Wireshark / Tshark. Filtros HTTP. Parte 2

Publicado el 3 septiembre, 2010 por Alfon

Ya comenté en Wireshark / Tshark. Filtros HTTP. que a lo largo de los muchos artículos dedicados a Wireshark y Tshark, hemos estudiado la diferentes formas que tenemos para establcer filtros, ya sean de filtros de captura o visualización.

Hemos visto también, referido al protocolo HTTP: Wireshark. Extracción ficheros binarios y Objetos HTTP.

En esta segunda y última parte parte seguimos viendo otros filtros HTTP y formas de aplicación.

http.request.uri

Se refiere a la petición URI (Identificador Uniforme de Recursos):

Wireshark / Tshark http.request.uri filtro.

Bien, vamos a aplicar un filtro sencillo para  que veáis para que podemos aplicarlo.

Queremos filtrar para visualizar solo los paquetes que contenga en la URI todo lo relacionado con flash (.swf). Aplicamos entonces lo siguiente:

http.request.uri contains «swf»:

Wireshark / Teshark http.request.uri contains filtro

Otros filtros que podríamos aplicar:

  • http.request.uri contains «flv»
  • http.request.uri contains «png»

También podemos usuar expresiones regulares:

  • http.request.uri matches «[0-9].flv$»

http.host

Se refiere a la información de host al que se realiza la petición:

wireshark / Tshark http.host contains filtro

.

Otros filtros y formas de aplicarlos.

Para otros filtros HTTP la forma de aplicarlos sigue las misma estructura y variantes:

http.accept_language contains «es-es»

http.referer contains «www.bbc»

http.encoding contains «gzip»

Podemos usar el formato Hexadecimal para aplicar, por ejemplo:

http.request.method == 47.45.54  que es lo mismo que http.request.method == «GET»

Statistics HTTP. Requests…

Desde Wireshark podemos usar, desde el menú principal:

Statistics > HTTP > Requests…:

.

Wireshark Statistics HTTP Requests. Seguridad y Redes. alfon.

Una relación de filtros disponibles:

  • http.accept
  • http.proxy_authorization
  • http.accept_encoding
  • http.proxy_connect_host
  • http.accept_language
  • http.proxy_connect_port
  • http.authbasic http.referer
  • http.authorization http.request
  • http.cache_control
  • http.request.method
  • http.connection http.request.uri
  • http.content_encoding
  • http.request.version
  • http.content_length
  • http.response
  • http.content_type
  • http.response.code
  • http.cookie
  • http.server
  • http.date
  • http.set_cookie
  • http.host
  • http.transfer_encoding
  • http.last_modified
  • http.user_agent
  • http.location
  • http.www_authenticate
  • http.notification
  • http.x_forwarded_for
  • http.proxy_authenticate

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark. Guarda el enlace permanente.

3 respuestas a Wireshark / Tshark. Filtros HTTP. Parte 2

  1. Pingback: Justniffer. Un sniffer que reensambla, reordena y muestras los flujos TCP. | Seguridad y Redes

  2. Lobezno dijo:
    2 marzo, 2012 en 9:04 am

    Buenos días, antes de nada darte la enhorabuena por la web, es de muy facil comprension y de ayuda a los demas. Buscando informacion sobre mi problema he dado con ella y me leido ya unos pocos articulos…

    Queria expresarte mi problema, necesitaria filtrar el trafico que realiza una ip determinada dentro mi empresa para detectar la navegacion que realiza. He estado intentando y cambiando opciones y no hay manera, solo veo lo que mi ip genera, no el resto. Sin embargo si veo cadenas genericas dentro de la red del resto de equipos. Que puedo estar haciendo mal?

    Un saludo y gracias de antemano

    Responder

  3. Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes

Deja un comentario