El lenguaje de filtro de visualización de Wireshark le permite controlar los paquetes que la plataforma muestra actualmente. Normalmente, utilizará filtros de visualización para comprobar la presencia de un protocolo o campo. Sin embargo, también puede usarlos para comparar paquetes utilizando operadores lógicos, como “y” y “o”.

Es fácil confundir el filtro de pantalla de Wireshark con su filtro de captura. En este artículo se explica cómo utilizar el filtro de visualización de plataforma tanto en PC como en Mac. También analiza la diferencia entre los filtros de visualización y los filtros de captura en Wireshark.

Cómo usar el filtro de visualización en Wireshark en una PC con Windows

Es bastante simple usar el filtro de pantalla de Wireshark en una PC. La plataforma proporciona un campo en la parte superior de la pantalla que le permite explicar rápidamente los paquetes que desea mostrar. Normalmente, verá los paquetes en función de los siguientes criterios:

  • Protocolo
  • Valores de campo
  • Presencia de un campo
  • Comparaciones entre campos

Sin embargo, la función de campo de visualización permite un uso más complejo.

Hay dos métodos para usar el filtro de visualización en Wireshark en una PC con Windows.

Método 1 – Entrada de filtro directo

Suponiendo que solo desea ver un protocolo, siga estos pasos.

  1. Busque y haga clic en la barra de herramientas del filtro de visualización en Wireshark.
  2. Escriba el nombre del protocolo en la barra de herramientas. Por ejemplo, escriba “tcp” si desea mostrar todos los paquetes TCP.
  3. Pulse “Intro” para aplicar el filtro elegido. También puede hacer clic en “Aplicar” después de ingresar su expresión de filtro.

Ahora debería ver wireshark mostrar los paquetes en función del filtro que ha elegido. Todos estos paquetes permanecen en su archivo de captura asociado. Un filtro de visualización no cambia el contenido de un archivo de captura. Muestra los paquetes correspondientes al filtro que está aplicando.

Si desea eliminar el filtro que aplicó, haga clic en el botón Borrar. Se encuentra a la derecha de la barra de herramientas del filtro de visualización.

Método n°2 – La barra de estadísticas

Este método le permite aplicar un filtro sin tener que escribir directamente en la barra de herramientas del filtro de visualización.

  1. Localice “Estadísticas” en el menú superior y haga clic en él.
  2. Seleccione una de las opciones de la lista desplegable. Para esta demostración, elija “Endpoints”
  3. Debería aparecer una ventana emergente que muestre el informe de endpoint con direcciones MAC. Haga clic derecho en una de las direcciones y seleccione “Aplicar como filtro”.
  4. Haga clic en “Seleccionado”.

La sintaxis de su elección se introduce automáticamente en la barra de herramientas del filtro de visualización.

Cómo usar el filtro de pantalla en Wireshark en una Mac

Wireshark en una Mac le permite usar un filtro de visualización para mostrar paquetes basados en un conjunto de opciones y expresiones, incluidos protocolos, comparaciones de campos, valores de campo y más. Hay dos formas de usar el filtro de visualización en una Mac.

Método #1 – La barra de herramientas del filtro de visualización

Los siguientes pasos le permiten ver un protocolo simple. Es posible utilizar una variedad de operadores para crear filtros más complejos, suponiendo que tenga un conocimiento profundo de Wireshark. Siga estos pasos para obtener un filtro de visualización de protocolo simple.

  1. Haga clic en la barra de herramientas del filtro de visualización en la parte superior de la pantalla. Este es el cuadro de texto junto a la palabra “Filtro”.
  2. Ingrese el nombre del protocolo y haga clic en el botón “Aplicar”.

Wireshark muestra cada paquete relacionado con el protocolo introducido que se encuentra en el filtro de captura actual. Haga clic en el botón Borrar situado junto a la barra de herramientas del filtro de visualización para eliminar el filtro y volver a mostrar todos los paquetes.

Método #2 – La barra de estadísticas

Si no sabe la expresión exacta que debe introducir para su filtro, hay un método más simple que puede aplicar en algunos casos. En el ejemplo siguiente se muestra cómo crear un filtro de visualización mediante un extremo. También se puede aplicar a varios otros tipos de expresiones y protocolos. Siga estos pasos para crear un filtro de visualización de extremos.

  1. Haga clic en “Estadísticas” en la barra de menú superior.
  2. Seleccione “Endpoints”.
  3. Navegue hasta el punto final que desea filtrar en el cuadro emergente, haga clic con el botón derecho y resalte “Aplicar como filtro”.
  4. Elija “Seleccionado”.

Debería ver wireshark introducir automáticamente la sintaxis de su elección en la barra de herramientas del filtro de visualización. La plataforma también mostrará los paquetes relevantes para el punto final que ha elegido.

Preguntas frecuentes adicionales

¿Cuál es la diferencia entre un filtro de visualización y un filtro de captura?

Wireshark le permite utilizar filtros de visualización y filtros de captura para navegar a través de sus paquetes. Es fácil confundir estos filtros. Sin embargo, sirven para diferentes propósitos y su uso requiere diferentes sintaxis.

Un filtro de visualización se utiliza cuando ha capturado todo lo que necesita y desea mostrar paquetes específicos para su análisis.

Los filtros de captura son más limitados que los filtros de visualización. Reducen el tamaño de una captura de paquetes sin procesar y deben configurarse antes de iniciar el proceso de captura de paquetes. Normalmente, utilizará filtros de captura si desea aplicar un comando para devolver o eliminar tipos específicos de paquetes de una captura. Los filtros de captura no se pueden cambiar durante el proceso de captura.

Los filtros de visualización y los filtros de captura también difieren en la sintaxis que utilizan.

Con un filtro de visualización, se utiliza una combinación de filtros booleanos y operadores para crear una descripción lógica del filtro que desea crear. Los ejemplos incluyen “==” y “!=” que significan igual y no igual respectivamente.

Los filtros de captura utilizan una sintaxis más complicada que combina máscaras, desvíos de bytes y valores hexadecimales con el lenguaje de filtrado booleano. Esto hace que los filtros de captura sean menos intuitivos que los filtros de visualización, pero también significa que puede usarlos para aplicar filtros más complejos.

Aplica tus filtros

La función de filtro de pantalla de Wireshark le permite realizar comprobaciones rápidas de los paquetes en su captura. Es ideal para capturas grandes cuando necesita eliminar todo el ruido en su pantalla para analizar protocolos o campos específicos. Wireshark proporciona información detallada sobre los diversos modificadores de filtro y expresiones para el filtro de visualización a través de su wiki.

Pero ahora queremos saber tu opinión. ¿Con qué frecuencia necesita escanear paquetes específicos en Wireshark? ¿Crees que usar el filtro de visualización te ayudará a ser más eficiente cuando uses la plataforma? Háganos saber lo que piensa del filtro de visualización de Wireshark en los comentarios a continuación.