Tshark, Wireshark en línea de comandos. (V Parte.) Avanzando en filtros y Estadísticas.

Publicado el 13 May, 2008 por Alfon

En esta entrega de Tshark, Wireshark en línea de comandos, avanzamos un poco más en las Estadísticas que vimos ya en la III parte. Esta vez nos centraremos en:

  • dests,tree
  • ptype,tree
  • ip_hosts,tree
  • smb,rtt

Avanzaremos sobre otras estádisticas vistas en otras entregas, usaremos funciones como SUM(), COUNT(), MIN(), etc. y aplicaremos filtros mostrando resultados por campos tipo –Tfields.

Practicaremos con los filtros y opciones en busca de la información que nos interse.

Arbol de destinos.

-z dests,tree, filtro,

Nos muestra información de número de paquetes frames capturados, protocolos usados y ratios atendiendo al tráfico de destino de hosts. Podemos aplicar filtro:

tshark

Arbol de tipo de puerto.

-z ptype,tree

Nos muestra información de tipo de puerto TCP O UDP:

TSHARK

Arbol de IP hosts.

-z ip_hosts,tree

Nos muestra información de IP de los host intervinientes en la captura:

tshark

Transacciones SMB.

-z smb,rtt

Nos muestra información de transacciones SMB, paquetes SMB, etc.

tshark

Avanzando en Estadísticas y filtros

Vamos a realizar una captura en la que queremos que se nos muestreuna series de campos del datagrama IP. en este caso el campo TTL y los flags o banderas clasificados por IP.

Usaremos la opción -Tfields, es decir, mostrar la información por campos. Estableceremos que campos -e y como apareceran en pantalla con la opción -E:

tshark

Algo parecido a lo anterior pero nos centreremos en capturas HTTP, para biscar información como código de respuesta HTTP, hosts, ubicación de archivos del servidor, etc:

tshark

Vamos a mezclar estadísticas, filtros y el uso de funciones tipo SUM(), COUNT(), etc. Usaremos la función SUM() en estos dos ejemplos para mejor explicar su funcionamiento.

Tomaremos los datos de una captura (captura.cap) realizada con anterioridad con el comando -w. Leeremos el archivo .cap de la forma -r captura.cap. Mostraremos la información por columnas:

tshark

Ahora vamos a ver una «conversación» ICMP. Realizaremos el volcado de la información de la captura en pantalla mostrando como se realiza el «diálogo» echo request / echo reply resultado de un ping a un host cualquiera (quitamos la opción -q para esta tarea). Mostraremos las estadísticas de conversación y la estadistica de jerarquía de protocolos involucrados:

tshark

Vamos a realizar, por último en este capítulo, un volcado de información similar pero para ver como se realiza un establecimiento de conexión TCP, lo que técnicamente se llama three-way handshake. Lo vimos en el capítulo dedicado a la Interpretación del Segmento TCP.:

tshark

———————————————————

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , , , , . Guarda el enlace permanente.

Una respuesta a Tshark, Wireshark en línea de comandos. (V Parte.) Avanzando en filtros y Estadísticas.

  1. Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes

Deja un comentario