LabEx
Iniciar SesiónÚnete Gratis

¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En el ámbito de la Ciberseguridad (Cybersecurity), comprender las herramientas y técnicas utilizadas para el análisis de redes es fundamental. Wireshark, un analizador de protocolos de red ampliamente adoptado, ofrece funciones poderosas para ayudar a los profesionales de la seguridad a monitorear y solucionar problemas de tráfico de red de manera efectiva. Este tutorial profundizará en las diferencias entre los filtros de captura y los filtros de visualización en Wireshark, brindándote el conocimiento necesario para aprovechar estas herramientas para mejorar el monitoreo de la Ciberseguridad y la respuesta a incidentes.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/installation("Installation and Setup") wireshark/WiresharkGroup -.-> wireshark/interface("Interface Overview") wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/capture_filters("Capture Filters") wireshark/WiresharkGroup -.-> wireshark/colorizing_rules("Colorizing Rules") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") subgraph Lab Skills wireshark/installation -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} wireshark/interface -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} wireshark/packet_capture -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} wireshark/display_filters -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} wireshark/capture_filters -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} wireshark/colorizing_rules -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} wireshark/protocol_dissection -.-> lab-415622{{"¿Cuál es la diferencia entre el filtro de captura y el filtro de visualización en Wireshark?"}} end

Introducción a Wireshark

Wireshark es un potente analizador de protocolos de red que te permite capturar, analizar y solucionar problemas de tráfico de red. Es una herramienta ampliamente utilizada en el campo de la ciberseguridad (cybersecurity) para comprender la comunicación de red, identificar problemas de seguridad e investigar incidentes relacionados con la red.

¿Qué es Wireshark?

Wireshark es una aplicación de software de código abierto que proporciona una interfaz gráfica de usuario (GUI, por sus siglas en inglés) para capturar, analizar y solucionar problemas de tráfico de red. Está disponible para varios sistemas operativos, incluyendo Windows, macOS y Linux.

Características principales de Wireshark

  • Captura de paquetes: Wireshark puede capturar tráfico de red desde varias interfaces de red, incluyendo conexiones cableadas y inalámbricas.
  • Análisis de paquetes: Wireshark puede decodificar y analizar el tráfico de red capturado, proporcionando información detallada sobre los protocolos, encabezados y carga útil de cada paquete.
  • Desglose de protocolos: Wireshark admite una amplia gama de protocolos de red y puede proporcionar información detallada sobre la estructura y el comportamiento de cada protocolo.
  • Filtrado y búsqueda: Wireshark ofrece potentes capacidades de filtrado y búsqueda, lo que permite a los usuarios centrarse en tipos específicos de tráfico o encontrar información relevante dentro de los datos capturados.
  • Visualización: Wireshark proporciona varias herramientas de visualización, como gráficos basados en el tiempo y diagramas de jerarquía de protocolos, para ayudar a los usuarios a comprender el tráfico de red.

Instalación y uso de Wireshark

Para usar Wireshark, debes instalarlo en tu sistema. Aquí tienes un ejemplo de cómo instalar Wireshark en un sistema Ubuntu 22.04:

sudo apt-get update
sudo apt-get install wireshark

Una vez instalado, puedes iniciar Wireshark desde el menú de aplicaciones o ejecutando el comando wireshark en la terminal.

Filtros de captura en Wireshark

Los filtros de captura en Wireshark se utilizan para controlar qué tráfico de red se captura y almacena para su análisis. Al aplicar filtros de captura, puedes centrarte en tipos específicos de tráfico, reduciendo la cantidad de datos capturados y mejorando la eficiencia de tu análisis.

Comprender los filtros de captura

Los filtros de captura se basan en un poderoso lenguaje de filtrado llamado "Sintaxis de filtro de visualización de Wireshark" (Wireshark Display Filter Syntax). Esta sintaxis te permite crear filtros complejos que se dirigen a protocolos específicos, direcciones IP, números de puerto y otras características de red.

Aplicar filtros de captura

Para aplicar un filtro de captura en Wireshark, sigue estos pasos:

  1. Abre Wireshark y haz clic en el menú "Capture" (Captura).
  2. Selecciona "Capture Filters" (Filtros de captura) para abrir la ventana de configuración de filtros de captura.
  3. Haz clic en el botón "+" para agregar un nuevo filtro de captura.
  4. Ingresa un nombre descriptivo para el filtro y la expresión del filtro.
  5. Haz clic en "OK" para guardar el filtro y cerrar la ventana.
  6. Inicia la captura haciendo clic en el botón "Start" (Iniciar) en la ventana principal de Wireshark.

Aquí tienes un ejemplo de un filtro de captura que captura solo el tráfico HTTP:

tcp.port == 80 or tcp.port == 443

Este filtro capturará todo el tráfico de red en los puertos 80 (HTTP) y 443 (HTTPS).

Sintaxis de los filtros de captura

La sintaxis de los filtros de captura de Wireshark se basa en el lenguaje Berkeley Packet Filter (BPF). La sintaxis te permite crear filtros complejos utilizando una variedad de operadores y expresiones, como:

  • Filtros de protocolo: tcp, udp, icmp, etc.
  • Filtros de puerto: tcp.port == 80, udp.port == 53
  • Filtros de dirección IP: ip.src == 192.168.1.100, ip.dst == 8.8.8.8
  • Operadores lógicos: and, or, not

Puedes encontrar una lista completa de expresiones de filtros de captura en la documentación de Wireshark.

Filtros de visualización en Wireshark

Los filtros de visualización en Wireshark se utilizan para controlar qué tráfico de red capturado se muestra en la ventana principal de Wireshark. Mientras que los filtros de captura determinan qué tráfico se captura, los filtros de visualización te permiten centrarte en tipos específicos de tráfico para su análisis.

Comprender los filtros de visualización

Los filtros de visualización se basan en el mismo poderoso lenguaje de filtrado utilizado para los filtros de captura, la "Sintaxis de filtro de visualización de Wireshark" (Wireshark Display Filter Syntax). Esta sintaxis te permite crear filtros complejos que se dirigen a protocolos específicos, direcciones IP, números de puerto y otras características de red.

Aplicar filtros de visualización

Para aplicar un filtro de visualización en Wireshark, sigue estos pasos:

  1. Abre Wireshark y captura algún tráfico de red.
  2. En la ventana principal de Wireshark, localiza el campo de entrada del filtro de visualización, generalmente en la parte superior de la ventana.
  3. Ingresa tu expresión de filtro de visualización y presiona Enter.

Aquí tienes un ejemplo de un filtro de visualización que muestra solo el tráfico HTTP:

http

Este filtro mostrará solo los paquetes capturados que estén utilizando el protocolo HTTP.

Sintaxis de los filtros de visualización

La sintaxis de los filtros de visualización en Wireshark es similar a la sintaxis de los filtros de captura, pero con algunas características y capacidades adicionales. Algunas expresiones comunes de filtros de visualización incluyen:

  • Filtros de protocolo: tcp, udp, icmp
  • Filtros de puerto: tcp.port == 80, udp.port == 53
  • Filtros de dirección IP: ip.src == 192.168.1.100, ip.dst == 8.8.8.8
  • Operadores lógicos: and, or, not
  • Filtros específicos de campo: http.request.method == "GET", dns.qry.name contains "example.com"

Puedes encontrar una lista completa de expresiones de filtros de visualización en la documentación de Wireshark.

Combinar filtros de captura y de visualización

Es importante tener en cuenta que los filtros de captura y los filtros de visualización tienen propósitos diferentes. Los filtros de captura determinan qué tráfico se registra, mientras que los filtros de visualización determinan qué tráfico se muestra en la interfaz de Wireshark.

En muchos casos, es posible que desees utilizar tanto los filtros de captura como los de visualización juntos para optimizar tu flujo de trabajo de análisis. Por ejemplo, puedes utilizar un filtro de captura para limitar la cantidad de datos recopilados y luego utilizar un filtro de visualización para centrarte en tipos específicos de tráfico dentro de los datos capturados.

Resumen

Este tutorial ha explorado las diferencias entre los filtros de captura y los filtros de visualización en Wireshark, una herramienta esencial de Ciberseguridad (Cybersecurity) para el análisis y solución de problemas de redes. Al comprender los roles y aplicaciones distintas de estos filtros, ahora puedes utilizar eficazmente Wireshark para mejorar tus capacidades de monitoreo de Ciberseguridad y respuesta a incidentes, fortaleciendo en última instancia la postura de seguridad general de tu organización.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante