Tshark, Wireshark en línea de comandos. (VI Parte.) Avanzando en filtros, Estadísticas, COUNT, SUM, MIN, MAX y AVG.

Hemos tratado en varias ocasiones el tema de las estadísticas Tshark y Wireshark:

Seguimos avanzando. Veremos otras aplicaciones de las estadísticas, operadores COUNT, SUM, MIN, MAX, AVG y nuevos tipos, por ejemplo, las estadísticas VoIP.

Varias estadísticas a la vez.

Podemos, en la misma captura, mostrar distintas estádisticas con filtros distintos. Solo tenenmos que invocar a las estadísticas con -z tantas veces como necesitemos. Lo vemos con un ejemplo de estadísticas de protocolo:

estadisticas wireshark tshark

Uso de COUNT, SUM, MIN, MAX y AVG.

  • COUNT cuantas veces un determinado valor de campo aparece en los paquetes capturados filtrados
  • SUM número de ocurrencias de un valor de campo en un determinado período de tiempo.
  • MIN, MAX, AVG se aplica a periodos relativos de tiempo para el cálculo de minimos, máximos y medias de ocurrencias de valores de campos.

Un ejemplo de uso podría ser el análisis de los problemas que podemos encontrar en una red. Es decir, mostrar cálculos y estádisticas para:

  • pérdidas de paquetes
  • ACKs duplicados
  • segmentos TCP fuera de orden
  • TCP previous segment lost
  • etc,

Todos estos conceptos los vimos aquí: https://seguridadyredes.wordpress.com/post/2009/02/19/tshark-detectando-problemas-en-la-red

Traducido al lenguaje de los filtros pcap, sería contar, mostrar medias, y otros cálculos para:

  • tcp.windows_size tamaño de la ventana TCP
  • tcp.analysis.lost_segment Perdida de paquetes o segmentos
  • tcp.analysis.retransmission Mecanismo de rentransmision
  • tcp.analysis.fast.retransmission Mecanismo de rentransmision rápida
  • tcp.analysis.duplicate_ack Análisis de ACKs duplicados

Estos filtros y su aplicación en gráficas lo vimos aquí: https://seguridadyredes.wordpress.com/post/2009/02/20/wireshark-tshark-usando-io-graph-para-relacionar-acks-duplicados-lost-segment-y-retransmisiones

Pues bien todos estos análisis y cálculos lo podemos realizar y extraer estádisticas. Lo vamos viendo con ejemplos.

Para obtener estádisticas de tiempos de respuesta SMB:

  • tshark -i2 -nqzio,stat,1,smb.time,MAX(smb.time)smb.time,MIN(smb.time)smb.time,AVG(smb.time)smb.time

wireshark tshark smb time estadisticas

Para obtener estádisticas de retransmisiones, tamaño de ventana, etc:

  • tshark -r gateway01.pcap -nqzio,stat,20,”COUNT(tcp.analysis.retransmission)tcp.analysis.retransmission”,
    “MIN(tcp.window_size)tcp.window_size”,”MAX(tcp.window_size)tcp.window_size”,”AVG(tcp.window_size)tcp.window_size”

tshark -r gateway01.pcap -nqzio,stat,20,

Estadísticas VOIP.

Para entender las estádisticas VoIP daremos un repaso a:

Wireshark. Captura conversaciones VoIP. Protocolo SIP, SDP y RTP. Extracción de audio.

rtp,stream

Las estadísticas rtp,stream nos permite medir los valores de parámetros que intervienen en la calidad de VoIP como el jitter, retardo y pérdida de paquetes de las llamadas, errores, etc. además nos dará información sobre las IPs, Payload o carga útil de los paquetes, etc.

Ejemplo:

  • tshark -z rtp,streams -r SIP_CALL_RTP_G711.pcap

tshark -z rtp,streams

sip,stat

Un resumen de las estádisticas SIP. Tales como número de mensajes, número de mensajes respecto al código, resumen de métodos, etc.

Ejemplo:

  • tshark -z sip,stat -r SIP_CALL_RTP_G711.pcap

tshark  -z sip,stat

Esta entrada fue publicada en Seguridad y redes, VoIP, Wireshark . Tshark. Guarda el enlace permanente.

3 respuestas a Tshark, Wireshark en línea de comandos. (VI Parte.) Avanzando en filtros, Estadísticas, COUNT, SUM, MIN, MAX y AVG.

  1. Adrián dijo:

    Hola, excelente material prublicás
    sabés cómo puedo ver las estadísticas VOIP que describís, pero en tiempo real, no por pos-procesamiento?
    desde ya te agradezco

  2. Alfon dijo:

    Adrián, aunque la captura la realices a través de la interface de red, en tiempo real, hasta que no le des a control+C no verás las estadísticas.

  3. Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s