Resposta sobre filtro do Wireshark no curso Wireshark para Iniciante - UDEMY




Uma das boas respostas sobre esta questão de saber qual a porta exata a procurar e expandir é se você usa outra protocolo de análise, por exemplo, Microsoft Message Analyzer v1.4 ou Snort.
Mas como disse no curso, é uma questão de foco, usando o comando abaixo podemos ir direto nas portas que sabemos que são mais comuns e vulneráveis. Diria aqui para você ir procurando alguns padrões no seu sistema captado.

Pegue a porta por netstat, caso seja seu sistema:
netstat -b
E depois defina o filtro assim:
tcp.port == número da porta.


Separo aqui para você algumas portas e comandos que geralmente encontramos em Wireshark nos cursos e na vida real:


1. ip.addr == 10.0.0.1 [Define um filtro para qualquer pacote com 10.0.0.1, como fonte ou destino]

2. ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 [define um filtro de conversação entre os dois endereços IP definidos]

3. http ou dns [define um filtro para exibir todos os http e dns]

4. tcp.port == 4000

5. tcp.flags.reset == 1 [exibe todas as reinicializações TCP]

6. http.request [exibe todos os pedidos HTTP GET]

7. tcp contém tráfego [exibe todos os pacotes TCP que contêm a palavra "tráfego". Excelente ao procurar em uma string específica ou ID do usuário]

8.   ! (Arp or icmp or dns) [mascara arp, icmp, dns ou qualquer outro protocolo pode ser ruído de fundo. Permitindo que você se concentre no tráfego de interesse]
Preste atenção aqui na integração como sendo negativa no processo.

9. udp contains 33:27:58 [define um filtro para os valores HEX de 0x33 0x27 0x58 em qualquer deslocamento]

10. tcp.analysis.retransmission [exibe todas as retransmissões no rastreamento. Ajuda ao rastrear o desempenho lento da aplicação e a perda de pacotes]

Lógico, sempre utilizar o  Follow TCP Stream para aprofundar o que não parece tão inofensivo.


Referencias:
https://www.snort.org/ 
http://www.softpedia.com/get/Network-Tools/Protocol-Analyzers-Sniffers/ 
http://www.lovemytool.com/blog/2010/04/top-10-wireshark-filters-by-chris-greer.html





No Windows:
Use o comando netstat -nab. O exemplo a seguir mostra a saída desse comando:

netstat -nab

TCP 0.0.0.0:8888 0.0.0.0:0 LISTENING 7172 [_mprosrv.exe]

Use o Gerenciador de tarefas para procurar o PID e obter a linha de comando completa.