Los filtros de captura de Wireshark utilizan la sintáxis BPF (Berkeley Packet Filter), que de una manera simple permite filtrar los paquetes que serán capturados.

Sintáxis BPF

• Una expresión consiste de una o más primitivas.

• Las primitivas consisten de una id (nombre o número), precedido por un calificador.

• Existen 3 tipos de calificadores:

  • Type: host, net, port, portrange

  • Dir: src, dst, src or dst, src and dst, ra, ta, addr1, addr2, addr3, addr4

  • Proto: ether, fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp, udp

Filtrado de nodo(s)

• host: para una dirección IP de origen o destino.

• net: para una subred IP de origen o destino.

• ether: para una dirección MAC de origen o destino.

• src: antecede a los filtros host, net o ether, para definir la IP, MAC o subred de origen.

• dst: antecede a los filtros host, net o ether, para definir la IP, MAC o subred de destino.

* También es posible contatenar a los filtros src y dst:

• src o dst: antecede a los filtros host, net o ether, para definir la IP, MAC o subred de origen o destino.

Aplicar filtros de captura

Los filtros de captura se aplican en la pantalla de inicio de Wireshark, a traves de la barra de filtrado.

Cuando el filtro ingresado cumple con la sintáxis BPF, la barra se pinta de color verde.

Cuando el filtro ingresado no cumple con la sintáxis BPF, la barra se pinta de color rojo.