# Wireshark ## Filtros generales de análisis forense | **Filtro** | **Descripción** | | ----------------------------------------- | ------------------------------------------------------------------------ | | http | Muestra todo el tráfico HTTP (incluye headers, URLs, etc.) | | ftp | Tráfico del protocolo FTP, útil para detectar transferencias no cifradas | | smtp | Correos salientes no cifrados (puede revelar contenido textual) | | tcp.port == 23 | Tráfico Telnet, altamente inseguro y revelador | | ssl | | | tcp.analysis.retransmission | Posibles problemas de red o ataques DoS | | icmp | Tráfico ICMP (ping, escaneos ICMP, etc.) | | ip.addr == x.x.x.x | Todo el tráfico relacionado con una IP sospechosa | | tcp.flags.syn == 1 and tcp.flags.ack == 0 | Escaneos SYN (nmap, etc.) | | dns.qry.name contains "example.com" | Búsqueda DNS de un dominio específico | | tcp contains "password" | Busca palabras clave en carga útil (solo texto plano) | ## Filtros orientados a ataques y comportamientos sospechosos | **Filtro** | **Descripción** | | ------------------------------------------ | ------------------------------------------------------------- | | tcp.port == 4444 | Puerto común en shells inversas/metasploit | | udp.port == 53 and dns.flags.response == 0 | Peticiones DNS salientes (posible DNS tunneling) | | frame.len > 1000 | Tramas muy grandes, útiles para ver descargas/archivos | | http.request.method == "POST" | Envío de datos al servidor (posible exfiltración) | | tcp.port == 3389 | Conexiones RDP (escritorio remoto) | | tcp.port == 22 | SSH: puede implicar acceso remoto legítimo o malicioso | | ip.geoip.country != "ES" | Tráfico con países fuera del habitual (requiere plugin GeoIP) | ## Filtros de transferencia de archivos o descargas | **Filtro** | **Descripción** | | -------------------------------- | ----------------------------------------------------- | | http.request.uri contains ".exe" | Descarga de ejecutables | | http.request.uri contains ".zip" | Descarga de archivos comprimidos | | ftp-data | Transferencia de datos por FTP | | tcp.port == 21 | FTP control: comandos de transferencia | | smb2 o smb | Tráfico compartido por SMB (compartición de archivos) | ## Filtros de tráfico cifrado o evasivo | **Filtro** | **Descripción** | | ----------------------- | --------------------------------------------------- | | tls.handshake.type == 1 | Inicio de handshake TLS | | tcp.port == 443 | Tráfico HTTPS | | tcp.port == 8443 | HTTPS alternativo (algunas apps maliciosas lo usan) | | udp.port == 1194 | Tráfico OpenVPN | ## Detección de ataques y técnicas de intrusión | **Filtro** | **Descripción** | | ------------------------------------------ | -------------------------------------------------------------- | | tcp.flags.reset == 1 | RST floods (ataques DoS o escaneos evasivos) | | tcp.flags.push == 1 and tcp.flags.ack == 1 | PSH+ACK floods (ataques evasivos o RATs) | | tcp.port == 31337 | Puerto asociado a *backdoors* o *rootkits* (como Back Orifice) | | udp.port == 69 | Tráfico TFTP, usado en ataques de boot PXE o exfiltración | | tcp contains "cmd.exe" | Intento de ejecución remota en Windows | | tcp contains "powershell" | Uso de PowerShell remoto, común en pentesting o malware | | tcp contains "wget" o tcp contains "curl" | Indicador de descarga de scripts/malware desde consola | ## Actividad de exploración o fingerprinting | **Filtro** | **Descripción** | | ----------------------------------------- | ------------------------------------------------------------- | | tcp.flags == 0x000 | Paquetes TCP nulos, usados en *TCP NULL scans* (Nmap) | | tcp.flags.fin == 1 and tcp.flags.ack == 0 | *FIN scan*, técnica furtiva de escaneo | | icmp.type == 8 and icmp.code == 0 | Peticiones ping (ICMP echo request) | | icmp | Todo tráfico ICMP, usado para *ping sweeps* o mapeo | | tcp.options.mss | Ver opciones TCP, útil para detectar fingerprinting de SO | | ip.ttl <= 10 | TTL muy bajo (puede indicar spoofing o proxy inverso cercano) | ## Detección de filtrado, proxy o túneles | **Filtro** | **Descripción** | | ------------------------------------------------ | -------------------------------------------------------- | | tcp.port == 1080 | Tráfico SOCKS proxy | | tcp.port == 3128 | Squid proxy (HTTP caching y bypasses) | | http.user\_agent contains "curl" | Uso de curl como cliente HTTP (scripts automáticos) | | dns.qry.name contains "ngrok" | Indicador de túneles remotos | | udp.port == 53 and dns.qry.name contains "data=" | Posible *DNS tunneling* con herramientas como `iodine` | | tcp.port == 443 and frame.len < 100 | TLS conexiones pequeñas = posible *beaconing* de malware | ## Análisis de comportamiento sospechoso / lateral movement | **Filtro** | **Descripción** | | ----------------------- | -------------------------------------------------------------------- | | smb2.command == 5 | Solicitudes de archivos SMB: movimiento lateral | | kerberos | Tráfico Kerberos (útil en entornos Windows, ataques Pass-the-Ticket) | | ldap | Tráfico de autenticación/consulta, ataques a Active Directory | | tcp.port == 5985 | | | tcp.port == 135 | | | tcp contains "Mimikatz" | Herramienta de extracción de credenciales (raro pero letal) | ## Detección de C2 (Command and Control) | **Filtro** | **Descripción** | | -------------------------------- | ------------------------------------------------------------------- | | http.request.uri contains ".php" | C2 básicos sobre PHP en webshells | | tcp.port == 6667 | IRC — usado aún como C2 básico | | tcp.port == 1337 | Puerto típico en tráfico personalizado malicioso | | tcp.payload | Mostrar paquetes con carga TCP (útil para ver comandos no cifrados) | | tcp.time\_delta > 10 | Comunicación irregular (beaconing de malware C2) | ## Inspección de protocolos específicos (sensibles) | **Filtro** | **Descripción** | | ---------- | ----------------------------------------------- | | modbus | Protocolos ICS/SCADA (ataques industriales) | | snmp | Tráfico SNMP, posible recolección o explotación | | ldap | Consultas y tráfico de autenticación | | ntp | Tráfico NTP, a veces usado en DDoS reflejados | | rdp | Sesiones RDP, puede indicar acceso remoto | | sip | Tráfico VoIP (monitorización o robo de audio) |