No início em que iniciei minhas atividades como analista de Redes, o meu maior pesadelo consistia em analisar capturas de pacotes realizadas pelo Wireshark.
Após efetuarem uma captura, muitas vezes ficamos confuso de qual filtro aplicar, afim de facilitar e remover o “lixo” capturados. Porem precisamos nos lembrar que normalmente uma captura tem por objetivo identificar uma possível falha de comunicação, por isso geralmente estamos procurando os erros, por isso deixo abaixo um modelo de filtro que uso como padrão:
(tcp.flags.syn == 1) || (tcp.flags.push == 1) || (tcp.flags.reset == 1)
Podemos observar basicamente 3 tipos de filtros aplicados, sendo eles syn, push e reset.
Mais detalhes sobre cada um dos flags TCP, podem ser lidos em:
https://www.wireshark.org/docs/wsug_html_chunked/ChAdvTCPAnalysis.html
No responses yet