Hemos tratado en varias ocasiones el tema de las estadísticas Tshark y Wireshark:
- Wireshark. Estadísticas y GeoIP.
- Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.
- Tshark, Wireshark en línea de comandos. (V Parte.) Avanzando en filtros y Estadísticas.
Seguimos avanzando. Veremos otras aplicaciones de las estadísticas, operadores COUNT, SUM, MIN, MAX, AVG y nuevos tipos, por ejemplo, las estadísticas VoIP.
Varias estadísticas a la vez.
Podemos, en la misma captura, mostrar distintas estádisticas con filtros distintos. Solo tenenmos que invocar a las estadísticas con -z tantas veces como necesitemos. Lo vemos con un ejemplo de estadísticas de protocolo:
Uso de COUNT, SUM, MIN, MAX y AVG.
- COUNT cuantas veces un determinado valor de campo aparece en los paquetes capturados filtrados
- SUM número de ocurrencias de un valor de campo en un determinado período de tiempo.
- MIN, MAX, AVG se aplica a periodos relativos de tiempo para el cálculo de minimos, máximos y medias de ocurrencias de valores de campos.
Un ejemplo de uso podría ser el análisis de los problemas que podemos encontrar en una red. Es decir, mostrar cálculos y estádisticas para:
- pérdidas de paquetes
- ACKs duplicados
- segmentos TCP fuera de orden
- TCP previous segment lost
- etc,
Todos estos conceptos los vimos aquí: https://seguridadyredes.wordpress.com/post/2009/02/19/tshark-detectando-problemas-en-la-red
Traducido al lenguaje de los filtros pcap, sería contar, mostrar medias, y otros cálculos para:
- tcp.windows_size tamaño de la ventana TCP
- tcp.analysis.lost_segment Perdida de paquetes o segmentos
- tcp.analysis.retransmission Mecanismo de rentransmision
- tcp.analysis.fast.retransmission Mecanismo de rentransmision rápida
- tcp.analysis.duplicate_ack Análisis de ACKs duplicados
Estos filtros y su aplicación en gráficas lo vimos aquí: https://seguridadyredes.wordpress.com/post/2009/02/20/wireshark-tshark-usando-io-graph-para-relacionar-acks-duplicados-lost-segment-y-retransmisiones
Pues bien todos estos análisis y cálculos lo podemos realizar y extraer estádisticas. Lo vamos viendo con ejemplos.
Para obtener estádisticas de tiempos de respuesta SMB:
- tshark -i2 -nqzio,stat,1,smb.time,MAX(smb.time)smb.time,MIN(smb.time)smb.time,AVG(smb.time)smb.time
Para obtener estádisticas de retransmisiones, tamaño de ventana, etc:
- tshark -r gateway01.pcap -nqzio,stat,20,»COUNT(tcp.analysis.retransmission)tcp.analysis.retransmission»,
«MIN(tcp.window_size)tcp.window_size»,»MAX(tcp.window_size)tcp.window_size»,»AVG(tcp.window_size)tcp.window_size»
.
Estadísticas VOIP.
Para entender las estádisticas VoIP daremos un repaso a:
Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extracción de audio.
rtp,stream
Las estadísticas rtp,stream nos permite medir los valores de parámetros que intervienen en la calidad de VoIP como el jitter, retardo y pérdida de paquetes de las llamadas, errores, etc. además nos dará información sobre las IPs, Payload o carga útil de los paquetes, etc.
Ejemplo:
- tshark -z rtp,streams -r SIP_CALL_RTP_G711.pcap
sip,stat
Un resumen de las estádisticas SIP. Tales como número de mensajes, número de mensajes respecto al código, resumen de métodos, etc.
Ejemplo:
- tshark -z sip,stat -r SIP_CALL_RTP_G711.pcap
—
Hola, excelente material prublicás
sabés cómo puedo ver las estadísticas VOIP que describís, pero en tiempo real, no por pos-procesamiento?
desde ya te agradezco
Adrián, aunque la captura la realices a través de la interface de red, en tiempo real, hasta que no le des a control+C no verás las estadísticas.
Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes