# Filtros de visualización vs de captura
La distinción más importante en Wireshark. Los filtros de captura deciden qué se graba; los de visualización refinan lo que ves después — sintaxis distinta, propósito distinto.
| Filtro de captura | Filtro de visualización | |
|---|---|---|
| Sintaxis | BPF (tcpdump) | Wireshark |
| Ejemplo | host 10.0.0.1 and port 80 | ip.addr==10.0.0.1 && tcp.port==80 |
| Cuándo | En la captura | Después de capturar |
| Modificable | No (fijo) | Sí, en cualquier momento |
tcp.port==80 es inválido como filtro de captura.# Filtros de visualización — esenciales
Escríbelos en la barra de filtro. Combina con && (y), || (o), ! (no).
ip.addr == 10.0.0.1ip.src == 10.0.0.1 && ip.dst == 10.0.0.2tcp.port == 443tcp.flags.syn == 1 && tcp.flags.ack == 0tcp.analysis.retransmissionframe contains "password"tcp matches "(?i)pass"!(arp || icmp || dns)# Filtros de protocolo
Enfoca rápido un solo protocolo.
http.request.method == "POST"http.response.code == 200dns.qry.name contains "example"tls.handshake.type == 1ftp || telnetsmb2 || smbkerberoshttp.request.uri contains ".php"# Filtros de captura (BPF)
Configúralos antes de capturar para limitar lo que se graba. Misma sintaxis que tcpdump.
host 10.0.0.1net 10.0.0.0/24port 80 or port 443tcp port 22 and host 10.0.0.5not arp and not broadcastether host 00:11:22:33:44:55# Seguir flujos
Reensambla toda una conversación en texto legible — la forma más rápida de leer un intercambio.
Clic derecho paquete → Seguir → Flujo TCPSeguir → Flujo HTTPSeguir → Flujo UDPtcp.stream == 3# Atajos de teclado
Acelera la navegación y el marcado.
| Atajo | Acción |
|---|---|
| Ctrl+E | Iniciar / detener la captura |
| Ctrl+K | Opciones de captura |
| Ctrl+/ | Ir a la barra de filtro |
| Ctrl+Alt+Shift+T | Seguir el flujo TCP |
| Ctrl+M | Marcar / desmarcar un paquete |
| Ctrl+G | Ir al número de paquete |
| Ctrl+F | Buscar un paquete |
| Ctrl+T | Definir/formatear la visualización del tiempo |
# Extraer credenciales & archivos
Los protocolos en texto plano te dan las credenciales; HTTP te da los archivos.
Archivo → Exportar objetos → HTTPArchivo → Exportar objetos → SMB / TFTPftp.request.command == "USER" || ftp.request.command == "PASS"http.authorizationHerramientas → Credenciales (Wireshark 3.1+)# Estadísticas & visión general
Entiende una captura de un vistazo antes de sumergirte en los paquetes.
Estadísticas → Jerarquía de protocolosEstadísticas → ConversacionesEstadísticas → EndpointsEstadísticas → Gráfico E/SEstadísticas → HTTP → Peticiones# tshark — línea de comandos
El CLI de Wireshark para scripting, captura remota y archivos grandes. Misma sintaxis de filtro de visualización.
tshark -Dtshark -i eth0 -w out.pcaptshark -r capture.pcap -Y "http.request" -T fields -e http.host -e http.request.uritshark -r capture.pcap -q -z conv,tcptshark -r capture.pcap -Y "ftp.request.command==PASS" -T fields -e ftp.request.argssh user@host "tcpdump -i eth0 -U -w -" | wireshark -k -i -# Descifrar TLS/HTTPS
Necesitas las claves de sesión — el cifrado por sí solo no se puede descifrar.
export SSLKEYLOGFILE=~/tls-keys.logPreferencias → Protocolos → TLS → (Pre)-Master-Secret log filenametshark -r capture.pcap -o tls.keylog_file:tls-keys.log -Y http2❓ FAQ Wireshark
Los filtros de captura (BPF, ej. host 10.0.0.1 and port 80) deciden qué se graba y no cambian después. Los de visualización (ip.addr==10.0.0.1 && tcp.port==80) ocultan/muestran paquetes capturados y cambian libremente.
Clic derecho en un paquete → Seguir → Flujo TCP (o Ctrl+Alt+Shift+T). Wireshark reensambla la conversación como texto legible y coloreado — lo más rápido para leer HTTP o extraer credenciales.
ip.addr == 10.0.0.1 (hacia/desde), ip.src == (origen), ip.dst == (destino). Combina con &&, ||, !.
Archivos: Archivo → Exportar objetos → HTTP/SMB/TFTP. Credenciales: filtro http.request.method == POST o Seguir el flujo TCP. FTP, Telnet, HTTP y SNMP suelen filtrar en texto plano.
El CLI de Wireshark — ideal para scripting y archivos grandes. Ej. tshark -r cap.pcap -Y 'http.request' -T fields -e http.host. Misma sintaxis de filtro que la GUI.
En un switch solo ves tu tráfico + broadcasts. Para ver el de otros: puerto SPAN/espejo, tap, o técnica activa como ARP spoofing (solo pruebas autorizadas). El modo promiscuo por sí solo no basta en un switch.
Establece SSLKEYLOGFILE antes de lanzar el navegador, luego apunta Wireshark a ese archivo de claves (Preferencias → Protocolos → TLS). Sin las claves no puedes descifrar — capturar el cifrado no basta.
📚 Recursos relacionados
- Cheatsheet Nmap — Escanear para hallar hosts, luego capturar su tráfico en Wireshark
- Cheatsheet Hashcat — Crackear los hashes NetNTLMv2 o WPA que capturas en la red
- Cheatsheet de Pentesting completa — 200+ comandos para web, red, AD y privesc
- Glosario de Pentesting — Paquete, BPF, MITM, modo promiscuo y 60+ términos clave
Convierte tus hallazgos de captura en un informe PDF profesional. La IA rellena CVE, CVSS y severidad.
¿Quieres los 12 020+ comandos?
Esta cheatsheet de Wireshark es solo una rama del mapa. Pentest Mindmap organiza 12 020+ comandos en 34 categorías — de recon a post-explotación — con búsqueda instantánea y copia en un clic.
Empezar gratis →