Wireshark

Filtros generales de análisis forense

Filtro	Descripción
http	Muestra todo el tráfico HTTP (incluye headers, URLs, etc.)
ftp	Tráfico del protocolo FTP, útil para detectar transferencias no cifradas
smtp	Correos salientes no cifrados (puede revelar contenido textual)
tcp.port == 23	Tráfico Telnet, altamente inseguro y revelador
ssl
tcp.analysis.retransmission	Posibles problemas de red o ataques DoS
icmp	Tráfico ICMP (ping, escaneos ICMP, etc.)
ip.addr == x.x.x.x	Todo el tráfico relacionado con una IP sospechosa
tcp.flags.syn == 1 and tcp.flags.ack == 0	Escaneos SYN (nmap, etc.)
dns.qry.name contains "example.com"	Búsqueda DNS de un dominio específico
tcp contains "password"	Busca palabras clave en carga útil (solo texto plano)

Filtros orientados a ataques y comportamientos sospechosos

Filtro	Descripción
tcp.port == 4444	Puerto común en shells inversas/metasploit
udp.port == 53 and dns.flags.response == 0	Peticiones DNS salientes (posible DNS tunneling)
frame.len > 1000	Tramas muy grandes, útiles para ver descargas/archivos
http.request.method == "POST"	Envío de datos al servidor (posible exfiltración)
tcp.port == 3389	Conexiones RDP (escritorio remoto)
tcp.port == 22	SSH: puede implicar acceso remoto legítimo o malicioso
ip.geoip.country != "ES"	Tráfico con países fuera del habitual (requiere plugin GeoIP)

Filtros de transferencia de archivos o descargas

Filtro	Descripción
http.request.uri contains ".exe"	Descarga de ejecutables
http.request.uri contains ".zip"	Descarga de archivos comprimidos
ftp-data	Transferencia de datos por FTP
tcp.port == 21	FTP control: comandos de transferencia
smb2 o smb	Tráfico compartido por SMB (compartición de archivos)

Filtros de tráfico cifrado o evasivo

Filtro	Descripción
tls.handshake.type == 1	Inicio de handshake TLS
tcp.port == 443	Tráfico HTTPS
tcp.port == 8443	HTTPS alternativo (algunas apps maliciosas lo usan)
udp.port == 1194	Tráfico OpenVPN

Detección de ataques y técnicas de intrusión

Filtro	Descripción
tcp.flags.reset == 1	RST floods (ataques DoS o escaneos evasivos)
tcp.flags.push == 1 and tcp.flags.ack == 1	PSH+ACK floods (ataques evasivos o RATs)
tcp.port == 31337	Puerto asociado a backdoors o rootkits (como Back Orifice)
udp.port == 69	Tráfico TFTP, usado en ataques de boot PXE o exfiltración
tcp contains "cmd.exe"	Intento de ejecución remota en Windows
tcp contains "powershell"	Uso de PowerShell remoto, común en pentesting o malware
tcp contains "wget" o tcp contains "curl"	Indicador de descarga de scripts/malware desde consola

Actividad de exploración o fingerprinting

Filtro	Descripción
tcp.flags == 0x000	Paquetes TCP nulos, usados en TCP NULL scans (Nmap)
tcp.flags.fin == 1 and tcp.flags.ack == 0	FIN scan, técnica furtiva de escaneo
icmp.type == 8 and icmp.code == 0	Peticiones ping (ICMP echo request)
icmp	Todo tráfico ICMP, usado para ping sweeps o mapeo
tcp.options.mss	Ver opciones TCP, útil para detectar fingerprinting de SO
ip.ttl <= 10	TTL muy bajo (puede indicar spoofing o proxy inverso cercano)

Detección de filtrado, proxy o túneles

Filtro	Descripción
tcp.port == 1080	Tráfico SOCKS proxy
tcp.port == 3128	Squid proxy (HTTP caching y bypasses)
http.user_agent contains "curl"	Uso de curl como cliente HTTP (scripts automáticos)
dns.qry.name contains "ngrok"	Indicador de túneles remotos
udp.port == 53 and dns.qry.name contains "data="	Posible DNS tunneling con herramientas como iodine
tcp.port == 443 and frame.len < 100	TLS conexiones pequeñas = posible beaconing de malware

Análisis de comportamiento sospechoso / lateral movement

Filtro	Descripción
smb2.command == 5	Solicitudes de archivos SMB: movimiento lateral
kerberos	Tráfico Kerberos (útil en entornos Windows, ataques Pass-the-Ticket)
ldap	Tráfico de autenticación/consulta, ataques a Active Directory
tcp.port == 5985
tcp.port == 135
tcp contains "Mimikatz"	Herramienta de extracción de credenciales (raro pero letal)

Detección de C2 (Command and Control)

Filtro	Descripción
http.request.uri contains ".php"	C2 básicos sobre PHP en webshells
tcp.port == 6667	IRC — usado aún como C2 básico
tcp.port == 1337	Puerto típico en tráfico personalizado malicioso
tcp.payload	Mostrar paquetes con carga TCP (útil para ver comandos no cifrados)
tcp.time_delta > 10	Comunicación irregular (beaconing de malware C2)

Inspección de protocolos específicos (sensibles)

Filtro	Descripción
modbus	Protocolos ICS/SCADA (ataques industriales)
snmp	Tráfico SNMP, posible recolección o explotación
ldap	Consultas y tráfico de autenticación
ntp	Tráfico NTP, a veces usado en DDoS reflejados
rdp	Sesiones RDP, puede indicar acceso remoto
sip	Tráfico VoIP (monitorización o robo de audio)