WIRESHARK - Lista de filtros importantes é um artigo voltado para nossos clientes que precisam analisar fluxo de dados na rede de áudio, vídeo e automação, lembrando que os comandos indicados aqui são case sensitive.
Antes de começar o scan de sua rede, customize a tela de scan do Wireshark.
Algumas ações neste sentido envolvem os seguintes passos:
1- Encerre a execução de navegadores web e outros softwares que possam poluir sua leitura de rede. Deixe abertos apenas os software que de fato são relevantes em sua leitura e também deixe apenas páginas web que sejam realmente necessárias.
2- Exiba a coluna TIME OF THE DAY. Assim, você conseguirá ver o fluxo de pacotes indicados com hora, minutos e segundos do momento de captura:
FILTROS IMPORTANTES PARA QUEM TRABALHA COM ÁUDIO, VIDEO E CONTROLE VIA IP:
Encontrar todos os IGMP QUERIER presentes na VLAN ativa para scan (atenção, pode ser que demore um pouco para mostrar o resultado, então, deixe passar pelo menos 5 minutos de scan antes de encerrar a leitura com este filtro):
igmp.type == 17
Filtrar tráfego multicast:
eth.dst contains 01:00:5e
Filtrar pacotes de um endereço IP específico, tanto de origem quanto de destino:
No exemplo abaixo indicamos o endereço IP 192.168.0.65, sendo assim, ao rodar o Wireshark ele mostrará na tela apenas pacotes que correspondam a este endereço IP:
ip.addr == 192.168.0.65
***
No exemplo abaixo filtraremos pacotes do endereço IP FONTE 192.168.2.74:
ip.src == 192.168.2.74
***
No exemplo abaixo filtraremos pacotes do endereço IP DESTINO 192.168.3.89:
ip.dst == 192.168.3.89
Filtrar todos os pacotes que contém mac address de um certo fabricante:
No exemplo abaixo, buscando o fabricante EQUIPSON:
eth contains 00:25:80
Filtrar todo o fluxo BROADCAST na rede:
eth.dst == ff:ff:ff:ff:ff:ff
Filtrar endereços IP duplicados na rede:
arp.duplicate-address-detected
Filtrar uma porta específica, por exemplo, a porta 33333:
udp.port == 33333
Filtrar níveis de QOS (exemplo com nível 46):
ip.dsfield.dscp == 46
Filtrar se há um servidor DHCP ativo na rede:
bootp: Este filtro é o mais comum e abrangente para capturar todos os pacotes relacionados ao protocolo DHCP (Dynamic Host Configuration Protocol). Inclui tanto os pacotes DHCP como os BOOTP (Bootstrap Protocol), que é um protocolo mais antigo do qual o DHCP evoluiu.
udp.port == 67: O DHCP utiliza a porta UDP 67 para oferecer endereços IP. Este filtro isola o tráfego nessa porta específica.
Filtro para encontrar Endereço IP duplicado, indicado em dois equipamentos com mac address diferentes:
arp.duplicate-address-detected
OBS: ARP permite estabelecer relação entre endereço MAC e endereço IP. Assim, se você indicar apenas o termo "arp" no filtro de tela do Wireshark, você visualizará requests e replies de arp, buscando estas relações. Exemplo:
Filtro para excluir um endereço IP específico de uma leitura:
Exemplo: Para excluir todos os pacotes relacionados ao endereço IP 192.168.0.70, você usaria:
!ip.addr== 192.168.0.70
Para excluir algum protocolo da leitura na tela do Wireshark, indique um ponto de exclamação primeiro e, entre parênteses, indique o protocolo (ou os protocolos) a serem ignorados na leitura:
!(tcp or dns)