Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.

Ya vimos en la primera y segunda parte de Tshark las nociones más basicas y algunas más avanzadas del uso de este capturador de paquetes.

tshark logo

En esta tercera entrega vamos a estudiar una característica bastante intersante de Tshark y Wireshark, las estadísticas. Estadísticas que nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark, protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

Actualizado a 08-05-2008: Mostrar datos estadísticos en varias columnas.

El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.

Estadísticas de Protocolo.

-z io,stat,intervalo, filtro,filtro,

Nos muestra información de número de paquetes frames capturados en un intervalo determinado. Podemos aplicar un filtro o varios filtros.

Un ejemplo sin aplicar filtros:

tshark

Podemos aplicar varios filtros. La información se nos mostrará en pantalla en varias columnas. Se mostrará mostrará el letrero de las columnas con el filtro aplicado:

  • Column #0 filtro por ip
  • Column #1 filtro por tcp
  • Column #2 filtro por icmp
  • Column #3 tcp.port == 80

Lo vemos en un ejemplo:

tshark

Estadísticas de Jeraquía de Protocolos.

-z io,phs, filtro

Nos muestra información de los protocolos involucrados en la captura. Podemos aplicar un filtro.

Sin filtro. Todos los protocolos involucrados en la captura. Tenemos información de protocolos, frames capturados y bytes.

tshark

Aplicamos filtros:

tshark

Observamos en la captura de arriba, en el protocolo http, datos sobre imagenes, etc descargados tras la navegación (tcp.port eq 80).
tshark
Arriba. Se trata de captura con destino a un servidor de correo, de ahí la presencia de imap.
Aplicamos duración a la captura tras lo cual aparecerán las estadísticas sin pulsar Control+C:

tshark

Estadísticas de comunicación o conversación.

-z conv,tipo,filtro

Información sobre comunicaciones o conversaciones entre hosts. Podemos establecer diferentes tipos:

  • eth
  • fc
  • fddi
  • ip
  • ipx
  • tcp
  • tr
  • udp

Estadísticas IP:

tshark

Estadísticas TCP aplicando filtro:

tshark

Añadiendo información de protocolos a los paquetes capturados.

Podemos incluir información a los frames de paquetes capturados de la forma:

-z proto,colinfo,filtro,campo

Que podenos añadir. Ya estudiamos en su momentos los campos de un datagrama IP y vimos algunos campos como versión, TTL, Tipo de servicio, banderas o flags, etc. En una captura tshark normal no veriamos estos campos. Con proto,colinfo podemos ver mucho de ellos.

Algunos ejemplos con:

  • -z proto,colinfo,ip.ttl,ip.ttl
  • -z proto,colinfo,ip.proto,ip.proto
  • -z proto,colinfo,ip.proto,ip.proto -z proto,colinfo,ip.ttl,ip.ttl
  • -z proto,colinfo,ip.proto,ip.proto -z proto,colinfo,tcp.len,tcp.len

tshark

Estadísticas http.

Completo informe estádistico de transaciones http, códigos de error… También nos informa de redirecciones, errores de servidor, enlaces rotos, etc.

Tenemos varias formas de estraer la información:

  • -z http,stat,filtro
  • -z http,tree,filtro
  • -z http_req,tree
  • -z http_srv,tree

Y algunos ejemplos combinando también filtros:

tshark

tshark

Las estadisticas basadas en:

  • -z http_req,tree
  • -z http_srv,tree

son muy interesantes y nos da mucha más información que los otros dos métodos:

tshark

http_srv,tree:

tshark

En la siguiente entrega seguiremos con las estádisticas, plugins y otras características avanzadas de Tshark.

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , , , , . Guarda el enlace permanente.

2 respuestas a Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.

  1. alfonso dijo:

    alfonso, tocayo, como interpreto la informacion de una conexion FTP???, cuando reconozco que se han perdido paquetes??

  2. Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s