LabEx
Iniciar SesiónÚnete Gratis

Personalizar la visualización de la marca de tiempo en Tshark

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá a personalizar la visualización de marcas de tiempo en la utilidad tshark de Wireshark para mejorar el análisis de redes. Explorará técnicas clave como leer archivos PCAP con -r y formatear las marcas de tiempo en UTC (-t u) o en tiempo época (-t e).

Los ejercicios prácticos lo guiarán a través de la aplicación de diferentes formatos de marcas de tiempo para satisfacer diversas necesidades de análisis. Practicará comandos como tshark -r capture.pcap -t u para estandarizar la visualización de la hora en diferentes zonas horarias o obtener mediciones precisas de tiempo época.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/packet_analysis -.-> lab-548919{{"Personalizar la visualización de la marca de tiempo en Tshark"}} wireshark/commandline_usage -.-> lab-548919{{"Personalizar la visualización de la marca de tiempo en Tshark"}} end

Leer un archivo con -r capture.pcap

En este paso, aprenderá cómo leer un archivo de captura de paquetes utilizando la herramienta de línea de comandos tshark de Wireshark con la opción -r. Los archivos PCAP contienen datos de tráfico de red sin procesar capturados desde una interfaz de red, y tshark nos ayuda a analizar estos datos sin utilizar la interfaz gráfica de Wireshark.

Primero, naveguemos al directorio correcto donde se almacena nuestro archivo de captura. Esto asegura que podamos acceder al archivo sin especificar rutas completas:

cd ~/project

La opción -r (abreviatura de "read", leer) le indica a tshark que lea paquetes de un archivo de captura especificado en lugar de tráfico de red en tiempo real. En nuestro caso, analizaremos un archivo de muestra pre - preparado llamado capture.pcap que contiene datos típicos de comunicación de red.

Para mostrar la información básica de los paquetes de nuestro archivo de captura, ejecute:

tshark -r capture.pcap

Este comando le mostrará una lista secuencial de todos los paquetes en el archivo, donde cada línea representa un paquete de red. La salida incluye varios campos importantes:

  • Números de paquete (que muestran el orden de captura)
  • Marcas de tiempo (que registran cuándo se capturó cada paquete)
  • Direcciones IP de origen y destino
  • Tipos de protocolo (como TCP, UDP o ICMP)
  • Tamaños de paquete en bytes
  • Descripciones breves del contenido del paquete

A continuación, se muestra un ejemplo de cómo podría verse la salida para el establecimiento de una conexión TCP:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 34512 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 34512 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

En este ejemplo, vemos dos paquetes: el primero es un paquete TCP SYN que inicia una conexión desde 192.168.1.1 a 192.168.1.2 en el puerto 443, y el segundo es el paquete SYN - ACK de respuesta. La opción -r es esencial para examinar el tráfico de red capturado previamente y forma la base para técnicas de análisis de paquetes más avanzadas.

Establecer el formato UTC con -t u

En este paso, exploraremos cómo mostrar las marcas de tiempo de los paquetes en formato UTC (Tiempo Universal Coordinado) utilizando la herramienta de línea de comandos tshark de Wireshark. La opción -t u es especialmente valiosa cuando se trabaja con tráfico de red que abarca múltiples zonas horarias, ya que proporciona una referencia de tiempo estandarizada.

Antes de comenzar, asegúrate de estar en el directorio de trabajo correcto donde se encuentra tu archivo de captura de paquetes:

cd ~/project

El parámetro -t u le indica a tshark que convierta todas las marcas de tiempo al formato UTC. Esto es diferente de la hora local de tu sistema. Combinaremos esto con la opción -r (que aprendiste en pasos anteriores) para leer nuestro archivo de captura de muestra:

tshark -r capture.pcap -t u

Después de ejecutar este comando, verás una salida similar a esta, con marcas de tiempo UTC claras:

1 2023-01-01 00:00:00.000000 UTC 192.168.1.1 → 192.168.1.2 TCP 66 443 → 34512 [SYN] Seq=0 Win=64240 Len=0
2 2023-01-01 00:00:00.000123 UTC 192.168.1.2 → 192.168.1.1 TCP 66 34512 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Fíjate en cómo cada marca de tiempo ahora incluye la designación "UTC". Este formato es especialmente útil cuando estás analizando registros de servidores en diferentes ubicaciones geográficas o colaborando con miembros del equipo en diferentes zonas horarias. El formato UTC elimina la confusión sobre las referencias de tiempo, ya que no depende de la configuración local de la zona horaria.

Para entender mejor la diferencia, es posible que desees comparar esta salida con el formato de hora local predeterminado de ejercicios anteriores. Esto te ayudará a ver cómo los mismos eventos de red se presentan en diferentes representaciones de tiempo.

