> For the complete documentation index, see [llms.txt](https://www.xtormin.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://www.xtormin.com/pentesting-en-infraestructuras/redes-wi-fi/analisis-de-paquetes.md). # Análisis de paquetes ## Wireshark ### Filtros Tras capturar tráfico en modo monitor, podemos usar estos filtros de visualización en Wireshark: #### Beacon Frames (AP) Las tramas Beacon (baliza) provenientes del punto de acceso se pueden identificar usando el siguiente filtro de Wireshark: ```bash (wlan.fc.type == 0) && (wlan.fc.type_subtype == 8) ``` #### Probe Request (Cliente) Las tramas de solicitud de sondeo (Probe Request) provenientes del cliente se pueden identificar usando el siguiente filtro de Wireshark: ```bash (wlan.fc.type == 0) && (wlan.fc.type_subtype == 4) ``` #### Probe Response (AP) Las tramas de respuesta de sondeo (Probe Response) provenientes del punto de acceso se pueden identificar usando el siguiente filtro de Wireshark: ```bash (wlan.fc.type == 0) && (wlan.fc.type_subtype == 5) ``` #### Autenticación El proceso de autenticación entre el cliente y el punto de acceso se puede observar usando el siguiente filtro de Wireshark: ```bash (wlan.fc.type == 0) && (wlan.fc.type_subtype == 11) ``` #### Association Request (Cliente) Una vez completado el proceso de autenticación, la solicitud de asociación de la estación (cliente) se puede ver usando el siguiente filtro de Wireshark: ```bash (wlan.fc.type == 0) && (wlan.fc.type_subtype == 0) ``` #### Association Response (AP) La respuesta de asociación del punto de acceso se puede ver usando el siguiente filtro de Wireshark: ```bash (wlan.fc.type == 0) && (wlan.fc.type_subtype == 1) ``` #### WPA2 Handshake (EAPOL) Si la red de ejemplo utiliza WPA2, las tramas EAPOL (el handshake) se pueden ver usando el siguiente filtro de Wireshark: ``` eapol ``` #### Desconexión (Deauth/Disassoc) Una vez que el proceso de conexión se ha completado, la terminación de la conexión se puede visualizar identificando qué parte (cliente o punto de acceso) inició la desconexión. Esto se puede hacer usando el siguiente filtro de Wireshark para capturar tramas de Disociación (10) o tramas de Desautenticación (12): ```bash (wlan.fc.type == 0) && ((wlan.fc.type_subtype == 12) || (wlan.fc.type_subtype == 10)) ``` #### Nombres de identidades ``` eap ``` #### Certificados {% code overflow="wrap" %} ``` tls.handshake.certificate ``` {% endcode %} ### Fusionar múltiples ficheros PCAP `mergecap` combina todos los archivos y **ordena los paquetes cronológicamente** de forma automática basándose en sus marcas de tiempo (timestamps). ```bash mergecap -w fusionado.pcap *.pcap ``` Si prefieres no usar la terminal: 1. Abre Wireshark. 2. Abre el primer archivo PCAP. 3. Ve al menú superior y selecciona **File > Merge** (Archivo > Combinar). 4. Selecciona el segundo archivo que quieres añadir. Wireshark te preguntará si quieres unirlo cronológicamente, al principio o al final del archivo actual. Si tienes gigabytes de capturas, fusionarlas primero puede generar un archivo gigante muy difícil de abrir en la interfaz de Wireshark. En este caso, es mejor filtrar los archivos individualmente antes de unirlos. Para ello se utiliza **`tshark`** (el motor de Wireshark para la terminal). ```bash FILTRO="eap" for file in *.pcap; do tshark -r "$file" -Y "$FILTRO" -w "filtrado_$file" done ``` ```bash mergecap -w identidades_todas.pcap filtrado_*.pcap ``` ### Búsqueda ```bash for file in *.pcap; do echo "--- Archivo: $file ---" tshark -r "$file" -Y "eap.identity" -T fields -e eap.identity | sort -u done ``` ## Wifi DB ``` ``` --- # Agent Instructions This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com. ## Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://www.xtormin.com/pentesting-en-infraestructuras/redes-wi-fi/analisis-de-paquetes.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.