Wireshark. Herramientas en línea de comandos (CLI)

Ya hemos visto, referente a Wireshark, casi todo lo relacionado a Tshark como herramienta de captura de trafíco de red en línea de comandos.

En esta ocasión vamos a ver otras herramientas CLI. La primera que vamos a ver es Capinfos.

Capinfos.

Esta herramienta nos proporcionalos datos estadísticos de un determinado fichero de captura de red.

El tipo de fichero de captura que capinfos puede leer es cualquiera que sea compatible con Wireshark, incluso si están comprimidos con gzip.

Aunque por defecto ya nos devuelve una gran cantidad de información del archivo de captura, capinfos dispone de una serie de opciones que a vamos a ver.

Por defecto nos devuelve la siguiente información:

capinfos smtp.pcap
File name:           smtp.pcap
File type:           Wireshark/tcpdump/… – libpcap
File encapsulation:  Ethernet
Packet size limit:   file hdr: 65535 bytes
Number of packets:   60
File size:           27850 bytes
Data size:           26866 bytes
Capture duration:    9 seconds
Start time:          Mon Oct 05 08:06:07 2009
End time:            Mon Oct 05 08:06:16 2009
Data byte rate:      2920.73 bytes/sec
Data bit rate:       23365.84 bits/sec
Average packet size: 447.77 bytes
Average packet rate: 6.52 packets/sec
SHA1:                3def1a1fed849e7f23b66e6925ddff05845a400b
RIPEMD160:           07e7551d0a03bd5d3a7e2eb0110a40d34cd943eb
MD5:                 c06e944f3cc2c3f305bb37e23cfd6908
Strict time order:   True

Como véis, tenemos información sobre:

• nombre fichero.
• tipo. (porque puede leer varios tipos)
• tipo de encapsulado
• limite tamaño del paquete
• número de paquetes
• tamaño archivo captura
• tamaño archivo datos
• duración captura
• tiempo comienzo y final de captura
• Ratios en bytes/segundo
• Promedios
• Hashes

Toda esta información y de foma independiente, se puede extraer mediante opciones. Por ejemplo, para extraer solo la información sobre la duración de la captura:

capinfos -u imap.pcap
File name:           imap.pcap
Capture duration:    40 seconds

Las opciones más importantes. Formateo de datos en tablas.

Como siempre, veremos las opciones más interesante con ejemplos. Decir que capinfos admite comodines para aplicar las opciones a varios ficheros de captura.

Tenemos varios ficheros de captura y queremos saber los datos de cominzo y final de captura:

capinfos -ae *.pcap
File name:           050608.pcap
Start time:          Wed Jun 04 14:26:27 2008
End time:            Wed Jun 04 18:24:44 2008

File name:           captura.pcap
Start time:          Wed Mar 24 10:12:29 2010
End time:            Wed Mar 24 10:13:14 2010

File name:           captura1.pcap
Start time:          Wed Mar 24 11:43:23 2010
End time:            Wed Mar 24 11:46:03 2010

File name:           gateway.pcap
Start time:          Thu Jun 10 08:46:23 2010
End time:            Thu Jun 10 08:49:40 2010

File name:           gateway01.pcap
Start time:          Thu Jun 10 08:46:23 2010
End time:            Thu Jun 10 08:49:40 2010

File name:           imap.pcap
Start time:          Wed May 26 12:16:00 2010
End time:            Wed May 26 12:16:40 2010

Respecto a la información idependiente que podeos sacar de cada fichero tenemos:

• -t tipo. (porque puede leer varios tipos)
• -E tipo de encapsulado
• -c número de paquetes
• -s tamaño archivo captura
• -d tamaño archivo datos
• -u duración captura
• -a tiempo comienzo y –e final de captura
• -S los dos datos de comienzo y final
• Promedios
• -y promedio datos (in bytes/sec)
• -i promedio datos (in bits/sec)
• -z promedio tamaño paquetes (in bytes)
• -x promedio  paquetes (in packets/sec)

Para formatear los datos, tablas, etc, tenemos una serie de opciones. Las vemos con ejemplos:

Queremos crear una tabla con los datos de tipo, tipo encapsulado, número de paquetes de todos nuestros archivos. Usamos para ello -T para crear la tabla:

capinfos -T -tEc *.pcap
File name             File type                             File encapsulation       Number of packets
050608.pcap     Wireshark/tcpdump/… – libpcap Ethernet        226707
aaa.pcap           Wireshark/tcpdump/… – libpcap Ethernet        691
captura.pcap      Wireshark/tcpdump/… – libpcap Ethernet        1553
captura1.pcap    Wireshark/tcpdump/… – libpcap Ethernet        1014
captura3.pcap    Wireshark/tcpdump/… – libpcap Ethernet        2384
captura4.pcap    Wireshark/tcpdump/… – libpcap Ethernet        604
gateway.pcap     Wireshark/tcpdump/… – libpcap Ethernet        7872
gateway01.pcap  Wireshark/tcpdump/… – libpcap Ethernet        7872
imap.pcap         Wireshark/tcpdump/… – libpcap Ethernet        227
msnms.pcap      Wireshark/tcpdump/… – libpcap Ethernet        364
smtp.pcap       Wireshark/tcpdump/… – libpcap Ethernet          60
XPLICO.pcap     Wireshark/tcpdump/… – libpcap Ethernet        55793

Formatos de captura soportados.

Entre otros, capinfos soporta:

–libpcap/WinPcap, tcpdump and various other tools using tcpdump capture format
-snoop and atmsnoop
-Shomiti/Finisar Surveyor captures
-Novell LANalyzer captures
-Microsoft Network Monitor captures
-AIX iptrace captures
-Cinco Networks NetXRay captures
-Network Associates Windows-based Sniffer captures
-Network General/Network Associates DOS-based Sniffer (compress or uncompress)c  aptures
-AG Group/WildPackets EtherPeek/TokenPeek/AiroPeek/EtherHelp/Packet-
-Grabber captures
-Network Instruments Observer version 9 captures
-Lucent/Ascend router debug output
-files from HP-UX nettl
-Toshiba ISDN routers dump output
-the output from i4btrace from the ISDN4BSD project
-traces from the EyeSDN USB S0.
-the output in IPLog format from the Cisco Secure Intrusion DetectionSystem
-pppd logs (pppdump format)
-the output from VM TCPIPtrace/TCPtrace/UCXTRACE utilities
-the text output from the DBS Etherwatch VMS utility
-Visual Network Visual UpTime traffic capture
-the output from CoSine L2 debug
-the output from Accellent 5Views LAN agents
-Endace Measurement Systems ERF format captures
-Linux Bluez Bluetooth stack hcidump -w trace

.