Tshark, Wireshark en línea de comandos. (II Parte.)

En esta entrega avanzamos en el estudio de Tshark. Ya vimos en la primera parte las opciones más básicas. Ahora nos adentraremos en las opciones que hacen de Tshark un capturador/analizador de paquetes bastante interesante.

Formateo de tiempo.

Con la opción -t podemos formatear la impresión de tiempo en nuestras capturas de diferentes formas:

• -t ad Formato absoluto fecha y tiempo.
• -t a Formato absoluto sin dato de fecha.
• –t r Relativo en segundos entre primer paquete y el actual
• –t d Tiempo respecto al paquete anterior
  

Ejemplos:

-t ad

2008-05-02 10:00:11.133511 192.168.1.1 00:13:49:56:32:c7 224.0.0.1 IGMP V2 Membership Query

-t a

10:02:26.148340 192.168.1.1 00:13:49:56:32:c7 224.0.0.1 IGMP V2 Membership Query

-t r

0.000000 192.168.1.201 00:1b:78:1e:88:c8 224.0.0.251 IGMP V1 Membership Report
2.987708 192.168.1.201 00:1b:78:1e:88:c8 224.0.1.60 IGMP V1 Membership Report

Formateo de salida de datos.

Podemos formatear la salida de los datos de paquetes capturados para su mejor decodificación o tratamiento externo. Lo haremos con la opción -T en combinación con -e y -E.

Con -T especificamos el formato de los datos, es decir, si lo queremos en formato XML, texto, postscript o por campos.

Con la opción -e especificamos que campos mostramos cuando usemos la opción -T fields.

Con la opción -E mostramos la información de los campos especificados con -e.

Vamos a ver todo esto por partes y de forma más detallada.

Formateo de tipo de datos (-T)

• -T psml / -T pdml

Formato XML psml ó pdml

• -T ps

Formato postscript

• -T text

Formato texto. Por defecto

• -T fields

Formato campos seleccionados. Los campos a mostrar en la capturas lo indicaremos con la opción -e. Por ejemplo. Si queremos mostrar el campo IP lo haremos de la forma -e ip.addr. Lo vemos al fina con unos ejemplo.

Formateo de especificacion de campos a mostrar (-e).

Indicaremos con -e los campos a mostrar de nuestras capturas. Si solo queremos mostrar el campo IP y el puerto UDP haremos lo siguiente:

-e ip.addr -e udp.port

El comando -e necesariamente debe ir acpmpañado de -T fields

Formateo de información de campos mostrados (-E)

Nos muestra los campos especificados con -e. además podemos, para mostroar mejor los datos capturados, establecer separadores, cabeceras, etc.

• -E headers=y/n

Establece si imprimimos o no la cabecera de los campos indicados en -e

• -E separators=/t | /s [caracter]

Establecemos un separador para los campos mostrados en -e ó un separador tipo caracter.

• -E quote=d|s|n

Delimitamos, los campos mostrados con comillas, comillas simples o sin delimitar.

Ejemplos de combinación de comandos formateo de salida de datos.

A continuación unos ejemplos de lo explicado para formateo. Marco en negrita los comandos usados.

>tshark -i2 -n -t ad -T ps
%!
%!PS-Adobe-2.0
%
% Wireshark – Network traffic analyzer
% By Gerald Combs
% Copyright 1998 Gerald Combs
%
%%Creator: Wireshark
%%Title: wireshark.ps
%%DocumentFonts: Helvetica Courier
%%EndComments
%!

%
% Ghostscript http://ghostscript.com/ can convert postscript to pdf files.
%
% To convert this postscript file to pdf, type (for US letter format):
% ps2pdf filename.ps
%
% or (for A4 format):
% ps2pdf -sPAPERSIZE=a4 filename.ps

>tshark -i2 -n -t ad -T fields -e ip.addr -e dst.host

Capturing on 3Com EtherLink PCI
224.0.0.9
224.0.1.60
192.168.1.239
192.168.1.30
192.168.1.239
192.168.1.30
192.168.1.239

>tshark -i2 -n -t ad -T fields -e ip.addr -e dst.host -E header=y -E separator=/t

ip.addr dst.host
Capturing on 3Com EtherLink PCI

224.0.0.9

224.0.0.1
224.0.0.9
224.0.0.251
239.255.255.250
224.0.1.60
224.0.1.60

224.0.0.1
224.0.0.9
239.255.255.250
224.0.0.251
224.0.1.60
192.168.1.255

19 packets captured

>tshark -i2 -n -t ad -T fields -e ip.addr -e udp.port -E header=y -E separator=/t

ip.addr udp.port
Capturing on 3Com EtherLink PCI

224.0.0.1
239.255.255.250
224.0.0.251
192.168.1.255 137
192.168.1.255 137
192.168.1.255 137
224.0.1.60
224.0.1.60

224.0.0.9
224.0.0.1
12 packets captured

>tshark -i2 -n -t ad -T psml

Capturing on 3Com EtherLink PCI

Time
Source
mc scr
Destination
Protocol
Info

2008-05-02 11:27:04.859138
192.168.1.201
00:1b:78:1e:88:c8
224.0.1.60
IGMP
V1 Membership Report
2008-05-02 11:27:04.995910
192.168.1.11
00:01:02:9f:7b:1a
192.168.1.255
NBNS
Name query NB SERVER-1<00>

Indicadores de resolución de nombres (-N). No resolución (-n).

