Una de la características interesantes de Wireshark es el arranque preconfigurado mediante línea de comandos. Cuando arrancamos Wireshark de forma nomal, luego tenemos que indicar la interface de captura, filtro de captura, si queremos leer los datos de un fichero .pcap, opciones, etc. Todo esto lo podemos evitar usando el arranque por línea de comandos.
Podemos usar también esta característica para añadir Wireshark a una programación de tarea, etc.
Arranque de Wireshark mediante línea de comandos.
Los comandos básicos.
Los comandos básicos son, en algunos casos, los mismos usados en Tshark para su uso normal:
- -i interface
- -k iniciar de inmediato la captura (usaremos esta opción siempre )
- -f filtro de captura
- -s snaplen
Por ejemplo, si quieremos arrancar Wireshark estableciendo como interface de captura la establecida como número 2, como filtro de captura «host 192.168.1.5», y estableciendo un snaplen = 512:
- wireshark -i2 -k -f «host 192.168.1.5» -s512
Automáticamente se nos abrirá Wireshark capturando de inmediato según hemos indicado mediante comandos.
Podemos parar la captura mendiate el uso de condiciones:
- -c n para parar cuando se cumpla la condición de n paquetes capturados.
- -a duration:/filesize:/files: paramos la captura cuando se cumple condiciones de tiempo en segundos, tamaño en KB. o número de ficheros.
Por ejemplo. La misma captura anterior que se parará cuando pasen 10 segundos o cuando se cumpan la condición de 50 paquetes:
- wireshark -i2 -k -f «host 192.168.1.5» -s512 -aduration:10
- wireshark -i2 -k -f «host 192.168.1.5» -s512 -c50
Con la opción -w podenos guardar la captura en un archivo especificado. Y haciendo uso de lo ya aprendido podemos crear la siguiente línea de órdenes:
- wireshark -i2 -k -f «host 192.168.1.5» -s512 -w captura_ejemplo.pcap -afilesize:10
La captura bajo las condiciones marcadas se parará cuando el archivo creado captura_ejemplo.pcap alcance los 10 KB. La captura se parará, pero no se cerrará Wireshark. Para ello introduciremos la opción -Q. Lógicamente añadiremos la opción -w para guardar lo capturado antes de cerrar.
Con la opción -R podemos, al igual que con Tshark, establecer un filtro de visualización o Display Filter.
Invocando las estadísticas.
Podemo también invocar a las estádisticas como si de Tshark se tratase. Se abrirá Wireshark e inmediantamente la ventana gráfica especificada de estadísticas.
- wireshark -i2 -k -f «host 192.168.1.245» -zio,stat,
La forma de «llamar» a las estdísticas es la misma que para Tshark. Para ello repasad:
- Tshark, Wireshark en línea de comandos. (III Parte.) Estadísticas.
- Tshark, Wireshark en línea de comandos. (V Parte.) Avanzando en filtros y Estadísticas.
Formateo de tiempo.
Con la opción -t podemos formatear la impresión de tiempo en nuestras capturas al abrir Wireshark de diferentes formas:
- -t ad Formato absoluto fecha y tiempo.
- -t a Formato absoluto sin dato de fecha.
- –t r Relativo en segundos entre primer paquete y el actual
- –t d Tiempo respecto al paquete anterior
Veremos entonces como en la columna Time y dependiendo de la opción usada se cambia el formato:
- wireshark -i2 -k -f «host 192.168.1.5» -s512 -t ad
- wireshark -i2 -k -f «host 192.168.1.5» -s512 t a
———————————————————————–
Y hasta aquí por hoy. En la próxima veremos como cargar configuraciones y otras opciones más avanzadas.
Seguridad y Redes 