Usar el tiempo epoch con -t e

En este paso, aprenderás cómo mostrar las marcas de tiempo de los paquetes en formato epoch utilizando la herramienta de línea de comandos tshark de Wireshark. La opción -t e le indica a tshark que muestre las marcas de tiempo como tiempo epoch (también llamado tiempo Unix), que cuenta el número de segundos transcurridos desde el 1 de enero de 1970. Este formato es especialmente útil cuando necesitas realizar cálculos de tiempo exactos o integrar con otros sistemas que utilizan el tiempo epoch.

Antes de comenzar, asegúrate de estar en el directorio de trabajo correcto donde se almacena tu archivo de captura de paquetes:

cd ~/project

Ahora usaremos la opción -t e junto con -r (que significa "read", leer) para procesar nuestro archivo de captura de paquetes de muestra. La estructura básica del comando es sencilla: especifica el archivo de entrada después de -r y agrega -t e para el formato de tiempo epoch:

tshark -r capture.pcap -t e

Después de ejecutar este comando, verás una salida similar a esta, donde la segunda columna muestra las marcas de tiempo epoch:

1 1672531200.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 34512 [SYN] Seq=0 Win=64240 Len=0
2 1672531200.000123 192.168.1.2 → 192.168.1.1 TCP 66 34512 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0

Fíjate en cómo cada marca de tiempo aparece como un número decimal: la parte antes del punto decimal representa segundos enteros, mientras que la parte fraccionaria muestra microsegundos. Este nivel de precisión hace que el tiempo epoch sea valioso en varios escenarios:

  • Medir intervalos de tiempo exactos entre eventos de red
  • Coincidir capturas de paquetes con registros del sistema que utilizan el tiempo epoch
  • Realizar operaciones matemáticas en marcas de tiempo en scripts o herramientas de análisis

Para entender mejor la diferencia, es posible que desees comparar esta salida con los resultados del ejemplo anterior en formato UTC. Ver ambos formatos lado a lado te ayudará a reconocer cómo el mismo momento en el tiempo puede representarse de diferentes maneras.

Mostrar paquetes con -P

En este paso, aprenderás cómo mostrar resúmenes de paquetes en un formato más legible utilizando tshark de Wireshark con la opción -P. Esta opción proporciona un formato de salida más limpio, más fácil de leer y analizar, especialmente cuando estás empezando con el análisis de paquetes.

Primero, asegúrate de estar en el directorio correcto donde se encuentra tu archivo de captura. Esto es importante porque tshark necesita saber dónde encontrar el archivo de captura de paquetes:

cd ~/project

La opción -P cambia cómo tshark muestra la información de los paquetes. En lugar de mostrar todo en una sola línea compacta (lo cual puede ser difícil de leer), muestra cada pieza de información en su propia línea en un formato vertical. Esto hace que sea mucho más fácil identificar campos específicos a simple vista. Vamos a usarlo con nuestro archivo de captura de muestra:

tshark -r capture.pcap -P

Así es como se vería un paquete típico en este formato:

Packet 1:
    Arrival Time: Jan  1, 2023 00:00:00.000000000 UTC
    Epoch Time: 1672531200.000000000 seconds
    Frame Number: 1
    Frame Length: 66 bytes
    Protocols: eth:ethertype:ip:tcp
    Source: 192.168.1.1
    Destination: 192.168.1.2
    Source Port: 443
    Destination Port: 34512
    TCP Flags: 0x002 (SYN)

El formato -P es especialmente útil en varias situaciones:

  • Cuando necesitas revisar rápidamente campos específicos en los paquetes sin forzar la vista
  • Cuando quieres enviar la salida a otros comandos para un procesamiento adicional, ya que el formato estructurado facilita el análisis
  • Cuando prefieres una vista más organizada de la información de los paquetes, similar a cómo la interfaz gráfica de Wireshark muestra los paquetes

Si has usado tshark sin la opción -P antes, notarás inmediatamente cuánto más legible es este formato. Cada pieza de información tiene su propia línea clara, lo que hace que sea más sencillo encontrar exactamente lo que estás buscando en los detalles del paquete.

Resumen

En este laboratorio, has aprendido cómo personalizar la visualización de marcas de tiempo en Tshark a través de opciones prácticas de línea de comandos. Los ejercicios demostraron cómo leer capturas de paquetes con -r capture.pcap y formatear las marcas de tiempo en UTC utilizando -t u para un análisis consistente de la zona horaria.

También practicaste el uso del formato de tiempo epoch con -t e para una representación precisa de las marcas de tiempo y aprovechaste la opción -P para obtener una salida detallada de los paquetes. Estas técnicas mejoran el análisis del tráfico de red al proporcionar formatos flexibles de marcas de tiempo mientras se mantienen flujos de trabajo claros de inspección de paquetes.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante