Deshabilitar Protocolos en Tshark

Introducción

En este laboratorio, aprenderá cómo controlar el análisis de protocolos en la herramienta de línea de comandos tshark de Wireshark deshabilitando y habilitando selectivamente protocolos. Practicará la lectura de capturas de paquetes con -r, excluirá el tráfico UDP utilizando --disable-protocol udp y verificará los resultados con una salida detallada (-V).

Los ejercicios brindan experiencia práctica en el filtrado de protocolos, la comparación de salidas y el control de la visualización. Trabajará con un archivo de muestra capture.pcap mientras aprende los comandos esenciales de tshark en un entorno de laboratorio estructurado.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548922{{"Deshabilitar Protocolos en Tshark"}} wireshark/protocol_dissection -.-> lab-548922{{"Deshabilitar Protocolos en Tshark"}} wireshark/packet_analysis -.-> lab-548922{{"Deshabilitar Protocolos en Tshark"}} wireshark/commandline_usage -.-> lab-548922{{"Deshabilitar Protocolos en Tshark"}} end

Leer un archivo con -r capture.pcap

En este paso, aprenderá cómo leer un archivo de captura de paquetes utilizando la herramienta de línea de comandos tshark de Wireshark con la opción -r. Este es el primer paso para analizar el tráfico de red a partir de un archivo de captura previamente grabado. La bandera -r le indica a tshark que lea paquetes de un archivo en lugar de capturar tráfico de red en tiempo real.

Primero, asegúrese de estar en el directorio de trabajo correcto donde se almacena el archivo de captura de paquetes. Esto es importante porque tshark necesita saber dónde encontrar el archivo:
```
cd ~/project
```
El entorno de laboratorio proporciona un archivo de captura de paquetes de muestra llamado capture.pcap. Verifiquemos su existencia y revise sus propiedades antes de continuar. El comando ls -l muestra información detallada del archivo, incluyendo el tamaño y los permisos:
```
ls -l capture.pcap
```
Debería ver una salida similar a:
```
-rw-r--r-- 1 labex labex 12345 Ene 1 00:00 capture.pcap
```
Ahora leeremos el archivo de captura con tshark. El comando básico simplemente muestra un resumen de cada paquete, incluyendo la marca de tiempo, las direcciones de origen/destino y el protocolo:
```
tshark -r capture.pcap
```
Para un análisis más profundo, podemos usar la bandera -V para ver una salida detallada. Esto muestra todos los detalles del protocolo y el contenido de los paquetes en un formato jerárquico, lo cual es útil cuando necesita examinar campos específicos del protocolo:
```
tshark -r capture.pcap -V
```
Cuando se trabaja con archivos de captura grandes, es posible que desee limitar la salida. La opción -c le permite especificar cuántos paquetes mostrar. Aquí estamos mostrando solo los primeros 5 paquetes:
```
tshark -r capture.pcap -c 5
```

Deshabilitar UDP con --disable-protocol udp

En este paso, aprenderá cómo filtrar el tráfico UDP (User Datagram Protocol, Protocolo de Datagramas de Usuario) al analizar capturas de paquetes utilizando la herramienta de línea de comandos tshark de Wireshark. UDP es un protocolo de capa de transporte común, pero a veces es posible que desee excluirlo para centrarse en el análisis de otros protocolos como TCP. La opción --disable-protocol le permite ignorar completamente los paquetes UDP durante el análisis.

Primero, asegúrese de seguir estando en el directorio de trabajo correcto donde se encuentra su archivo de captura de paquetes. Esto garantiza que todos los comandos funcionen con el archivo correcto:
```
cd ~/project
```
Para deshabilitar el análisis del protocolo UDP mientras lee el archivo de captura, use la opción --disable-protocol seguida del nombre del protocolo. Esto le indica a tshark que omita el procesamiento de cualquier paquete que utilice UDP:
```
tshark -r capture.pcap --disable-protocol udp
```
Compare esta salida filtrada con la salida original sin filtrar del paso 1. El comando head -n 10 muestra solo las primeras 10 líneas de la salida para facilitar la comparación:
```
tshark -r capture.pcap --disable-protocol udp | head -n 10
```
Debería notar que los paquetes UDP ya no aparecen en la salida.
Para verificar adecuadamente que se están excluyendo los paquetes UDP, podemos contarlos antes y después de aplicar el filtro. El primer comando cuenta todos los paquetes UDP en el archivo original, mientras que el segundo debería devolver 0 ya que hemos deshabilitado el procesamiento de UDP:
```
## Count all UDP packets in original capture
tshark -r capture.pcap -Y "udp" | wc -l

## Count UDP packets after disabling protocol (should be 0)
tshark -r capture.pcap --disable-protocol udp -Y "udp" | wc -l
```
Puede combinar la deshabilitación de protocolos con otros filtros de visualización. Este ejemplo muestra solo el tráfico TCP mientras ignora completamente todos los paquetes UDP en el nivel de procesamiento:
```
tshark -r capture.pcap --disable-protocol udp -Y "tcp"
```
Recuerde que --disable-protocol funciona de manera diferente a los filtros de visualización (-Y): evita que tshark procese el protocolo, en lugar de simplemente ocultarlo de la vista.