Con la opción -n indicamos que no se resulevan los nombres de hosts:

>tshark -i2 -n

Capturing on 3Com EtherLink PCI
0.000000 192.168.1.201 00:1b:78:1e:88:c8 224.0.0.251 IGMP V1 Membership Report
5.745429 192.168.1.1 00:13:49:56:32:c7 224.0.0.1 IGMP V2 Membership Query
5.975411 192.168.1.201 00:1b:78:1e:88:c8 224.0.0.251 IGMP V1 Membership Report

>tshark -i2

Capturing on 3Com EtherLink PCI
0.000000 192.168.1.54 Dell_1d:b5:da 192.168.1.255 BROWSER Host Announcement MAQUINA1-XP, Workstation, Server, NT Workstation, Potential Browser
0.050003 192.168.1.30 3Com_ed:89:c3 224.0.0.9 IGMP V2 Membership Report
0.794876 3Com_ed:89:c3 3Com_ed:89:c3 Broadcast ARP Who has 192.168.1.245? Tell 192.168.1.30
0.794995 192.168.1.245 192.168.1.245 3Com_ed:89:c3 ARP 192.168.1.245 is at 00:14:22:5f:a9:25
0.795003 192.168.1.30 3Com_ed:89:c3 192.168.1.245 DNS Standard query PTR 255.1.168.192.in-addr.arpa
0.867768 192.168.1.245 192.168.1.245 192.168.1.30 DNS Standard query response, No such name
1.544494 192.168.1.30 3Com_ed:89:c3 MAQUINA-2 DNS Standard query PTR 30.1.168.192.in-addr.arpa
1.544570 192.168.1.30 3Com_ed:89:c3 MAQUINA-2 DNS Standard query PTR 9.0.0.224.in-addr.arpa

Con la opción -N establecemos que indicadores de resulución queremos.

• -N m Resolver dirección MAC
• -N n Resolver nombres a nivel de red.
• –N t Resolver nombres capa trasporte.

Modo promíscuo (-p)

No ponemos la tarjeta en modo promíscuo.

Combinando filtros de captura y visualización ó display filters.

Podemos combinar ambos filtros en línea de comandos con Tshark usando los comandos -f (filtros de captura) que lo vimos en la primera parte y -R (filtros de visualización):

>tshark -i 2 -f «port 25» -R «smtp.req.parameter contains «midominio»»
Could not open file: ‘Ericsson.xml’, error: No such file or directory
Capturing on 3Com EtherLink PCI
0.193559 192.168.1.30 3Com_ed:89:c3 192.168.100.241 SMTP Command: MAIL FROM:
0.196750 192.168.1.30 3Com_ed:89:c3 192.168.100.241 SMTP Command: RCPT TO:

Filtros de captura y visualización para Wireshark y Tshark.

Estadísticas (-z).

Las veremos más a delante. Un adelanto en foma de ejemplos de esta muy interesante característica de Tshark.

>tshark -i2 –q -zio,phs -t ad -f «tcp»

Capturing on 3Com EtherLink PCI
330 packets captured

===================================================================
Protocol Hierarchy Statistics
Filter: frame

frame frames:330 bytes:175489
eth frames:330 bytes:175489
ip frames:330 bytes:175489
tcp frames:330 bytes:175489
http frames:10 bytes:9012
image-jfif frames:1 bytes:967
malformed frames:1 bytes:967
tcp.segments frames:8 bytes:2826
http frames:8 bytes:2826
image-gif frames:2 bytes:178
data-text-lines frames:4 bytes:1445
png frames:2 bytes:1203
===================================================================

Estadísticas para http:

>tshark -i2 -q -zhttp,tree -t ad -f «tcp»

Capturing on 3Com EtherLink PCI
352 packets captured

===================================================================
HTTP/Packet Counter value rate percent
——————————————————————-
Total HTTP Packets 39 0,001354
HTTP Request Packets 17 0,000590 43,59%
GET 17 0,000590 100,00%
HTTP Response Packets 16 0,000556 41,03%
???: broken 0 0,000000 0,00%
1xx: Informational 0 0,000000 0,00%
2xx: Success 12 0,000417 75,00%
200 OK 10 0,000347 83,33%
204 No Content 2 0,000069 16,67%
3xx: Redirection 1 0,000035 6,25%
304 Not Modified 1 0,000035 100,00%
4xx: Client Error 3 0,000104 18,75%
404 Not Found 3 0,000104 100,00%
5xx: Server Error 0 0,000000 0,00%
Other HTTP Packets 6 0,000208 15,38%

===================================================================

En la siguiente entrega avanzaremos aún más.