Wireshark / Tshark. Filtros HTTP.

De pcastagnaro -
A lo largo de los muchos artículos dedicados a Wireshark y Tshark, hemos estudiado la diferentes formas que tenemos para establcer filtros, ya sean de filtros de captura o visualización.

En esta ocasión vamos ver como estos filtros, aplicados a un determinado protocolo, nos pueda ayudar a gestionar mejor la información que queremos obtener. Empezarmos por los filtros HTTP.

Vamos a ver algunos filtros como ejemplo.

http.request.method.

Establece filtros para los métodos de petición HTTP.  El caso más simple sería el método GET: el navegador contacta con el servidor web para obtener una página. Para filtrar por el método GET:

http.request.method == "GET"

>tshark -i1 -nlt r -R "http.request.method == "GET""

NOTA: Usamos -R para establecer el filtro. Más sobre filtros .pcap aquí:

Wireshark / Tshark / Windump - Filtros pcap. Creación de filtros y filtros avanzados para captura de paquetes.

Vamos con el ejemplo:

Metodos http aplicacion filtros wireshark tshark

Existen otros métodos como:

  • HEAD
  • POST
  • PUT
  • DELETE
  • TRACE
  • OPTIONS
  • ...

http.response.

Se refiere al filtrado por mensajes y códigos de respuesta. Estos son enviadios por el servidor al navegador. En los mensajes de respuesta se incluye un código de tres dígitos. Estos mensajes se dividen en categorías. Por ejemplo:

  • 10x se refiere a mensajes de información. no usados ya en la versión 1.0 de HTTP.
  • los códigos 20x se refieren a operaciones existosas
  • los códigos 30x so respuestas que indicanque el recurso ya no se encuentra en la ubicación que se especificó en el método GET.
  • 40x se refieren a solicitudes incorrectas. Son entonces errores de la petición formuladar por el cliente desde el navegador.
  • 50x aquí ocurre lo contrario, se refierenm a errores del servidor

Lo vemos en la siguiente captura:

>tshark -i1 -nlt r -R "http.response"

mensajes codigos respuesta http aplicacion filtros wireshark tshark

Observad los distintos códigos que aparecen en la captura.

Tenemos:

  • 200 informa que la solicitud se tramitó existósamente.
  • 204 no hay información derespuest apede a que el servidor recibió la solicitud.
  • 302 los datos refereidos a la solicitud se encuentran ahora en una nueva dirección URL de forma temporal.
  • 301 los datos refereidos a la solicitud se encuentran ahora en una nueva dirección URL de forma permanente.

Podemos filtrar por código de la siguiente manera:

tshark -i1 -nlt r -R "http.response == 200" 

De esta forma solo vemos las paquetes cuyo mensaje de respuesta del servidor sea de solicitud correcta, codigo 200.

También podríamos usar las estadísticas http como vimos aquí:

Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.


mensajes codigos respuesta http aplicacion filtros wireshark tshark

http.content_type.

Se refiere a los encabezados de respuesta. Indica el tipo de contenido del recurso al que se accede mediante una solicitud. Los tipos de contenido pueden ser, entre otros::

  • texto/html
  • application/pdf
  • image/jpeg
  • image/gif
  • video/quicktime
  • application/zip
  • etc,

Filtramos por ejemplo los tipos image/gif:

content-type http aplicacion filtros wireshark tshark

http.server.

Se refiere al campo Server. Características del servidor que envió la respuesta a la solicitud del cliente o navegador.

Por ejemplo. Vamos a filtrar para ver los paquetes de respuesta servidor hacia cliente provenientes de un servidor Nginx. Nginx es un servidor web de código abierto para plataformas UNIX, línux, Windows.

El filtro sería http.server == "nginx" :

shttp server aplicacion filtros wireshark tshark

Podemos encontrar en nuestras capturas valores de http.server como por ejemplo:

  • sffe Safer Server. Bacjup online para servidores.
  • gws Google Web Server.
  • Apache. Aquí mendiante la palabra clave contains podemos diferenciar otros valores como PHP, Unix, etc.
  • PWS Personal Web Server.
  • GFE GFE/2.0 web server.
  • .....

Podríamos usar estos filtros con Tshark y las estadísticas:

http server aplicacion filtros wireshark tshark

http.user_agent.

Con esto podemos filtrar para obtener solo las peticiones realizadas desde un navegador determinado.

Por ejemplo. con  http.user_agent contains "Mozilla" veremos las solicitudes realizadas desde este navegador.

Observar que usamos la palabra clave contains para especificar solo una parte del campo User-Agent. De esta forma podemos diferenciar también por el sistema operativo, motor (por ejemplo Gecko), etc.

Por ejemplo:

http.user_agent contains "Gecko"

http.user_agent contains "Microsoft"

http.user_agent contains "Linux"

http.user_agent contains "Mozilla"


Información extraída de:
http://seguridadyredes.nireblog.com/post/2010/06/24/wireshark-tshark-filtros-http

Comentarios

Publicar un comentario

Siéntase libre de dejar su comentario a continuación...

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

De pcastagnaro -
Imagen
Quiero compartir con ustedes una utilidad muy importante, tanto para el escaneo de virus como para la recuperación de datos en una PC. Trinity Rescue Kit (TRK) es una distribución Linux que se ejecuta como un LiveCD (es decir, se bootea desde el arranque de la máquina) para poder escanear y chequear los discos duros desde fuera . Si bien se puede chequear cualquier sistema operativo, su uso está dirigido a aquellos sistemas con Windows que pueden haber sido afectados por un virus o con pérdida de datos. Se basa en un kernel de la distro Mandriva para utilizar los comandos y demás. Para remover los virus, utiliza 4 motores de antivirus muy poderosos: BitDefender Scanner, Grisoft AVG, F-prot y Clamav . Un agregado importante es que si tenés una conexión a internet que utilice DHCP, las bases de los antivirus se actualizarán inmediatamente.
Leer más

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

De Unknown -
Imagen
Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake. Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.
Leer más

15 Editores Hexadecimales para Windows y Linux

De pcastagnaro -
Imagen
Esta es una recopilación con los editores hexadecimales que se han ido mencionando para ver sus características más importantes y resumirlas en esta entrada. Pese a que todos son usados para lo mismo, las diferencias entre muchas de ellas son importantes y dependiendo de la situación y los requisitos es posible que se use más de una. Como siempre, lo mejor es descargar una demo de todas e ir probando sus funcionalidades. Al final cada persona aprecia aspectos distintos.
Leer más