Verificar la exclusión con -V

En este paso, verificaremos que Tshark esté excluyendo correctamente los paquetes UDP del análisis. La bandera detallada (-V) nos permite ver información detallada de los paquetes, lo que ayuda a confirmar si nuestra configuración --disable-protocol udp está funcionando correctamente. Esto es importante porque el análisis de redes a menudo requiere centrarse en protocolos específicos mientras se ignoran otros.

Primero, asegúrese de estar en el directorio de trabajo correcto donde se encuentra su archivo de captura de paquetes:
```
cd ~/project
```
Ahora ejecute tshark con las banderas de deshabilitar protocolo y detallada. El comando head -n 30 muestra solo las primeras 30 líneas de la salida, lo que facilita la revisión:
```
tshark -r capture.pcap --disable-protocol udp -V | head -n 30
```
Examine detenidamente la salida. Debería ver información detallada del protocolo de los paquetes, pero no debería aparecer ningún contenido relacionado con UDP.
Para comprobar específicamente la ausencia del protocolo UDP, usaremos grep para buscar "UDP" en la salida. El comando wc -l cuenta las líneas coincidentes:
```
tshark -r capture.pcap --disable-protocol udp -V | grep -i "udp" | wc -l
```
Un recuento de cero confirma que Tshark no está procesando ningún paquete UDP. Si ve algún número mayor que cero, la exclusión no está funcionando correctamente.
Para comparar, veamos cómo se ve una salida detallada normal sin deshabilitar el protocolo:
```
tshark -r capture.pcap -V | grep -i "udp" | head -n 5
```
Este comando puede mostrar paquetes UDP si existen en su archivo de captura. La diferencia entre esta salida y la salida del comando anterior demuestra el efecto de --disable-protocol udp.
Finalmente, examinemos en detalle solo un paquete para verificar la exclusión del protocolo a nivel de paquete:
```
tshark -r capture.pcap --disable-protocol udp -V -c 1
```
La opción -c 1 limita la salida a solo un paquete. Verifique las capas de protocolo en la salida de este paquete: no debería ver ninguna mención de UDP en la jerarquía de protocolos.

Volver a habilitar con --enable-protocol udp

En este paso, aprenderá cómo restaurar el análisis del protocolo UDP en tshark después de deshabilitarlo. Esto es importante cuando necesita analizar todo el tráfico de red nuevamente, incluyendo los paquetes UDP, que se utilizan comúnmente para DNS, transmisión de video y otras aplicaciones en tiempo real.

Primero, asegúrese de estar en el directorio de trabajo correcto donde se almacena su archivo de captura de paquetes:
```
cd ~/project
```
Este comando lo dirige al directorio del proyecto donde trabajaremos con nuestro archivo de captura de paquetes (capture.pcap).
Para reactivar el análisis del protocolo UDP, use la opción --enable-protocol seguida del nombre del protocolo:
```
tshark -r capture.pcap --enable-protocol udp
```
Esto le indica a tshark que procese nuevamente los paquetes UDP al leer el archivo de captura.
Verifiquemos que ahora se estén procesando los paquetes UDP contándolos:
```
tshark -r capture.pcap --enable-protocol udp -Y "udp" | wc -l
```
El filtro -Y "udp" muestra solo los paquetes UDP, y wc -l los cuenta. Ahora debería ver paquetes UDP si existen en su captura.

Para ver claramente la diferencia, compare las salidas con UDP habilitado y deshabilitado:

## With UDP enabled (should display UDP packets)
tshark -r capture.pcap --enable-protocol udp -Y "udp" | head -n 5

## With UDP disabled (should show empty output)
tshark -r capture.pcap --disable-protocol udp -Y "udp" | head -n 5

El head -n 5 muestra solo las primeras 5 líneas de la salida para una comparación rápida.

Para una verificación exhaustiva, compruebe que los detalles del protocolo UDP aparezcan en la salida detallada:
```
tshark -r capture.pcap --enable-protocol udp -V | grep -i "User Datagram Protocol" | head -n 3
```
El -V muestra información detallada de los paquetes, y estamos filtrando para los encabezados del protocolo UDP para confirmar que se están procesando nuevamente.

Resumen

En este laboratorio, has aprendido cómo usar tshark para el análisis de protocolos trabajando con un archivo de captura de paquetes de muestra. Practicaste comandos básicos como -r para leer archivos y -V para obtener una salida detallada, que forman la base del análisis de paquetes en tshark.

El laboratorio también te guió a través de técnicas de filtrado de protocolos, específicamente deshabilitando el tráfico UDP utilizando --disable-protocol udp. Al comparar las salidas filtradas y no filtradas, observaste cómo aislar de manera efectiva el tráfico de un protocolo específico durante el análisis.