Tshark, Wireshark en línea de comandos. (VI Parte.) Avanzando en filtros, Estadísticas, COUNT, SUM, MIN, MAX y AVG.

Hemos tratado en varias ocasiones el tema de las estadísticas Tshark y Wireshark:

• Wireshark. Estadísticas y GeoIP.
• Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.
• Tshark, Wireshark en línea de comandos. (V Parte.) Avanzando en filtros y Estadísticas.

Seguimos avanzando. Veremos otras aplicaciones de las estadísticas, operadores COUNT, SUM, MIN, MAX, AVG y nuevos tipos, por ejemplo, las estadísticas VoIP.

Varias estadísticas a la vez.

Podemos, en la misma captura, mostrar distintas estádisticas con filtros distintos. Solo tenenmos que invocar a las estadísticas con -z tantas veces como necesitemos. Lo vemos con un ejemplo de estadísticas de protocolo:

Uso de COUNT, SUM, MIN, MAX y AVG.

• COUNT cuantas veces un determinado valor de campo aparece en los paquetes capturados filtrados
• SUM número de ocurrencias de un valor de campo en un determinado período de tiempo.
• MIN, MAX, AVG se aplica a periodos relativos de tiempo para el cálculo de minimos, máximos y medias de ocurrencias de valores de campos.

Un ejemplo de uso podría ser el análisis de los problemas que podemos encontrar en una red. Es decir, mostrar cálculos y estádisticas para:

• pérdidas de paquetes
• ACKs duplicados
• segmentos TCP fuera de orden
• TCP previous segment lost
• etc,

Todos estos conceptos los vimos aquí: https://seguridadyredes.wordpress.com/post/2009/02/19/tshark-detectando-problemas-en-la-red

Traducido al lenguaje de los filtros pcap, sería contar, mostrar medias, y otros cálculos para:

• tcp.windows_size tamaño de la ventana TCP
• tcp.analysis.lost_segment Perdida de paquetes o segmentos
• tcp.analysis.retransmission Mecanismo de rentransmision
• tcp.analysis.fast.retransmission Mecanismo de rentransmision rápida
• tcp.analysis.duplicate_ack Análisis de ACKs duplicados

Estos filtros y su aplicación en gráficas lo vimos aquí: https://seguridadyredes.wordpress.com/post/2009/02/20/wireshark-tshark-usando-io-graph-para-relacionar-acks-duplicados-lost-segment-y-retransmisiones

Pues bien todos estos análisis y cálculos lo podemos realizar y extraer estádisticas. Lo vamos viendo con ejemplos.

Para obtener estádisticas de tiempos de respuesta SMB:

• tshark -i2 -nqzio,stat,1,smb.time,MAX(smb.time)smb.time,MIN(smb.time)smb.time,AVG(smb.time)smb.time

Para obtener estádisticas de retransmisiones, tamaño de ventana, etc:

• tshark -r gateway01.pcap -nqzio,stat,20,»COUNT(tcp.analysis.retransmission)tcp.analysis.retransmission»,
  «MIN(tcp.window_size)tcp.window_size»,»MAX(tcp.window_size)tcp.window_size»,»AVG(tcp.window_size)tcp.window_size»

. 

Estadísticas VOIP.

Para entender las estádisticas VoIP daremos un repaso a:

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extracción de audio.

rtp,stream

Las estadísticas rtp,stream nos permite medir los valores de parámetros que intervienen en la calidad de VoIP como el jitter, retardo y pérdida de paquetes de las llamadas, errores, etc. además nos dará información sobre las IPs, Payload o carga útil de los paquetes, etc.

Ejemplo:

• tshark -z rtp,streams -r SIP_CALL_RTP_G711.pcap

sip,stat

Un resumen de las estádisticas SIP. Tales como número de mensajes, número de mensajes respecto al código, resumen de métodos, etc.

Ejemplo:

• tshark -z sip,stat -r SIP_CALL_RTP_G711.pcap

—