Wireshark. Usando multiples archivos de captura.

Publicado el 26 octubre, 2009 por Alfon

En Wireshark, puede ocurrir que realicemos una captura que se prolonge demasiado en el tiempo o que se trate de una captura con gran trasiego de de datos. En ambos casos el archivo de captura .cap será demasiado grande y puede ser intratable.  Para ello disponemos de una serie de opciones que nos facilitará el trabajo.

lista ficheros de captura wireshark

Vamos a estudiar estas opciones.

Para usar esta caracterísitica de Wireshark, debemos completar las opciones de uso de multiples archivos:

opciones wireshark multiples archivos

Vemos las opciones de Capture File(s):

  • File. Aquí indicamos el archivo y ruta de los archivos .cap de captura.

El formato resultante del archivo .cap es el siguiente:

cap___00002_20091026085612

.

cap__ es el nombre que indicamos en el campo File.

00002 número de serie o de captura

20091026085612 marca de tiempo: fecha  2009-10-26 tiempo 08:56:12 en horas, minutos y segundos.

  • Use multiple files. Marcamos esta opción para captura a multiples archivos.
  • Next file every. Wireshark grabará un archivo nuevo cada n Megabytes, Kilobytes o Gigabytes.
  • Next file every. wireshark también grabará un archivo nuevo cada n segundos, minutos, horas o dias.

NOTA:  Tanto si usamos la opción de grabar archivo nuevo cada n tiempo o cada n cantidad de bytes, ambas la podemos usar de forma independiente o marcar las dos. Si marcamos las dos, Wireshark grabará un archivo nuevo cada n cantidad de bytes, pero  si sobrepada el tiempo que marquemos en la segunda opción (opción de tiempo), entonces grabará un archivo nuevo aunque no llegue a la cantidad en bytes.

Lo vemos con un ejemplo. Fijaos en la captura anterior, tenemos marcado que grabe un archivo nuevo cada 1 Megabyte o cada 15 segundos. Si vemos los archivos .cap grabados:

Wireshark opciones de multiples capturas. ficheros .cap

Podeis observar que, a pesar de indicar que grabemos archivo nuevo cada 1 Megabyte, no llega a tal cantidad, ya que sobrepasa los 15 segundos marcado como límite de captura. Observad las marcas de tiempo, vereis como entre una y otra pasan exactsmente 15 segundos.

  • Stop capture after. Wireshark parará la captura cuando se graben n ficheros .cap.
  • Ring buffer with. Wireshark creará una serie de archivos de cáptura (buffer en anillo) cada n ficheros de captura.

NOTA: En Capture filter, podemos establecer un filtro para la captura de los multiples. cap. De esta forma optimizamos el rendimiento y el tamaña de los ficheros.

Navegando por los archivos de captura.

Podemos navegar a través de los set de archivos de captura de la forma siguiente en el menú de Wireshark: File > File Set > List Files:

lista ficheros de captura wireshark

Cuando seleccionemos cualquiera de los archivos de la captura, se visualizarán todos los datos correspondientes en Wireshark.

—————–

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , . Guarda el enlace permanente.

Una respuesta a Wireshark. Usando multiples archivos de captura.

  1. Jose Santos dijo:
    18 noviembre, 2011 en 6:53 pm

    gracias tio me ayudo

    Responder

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s