Una de las opciones que podemos aplicar a nuestras capturas es el truncado de paquetes. En windump/tcpdump, veíamos que, con la opción -s (snaplen), podíamos limitar la captura del tráfico a una determinada cantidad de bytes. Pues bien, lo mismo podemos hacer con Wireshark y Tshark, todo ello con objeto, por ejemplo, de visualizar solo ciertas partes de un paquete.
En Capture > Options, tenemos la opción Limit each packet n bytes.
En n indicamos la cantidad de bytes a limitar en la captura de paquetes.
¿ Qué conseguimos con esto ?. Pues limitar el paquete para ver solo:
- 14 bytes: Capa Ethernet.
- 34 bytes: Cabecera IP.
- 54 bytes: Cabecera TCP. 42 bytes para Cabecera datagrama UDP.
- x bytes: Zona de datos u otros protocolos encapsulados.
Lo vemos con un ejemplo.
- Capa Ethernet. Marcada con azul. Si contamos los bytes, tenemos exactamente 14.
- Cabecera IP. Marcada con rojo. Contamos y tenemos 20 bytes, que sumados a los 14 de la Capa Ethernet, tenemos 34 bytes.
- Cabecera TCP. Zona marcada en amarillo. Contamos y tenemos 20 bytes, se sumados a los 34 anteriores, nos da 54 bytes.
Es decir, que si establecemos el límite a 54 bytes, Wireshark solo visualizará hasta la cabecera TCP.
Este no es el caso, pero si se tratase del protocolo UDP, tendríamos que establecer el límite a 42 bytes.
A partir de ahí podemos ir poniendo límites según protocolos o datos involucrados. En este caso tenemos HTTP y datos de un fichero gráfico tipo GIF.
Una vez establecido el límite, nuestras capturas tendrán este «formato»:
Vemos calramente como nuestras captura está limitada a Internet Protocol (IP). No aparece más.
En Tshark, podemos hacer lo mismo. La opción sería -s.
Como recordatorio de Tshark.
Las opciones usadas en la anterior captura:
- i3 usar la interface 3. el listado de interfaces lo obtenemos con -D
- -n no resolver nombres de hosts
- -s 54 establcemos el limite, trucado o snaplen en 54 bytes para capturar hasta la cabecera TCP.
- -f «dst port 80» establecemos un filtro para capturar solo lo paquetes o tramas con destino al puerto 80.
- -c10 un limite de 10 paquetes en la captura.
Todo esto y más relacionado con Tshark lo vimos en:
- Tshark, Wireshark en línea de comandos. (I Parte.)
- Tshark, Wireshark en línea de comandos. (II Parte.)
- Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.
- Tshark, Wireshark en línea de comandos. (IV Parte.) Usando el lenguaje Lua.
- Tshark, Wireshark en línea de comandos. (V Parte.) Avanzando en filtros y Estadísticas.
- Tshark. Análisis correo saliente SMTP.
- Tshark Detectando problemas en la red.
—————————————————————————