Wireshark / Tshark. Packet size limited during capture. Truncado de paquetes.

Una de las opciones que podemos aplicar a nuestras capturas es el truncado de paquetes. En windump/tcpdump, veíamos que, con la opción -s (snaplen), podíamos limitar la captura del tráfico a una determinada cantidad de bytes. Pues bien, lo mismo podemos hacer con Wireshark y Tshark, todo ello con objeto, por ejemplo, de visualizar solo ciertas partes de un paquete.

En Capture > Options, tenemos la opción Limit each packet n bytes.

En n indicamos la cantidad de bytes a limitar en la captura de paquetes.

¿ Qué conseguimos con esto ?. Pues limitar el paquete para ver solo:

Lo vemos con un ejemplo.

wireshark limite o truncado de paquetes por bytes

  • Capa Ethernet. Marcada con azul. Si contamos los bytes, tenemos exactamente 14.
  • Cabecera IP. Marcada con rojo. Contamos y tenemos 20 bytes, que sumados a los 14 de la Capa Ethernet, tenemos 34 bytes.
  • Cabecera TCP. Zona marcada en amarillo. Contamos y  tenemos 20 bytes, se sumados a los 34 anteriores, nos da 54 bytes.

Es decir, que si establecemos el límite a 54 bytes, Wireshark solo visualizará hasta la cabecera TCP.

Este no es el caso, pero si se tratase del protocolo UDP, tendríamos que establecer el límite a 42 bytes.

A partir de ahí podemos ir poniendo límites según protocolos o datos involucrados. En este caso tenemos HTTP y datos de un fichero gráfico tipo GIF.

Una vez establecido el límite, nuestras capturas tendrán este “formato”:

wireshark captura limitada o truncada en bytes

Vemos calramente como nuestras captura está limitada a Internet Protocol (IP). No aparece más.

En Tshark, podemos hacer lo mismo. La opción sería -s.

tshark -s limite de captura

Como recordatorio de Tshark.

Las opciones usadas en la anterior captura:

  • i3 usar la interface 3. el listado de interfaces lo obtenemos con -D
  • -n no resolver nombres de hosts
  • -s 54 establcemos el limite, trucado o snaplen en 54 bytes para capturar hasta la cabecera TCP.
  • -f “dst port 80” establecemos un filtro para capturar solo lo paquetes o tramas con destino al puerto 80.
  • -c10 un limite de 10 paquetes en la captura.

Todo esto y más relacionado con Tshark lo vimos en:

—————————————————————————

Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark y etiquetada , , , , , , . Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s