Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.

Ya vimos en la primera y segunda parte de Tshark las nociones más basicas y algunas más avanzadas del uso de este capturador de paquetes.

En esta tercera entrega vamos a estudiar una característica bastante intersante de Tshark y Wireshark, las estadísticas. Estadísticas que nos informarán del uso de la red, protocolos involucrados en las capturas y estádisticas de uso, comunicaciones entre hosts, etc. Además podemos aplicar filtros a las estádisticas de tal forma que la información obtenida por ellas es altamente personalizable y flexible.

Existe gran variedad de tipos de estádisticas a mostrar por Tshark, protocolos, comunicaciones entre hosts, estádisticas de direcciones de destino, estadísticas SMB, por longitud de paquetes, HTTP, etc y todo ello aplicando intervalos de tiempo para mostrar los resultados y filtros de captura. Se muestra también información de ratios y porcentajes.

Actualizado a 08-05-2008: Mostrar datos estadísticos en varias columnas.

El comando que invoca a las estadísticas es -z. vamos a ver, a continuación, los tipos de estádisticas y ejemplos. Si añadimos -q no apareceran las capturas en pantalla, solo las estadisticas tras pulsar Control+C.

Estadísticas de Protocolo.

-z io,stat,intervalo, filtro,filtro,

Nos muestra información de número de paquetes frames capturados en un intervalo determinado. Podemos aplicar un filtro o varios filtros.

Un ejemplo sin aplicar filtros:

Podemos aplicar varios filtros. La información se nos mostrará en pantalla en varias columnas. Se mostrará mostrará el letrero de las columnas con el filtro aplicado:

• Column #0 filtro por ip
  
• Column #1 filtro por tcp
  
• Column #2 filtro por icmp
  
• Column #3 tcp.port == 80

Lo vemos en un ejemplo:

Estadísticas de Jeraquía de Protocolos.

-z io,phs, filtro

Nos muestra información de los protocolos involucrados en la captura. Podemos aplicar un filtro.

Sin filtro. Todos los protocolos involucrados en la captura. Tenemos información de protocolos, frames capturados y bytes.

Aplicamos filtros:

Observamos en la captura de arriba, en el protocolo http, datos sobre imagenes, etc descargados tras la navegación (tcp.port eq 80).

Arriba. Se trata de captura con destino a un servidor de correo, de ahí la presencia de imap.

Aplicamos duración a la captura tras lo cual aparecerán las estadísticas sin pulsar Control+C:

Estadísticas de comunicación o conversación.

-z conv,tipo,filtro

Información sobre comunicaciones o conversaciones entre hosts. Podemos establecer diferentes tipos:

• eth
• fc
• fddi
• ip
• ipx
• tcp
• tr
• udp

Estadísticas IP:

Estadísticas TCP aplicando filtro:

Añadiendo información de protocolos a los paquetes capturados.

Podemos incluir información a los frames de paquetes capturados de la forma:

-z proto,colinfo,filtro,campo

Que podenos añadir. Ya estudiamos en su momentos los campos de un datagrama IP y vimos algunos campos como versión, TTL, Tipo de servicio, banderas o flags, etc. En una captura tshark normal no veriamos estos campos. Con proto,colinfo podemos ver mucho de ellos.

Algunos ejemplos con:

• -z proto,colinfo,ip.ttl,ip.ttl
• -z proto,colinfo,ip.proto,ip.proto
• -z proto,colinfo,ip.proto,ip.proto -z proto,colinfo,ip.ttl,ip.ttl
• -z proto,colinfo,ip.proto,ip.proto -z proto,colinfo,tcp.len,tcp.len

Estadísticas http.

Completo informe estádistico de transaciones http, códigos de error… También nos informa de redirecciones, errores de servidor, enlaces rotos, etc.

Tenemos varias formas de estraer la información:

• -z http,stat,filtro
• -z http,tree,filtro
• -z http_req,tree
• -z http_srv,tree

Y algunos ejemplos combinando también filtros:

Las estadisticas basadas en:

• -z http_req,tree
• -z http_srv,tree

son muy interesantes y nos da mucha más información que los otros dos métodos:

http_srv,tree:

En la siguiente entrega seguiremos con las estádisticas, plugins y otras características avanzadas de Tshark.