad. Esto lo hace igualmente conveniente tanto para principiantes como para profesionales de monitoreo de redes. Wireshark también ingiere y analiza el tráfico de varios otros analizadores de protocolos, lo que facilita la revisión del tráfico pasado en puntos específicos.

Antes de Wireshark, las herramientas de rastreo de red solían ser muy caras o propietarias. Todo eso cambió con la llegada de esta aplicación. El software es de código abierto y es compatible con todas las plataformas principales. Esto trajo a Wireshark mucho apoyo de la comunidad, eliminando el costo como una barrera y dejando espacio para una amplia gama de oportunidades de capacitación.

He aquí por qué la gente puede querer usar Wireshark:

  • Solución de problemas de red
  • Examinando problemas de seguridad
  • Examen de aplicaciones de red
  • Implementaciones de protocolo de depuración
  • Aprender sobre las partes internas del protocolo de red

Wireshark se puede descargar gratis. En caso de que aún no lo hayas hecho, puedes hacerlo aquí. Simplemente descargue el ejecutable y haga clic en el archivo para instalarlo.

La interfaz de usuario de Wireshark

Después de descargar e instalar Wireshark, puede acceder a él desde su shell local o administrador de ventanas. Una de las primeras cosas que debe hacer es elegir una interfaz de red de la lista de redes en los adaptadores de su computadora.

Puedes hacer clic en Capturadespués Interfaces del menú y seleccione la opción adecuada.

1672005608 764 Como filtrar por direccion IP en Wireshark

La ventana principal de la interfaz de Wireshark consta de varias partes:

  • Menú: se utiliza para iniciar acciones.
  • Barra de herramientas principal: acceso rápido a los elementos que usa con frecuencia desde el menú
  • Barra de herramientas de filtro: puede establecer filtros de visualización aquí
  • Panel de lista de paquetes: resúmenes de paquetes capturados
  • Panel de detalles: más información sobre el paquete seleccionado del carril de paquetes
  • Panel de bytes: datos del paquete del panel de la lista de paquetes, resaltando el campo elegido en ese panel
  • Barra de estado: datos capturados e información sobre el estado del programa en curso

Puede controlar las listas de paquetes y navegar por los detalles completamente con su teclado. Hay una tabla que muestra los comandos de atajos de teclado comunes aquí.

¿Cómo agregar filtros en Wireshark?

Él Filtrar barra de herramientas es donde puede personalizar y ejecutar nuevos filtros de visualización.

Para crear y editar filtros de captura, vaya a Administrar filtros de captura desde el menú de marcadores o navegue hasta Capturadespués Filtros de captura desde el menú principal.

1672005608 634 Como filtrar por direccion IP en Wireshark

Para crear y editar filtros de visualización, seleccione Administrar filtros de visualización desde el menú de marcadores o vaya al menú principal y seleccione Analizardespués Filtros de visualización.

1672005608 664 Como filtrar por direccion IP en Wireshark

Verá una sección de entrada de filtro con un fondo verde. Esta es el área donde ingresa y edita las cadenas de filtro de visualización. Aquí también puede ver el filtro aplicado actualmente. Simplemente haga clic en el nombre del filtro o haga doble clic en la cadena para editarlo.

1672005609 937 Como filtrar por direccion IP en Wireshark

Mientras escribe, el sistema realizará una verificación del sistema de la cadena de filtro. Si ingresa uno inválido, el fondo cambia de verde a rojo. Siempre golpea el Solicitar botón o el Ingresar clave para aplicar la cadena de filtro.

Puede agregar un nuevo filtro haciendo clic en el Agregar botón, que es un signo más negro sobre un fondo gris claro. Otra forma de agregar un nuevo filtro es hacer clic derecho en el área del botón de filtro. Para eliminar un filtro, haga clic en el botón menos. El botón menos aparecerá atenuado si no hay ningún filtro seleccionado.

¿Cómo filtrar por dirección IP en Wireshark?

