Wireshark

Filtros generales de análisis forense

Filtro

Descripción

http

Muestra todo el tráfico HTTP (incluye headers, URLs, etc.)

ftp

Tráfico del protocolo FTP, útil para detectar transferencias no cifradas

smtp

Correos salientes no cifrados (puede revelar contenido textual)

tcp.port == 23

Tráfico Telnet, altamente inseguro y revelador

ssl

tcp.analysis.retransmission

Posibles problemas de red o ataques DoS

icmp

Tráfico ICMP (ping, escaneos ICMP, etc.)

ip.addr == x.x.x.x

Todo el tráfico relacionado con una IP sospechosa

tcp.flags.syn == 1 and tcp.flags.ack == 0

Escaneos SYN (nmap, etc.)

dns.qry.name contains "example.com"

Búsqueda DNS de un dominio específico

tcp contains "password"

Busca palabras clave en carga útil (solo texto plano)

Filtros orientados a ataques y comportamientos sospechosos

Filtro

Descripción

tcp.port == 4444

Puerto común en shells inversas/metasploit

udp.port == 53 and dns.flags.response == 0

Peticiones DNS salientes (posible DNS tunneling)

frame.len > 1000

Tramas muy grandes, útiles para ver descargas/archivos

http.request.method == "POST"

Envío de datos al servidor (posible exfiltración)

tcp.port == 3389

Conexiones RDP (escritorio remoto)

tcp.port == 22

SSH: puede implicar acceso remoto legítimo o malicioso

ip.geoip.country != "ES"

Tráfico con países fuera del habitual (requiere plugin GeoIP)

Filtros de transferencia de archivos o descargas

Filtro

Descripción

http.request.uri contains ".exe"

Descarga de ejecutables

http.request.uri contains ".zip"

Descarga de archivos comprimidos

ftp-data

Transferencia de datos por FTP

tcp.port == 21

FTP control: comandos de transferencia

smb2 o smb

Tráfico compartido por SMB (compartición de archivos)

Filtros de tráfico cifrado o evasivo

Filtro

Descripción

tls.handshake.type == 1

Inicio de handshake TLS

tcp.port == 443

Tráfico HTTPS

tcp.port == 8443

HTTPS alternativo (algunas apps maliciosas lo usan)

udp.port == 1194

Tráfico OpenVPN

Detección de ataques y técnicas de intrusión

Filtro

Descripción

tcp.flags.reset == 1

RST floods (ataques DoS o escaneos evasivos)

tcp.flags.push == 1 and tcp.flags.ack == 1

PSH+ACK floods (ataques evasivos o RATs)

tcp.port == 31337

Puerto asociado a backdoors o rootkits (como Back Orifice)

udp.port == 69

Tráfico TFTP, usado en ataques de boot PXE o exfiltración

tcp contains "cmd.exe"

Intento de ejecución remota en Windows

tcp contains "powershell"

Uso de PowerShell remoto, común en pentesting o malware

tcp contains "wget" o tcp contains "curl"

Indicador de descarga de scripts/malware desde consola

Actividad de exploración o fingerprinting

Filtro

Descripción

tcp.flags == 0x000

Paquetes TCP nulos, usados en TCP NULL scans (Nmap)

tcp.flags.fin == 1 and tcp.flags.ack == 0

FIN scan, técnica furtiva de escaneo

icmp.type == 8 and icmp.code == 0

Peticiones ping (ICMP echo request)

icmp

Todo tráfico ICMP, usado para ping sweeps o mapeo

tcp.options.mss

Ver opciones TCP, útil para detectar fingerprinting de SO

ip.ttl <= 10

TTL muy bajo (puede indicar spoofing o proxy inverso cercano)

Detección de filtrado, proxy o túneles

Filtro

Descripción

tcp.port == 1080

Tráfico SOCKS proxy

tcp.port == 3128

Squid proxy (HTTP caching y bypasses)

http.user_agent contains "curl"

Uso de curl como cliente HTTP (scripts automáticos)

dns.qry.name contains "ngrok"

Indicador de túneles remotos

udp.port == 53 and dns.qry.name contains "data="

Posible DNS tunneling con herramientas como iodine

tcp.port == 443 and frame.len < 100

TLS conexiones pequeñas = posible beaconing de malware

Análisis de comportamiento sospechoso / lateral movement

Filtro

Descripción

smb2.command == 5

Solicitudes de archivos SMB: movimiento lateral

kerberos

Tráfico Kerberos (útil en entornos Windows, ataques Pass-the-Ticket)

ldap

Tráfico de autenticación/consulta, ataques a Active Directory

tcp.port == 5985

tcp.port == 135

tcp contains "Mimikatz"

Herramienta de extracción de credenciales (raro pero letal)

Detección de C2 (Command and Control)

Filtro

Descripción

http.request.uri contains ".php"

C2 básicos sobre PHP en webshells

tcp.port == 6667

IRC — usado aún como C2 básico

tcp.port == 1337

Puerto típico en tráfico personalizado malicioso

tcp.payload

Mostrar paquetes con carga TCP (útil para ver comandos no cifrados)

tcp.time_delta > 10

Comunicación irregular (beaconing de malware C2)

Inspección de protocolos específicos (sensibles)

Filtro

Descripción

modbus

Protocolos ICS/SCADA (ataques industriales)

snmp

Tráfico SNMP, posible recolección o explotación

ldap

Consultas y tráfico de autenticación

ntp

Tráfico NTP, a veces usado en DDoS reflejados

rdp

Sesiones RDP, puede indicar acceso remoto

sip

Tráfico VoIP (monitorización o robo de audio)

PreviousMalware Analysis with VirusTotal Next(Falcon) CrowdStrike

Last updated 1 month ago

Filtros generales de análisis forense

Filtro

Descripción

http

Muestra todo el tráfico HTTP (incluye headers, URLs, etc.)

ftp

Tráfico del protocolo FTP, útil para detectar transferencias no cifradas

smtp

Correos salientes no cifrados (puede revelar contenido textual)

tcp.port == 23

Tráfico Telnet, altamente inseguro y revelador

ssl

tcp.analysis.retransmission

Posibles problemas de red o ataques DoS

icmp

Tráfico ICMP (ping, escaneos ICMP, etc.)

ip.addr == x.x.x.x

Todo el tráfico relacionado con una IP sospechosa

tcp.flags.syn == 1 and tcp.flags.ack == 0

Escaneos SYN (nmap, etc.)

dns.qry.name contains "example.com"

Búsqueda DNS de un dominio específico

tcp contains "password"

Busca palabras clave en carga útil (solo texto plano)

Filtros orientados a ataques y comportamientos sospechosos

Filtro

Descripción

tcp.port == 4444

Puerto común en shells inversas/metasploit

udp.port == 53 and dns.flags.response == 0

Peticiones DNS salientes (posible DNS tunneling)

frame.len > 1000

Tramas muy grandes, útiles para ver descargas/archivos

http.request.method == "POST"

Envío de datos al servidor (posible exfiltración)

tcp.port == 3389

Conexiones RDP (escritorio remoto)

tcp.port == 22

SSH: puede implicar acceso remoto legítimo o malicioso

ip.geoip.country != "ES"

Tráfico con países fuera del habitual (requiere plugin GeoIP)

Detección de ataques y técnicas de intrusión

Filtro

Descripción

tcp.flags.reset == 1

RST floods (ataques DoS o escaneos evasivos)

tcp.flags.push == 1 and tcp.flags.ack == 1

PSH+ACK floods (ataques evasivos o RATs)

tcp.port == 31337

Puerto asociado a backdoors o rootkits (como Back Orifice)

udp.port == 69

Tráfico TFTP, usado en ataques de boot PXE o exfiltración

tcp contains "cmd.exe"

Intento de ejecución remota en Windows

tcp contains "powershell"

Uso de PowerShell remoto, común en pentesting o malware

tcp contains "wget" o tcp contains "curl"

Indicador de descarga de scripts/malware desde consola

Actividad de exploración o fingerprinting

Filtro

Descripción

tcp.flags == 0x000

Paquetes TCP nulos, usados en TCP NULL scans (Nmap)

tcp.flags.fin == 1 and tcp.flags.ack == 0

FIN scan, técnica furtiva de escaneo

icmp.type == 8 and icmp.code == 0

Peticiones ping (ICMP echo request)

icmp

Todo tráfico ICMP, usado para ping sweeps o mapeo

tcp.options.mss

Ver opciones TCP, útil para detectar fingerprinting de SO

ip.ttl <= 10

TTL muy bajo (puede indicar spoofing o proxy inverso cercano)

Detección de filtrado, proxy o túneles

Filtro

Descripción

tcp.port == 1080

Tráfico SOCKS proxy

tcp.port == 3128

Squid proxy (HTTP caching y bypasses)

http.user_agent contains "curl"

Uso de curl como cliente HTTP (scripts automáticos)

dns.qry.name contains "ngrok"

Indicador de túneles remotos

udp.port == 53 and dns.qry.name contains "data="

Posible DNS tunneling con herramientas como iodine

tcp.port == 443 and frame.len < 100

TLS conexiones pequeñas = posible beaconing de malware

Análisis de comportamiento sospechoso / lateral movement

Filtro

Descripción

smb2.command == 5

Solicitudes de archivos SMB: movimiento lateral

kerberos

Tráfico Kerberos (útil en entornos Windows, ataques Pass-the-Ticket)

ldap

Tráfico de autenticación/consulta, ataques a Active Directory

tcp.port == 5985

tcp.port == 135

tcp contains "Mimikatz"

Herramienta de extracción de credenciales (raro pero letal)

Detección de C2 (Command and Control)

Filtro

Descripción

http.request.uri contains ".php"

C2 básicos sobre PHP en webshells

tcp.port == 6667

IRC — usado aún como C2 básico

tcp.port == 1337

Puerto típico en tráfico personalizado malicioso

tcp.payload

Mostrar paquetes con carga TCP (útil para ver comandos no cifrados)

tcp.time_delta > 10

Comunicación irregular (beaconing de malware C2)

Inspección de protocolos específicos (sensibles)

Filtro

Descripción

modbus

Protocolos ICS/SCADA (ataques industriales)

snmp

Tráfico SNMP, posible recolección o explotación

ldap

Consultas y tráfico de autenticación

ntp

Tráfico NTP, a veces usado en DDoS reflejados

rdp

Sesiones RDP, puede indicar acceso remoto

sip

Tráfico VoIP (monitorización o robo de audio)