Una característica excelente de Wireshark es que te permite filtrar paquetes por direcciones IP. Simplemente siga los pasos a continuación para obtener instrucciones sobre cómo hacerlo:

  1. Comience haciendo clic en el botón más para agregar un nuevo filtro de visualización.
    1672005609 233 Como filtrar por direccion IP en Wireshark
  2. Ejecute la siguiente operación en el cuadro Filtro: ip.dirección==[IP address] y golpear Ingresar.
    1672005610 868 Como filtrar por direccion IP en Wireshark
  3. Tenga en cuenta que el carril de la lista de paquetes ahora solo filtra el tráfico que va hacia (destino) y desde (origen) la dirección IP que ingresó.
    1672005610 798 Como filtrar por direccion IP en Wireshark
  4. Para borrar el filtro, haga clic en el Claro botón en la barra de herramientas Filtro.
    1672005611 448 Como filtrar por direccion IP en Wireshark

IP de origen

Puede restringir la vista de paquetes a aquellos con direcciones IP de origen particulares que aparecen en ese filtro. Simplemente ejecute el siguiente comando en el cuadro de filtro y presione Ingresar:

ip.src == [IP address]

IP de destino

Puede aplicar filtros de destino para restringir la vista de paquetes a aquellos con una IP de destino específica que se muestra en el filtro.

El comando es el siguiente:

ip.dst == [IP address]

Filtro de captura frente a filtro de visualización

Wireshark admite dos lenguajes de filtrado: filtros de captura y filtros de visualización. El primero se usa para filtrar mientras se capturan paquetes. Estos últimos filtran los paquetes mostrados. Con los filtros de visualización, puede centrarse en los paquetes que le interesan y ocultar los que no son importantes actualmente. Puede mostrar paquetes en función de varios factores:

  • Protocolo
  • Presencia de campo
  • Valores de campo
  • Comparación de campo

Los filtros de visualización usan una sintaxis de operador booleano y campos que describen los paquetes que está filtrando. Una vez que crea algunos filtros de visualización, se vuelve fácil escribirlos. Los filtros de captura son un poco menos intuitivos ya que son crípticos.

Aquí hay una descripción general de las características y usos de cada filtro:

Filtros de captura:

  • Se configuran antes de empezar a captar tráfico
  • Imposible de cambiar durante la captura de tráfico
  • Se utiliza para la captura de tipos de tráfico específicos

Mostrar filtros:

  • Reducen los paquetes que se muestran en Wireshark
  • Se puede personalizar durante la captura de tráfico
  • Se utiliza para ocultar el tráfico para evaluar tipos de tráfico específicos

Para obtener más información sobre el filtrado durante la captura, visite esta página.

Preguntas frecuentes adicionales

¿Cómo filtro Wireshark por URL?

Puede buscar URL HTTP dadas en la captura en Wireshark usando la siguiente cadena de filtro:

http contiene “[URL]. “

Tenga en cuenta que no puede utilizar el contiene operadores en campos atómicos (números, direcciones IP).

¿Cómo filtro Wireshark por número de puerto?

Puede usar el siguiente comando para filtrar Wireshark por número de puerto:

Tcp.puerto eq [port number].

¿Cómo funciona Wireshark?

Wireshark es una herramienta de rastreo de paquetes de red. Analiza los paquetes de red mediante el uso de una conexión a Internet y registra los paquetes que viajan a través de ella. Luego proporciona a los usuarios la información sobre esos paquetes, incluido su origen, destino, contenido, protocolos, mensajes, etc.

Pasando al 007 en Network Sniffing

Gracias a Wireshark, los ingenieros y administradores de redes ya no tienen que preocuparse por perder herramientas de diagnóstico para problemas esenciales de la red. Las características convenientes y de fácil acceso del programa hacen que sea mucho más sencillo evaluar las vulnerabilidades de la red y realizar la resolución de problemas.

Después de leer nuestro artículo, ahora debería poder notar la diferencia entre las diferentes opciones de filtro en el programa relacionadas con el filtrado de IP. También aprendió las expresiones de cadena básicas para filtrar por IP y mucho más. Con suerte, esto ayudará a resolver cualquier problema de red que pueda encontrar.

¿Qué otras funciones utiliza con frecuencia en Wireshark? ¿Qué cree que hace que Wireshark se destaque de la competencia? Comparta sus pensamientos en la sección de comentarios a continuación.