Generar Estadísticas de Protocolo en Tshark

WiresharkBeginner
Practicar Ahora

Introducción

En este laboratorio, aprenderá a analizar el tráfico de red utilizando la herramienta de línea de comandos tshark de Wireshark, generando estadísticas de protocolo a partir de un archivo de captura de paquetes. Explorará opciones clave como -r para leer archivos, -q para el modo silencioso y -z io,phs para obtener estadísticas de la jerarquía de protocolos.

El ejercicio lo guiará a través de la verificación de archivos de captura, la visualización de resúmenes de paquetes y la interpretación de las distribuciones de protocolos. Esta experiencia práctica mejorará sus habilidades de análisis de red con las características estadísticas de tshark.

Leer archivo con -r capture.pcap

En este paso, aprenderá cómo abrir y analizar un archivo de captura de paquetes utilizando la herramienta de línea de comandos tshark de Wireshark. La opción -r es fundamental, ya que especifica el archivo de captura de paquetes que se debe leer. Piense en ello como abrir un documento con un editor de texto: debe decirle al programa qué archivo debe procesar.

  1. Primero, asegúrese de estar en el directorio correcto. Abra la terminal y ejecute:

    cd ~/project
    

    Este comando lo dirige al directorio del proyecto donde se almacena nuestro archivo de captura de muestra. Es como abrir la carpeta correcta antes de acceder a un archivo.

  2. El entorno de laboratorio proporciona un archivo de captura de muestra llamado capture.pcap. Verifique su existencia:

    ls -l capture.pcap
    

    La salida esperada debe mostrar los detalles del archivo, como:

    -rw-r--r-- 1 labex labex 12345 Ene 1 00:00 capture.pcap
    

    El comando ls -l muestra los permisos, el tamaño y la fecha de modificación del archivo. Esto confirma que el archivo está presente y es accesible antes de intentar analizarlo.

  3. Para leer el archivo de captura con tshark, ejecute:

    tshark -r capture.pcap
    

    Este comando lee el archivo capture.pcap y muestra la información de resumen de cada paquete de red. Verá columnas que muestran:

    • Número de paquete (secuencia en la captura)
    • Marca de tiempo (cuándo se capturó)
    • Direcciones IP de origen y destino
    • Protocolo utilizado (TCP, UDP, etc.)
    • Información básica sobre el paquete
  4. Para obtener una salida más limpia con solo números de paquete y protocolos, agregue la opción -q (silencioso):

    tshark -r capture.pcap -q
    

    La bandera -q simplifica la salida suprimendo algunos detalles. Esto es útil cuando solo desea escanear rápidamente los tipos de tráfico en la captura sin ver todos los detalles de los paquetes.

  5. Para salir de la lista de paquetes, presione Ctrl+C cuando haya visto suficiente salida. Esta combinación de teclas detiene la ejecución del comando y lo devuelve al indicador de terminal.

Recuerde, estos comandos solo están mostrando los paquetes capturados; no estamos modificando el archivo de ninguna manera. Los siguientes pasos le mostrarán cómo analizar este tráfico en más detalle.

Calcular estadísticas de jerarquía con -z io,phs

En este paso, exploraremos cómo analizar el tráfico de red generando estadísticas de jerarquía de protocolos utilizando la herramienta de línea de comandos tshark de Wireshark. La opción -z io,phs crea una vista estructurada que muestra cómo se relacionan diferentes protocolos de red entre sí en el tráfico capturado.

  1. Primero, asegúremos de estar en el directorio de trabajo correcto donde se almacena nuestro archivo de captura:

    cd ~/project
    

    Este comando nos dirige al directorio del proyecto donde trabajaremos con nuestro archivo de captura de paquetes.

  2. Ahora analizaremos el archivo capture.pcap para ver la distribución de protocolos. Ejecute este comando:

    tshark -r capture.pcap -z io,phs
    

    Esto es lo que hace cada parte:

    • -r capture.pcap lee nuestro archivo de captura de paquetes
    • -z io,phs genera las estadísticas de jerarquía de protocolos
  3. El comando produce una salida que muestra cómo se organizan los protocolos en capas en el tráfico de red. Aquí está una estructura de ejemplo:

    ======================================================
    Protocol Hierarchy Statistics
    Filter:
    
    eth                                      frames:100 bytes:10000
      ip                                     frames:90 bytes:9000
        tcp                                  frames:80 bytes:8000
          http                               frames:70 bytes:7000
        udp                                  frames:10 bytes:1000
      arp                                    frames:10 bytes:1000
    ======================================================
    

    Esta estructura en árbol revela:

    • Ethernet (eth) como la capa base que transporta todo el tráfico
    • Paquetes IP que constituyen el 90% de los marcos Ethernet
    • TCP como el protocolo de transporte dominante dentro de IP
    • Tráfico HTTP que representa la mayoría de los paquetes TCP
  4. Las estadísticas proporcionan tres piezas clave de información para cada protocolo:

    • Porcentaje del tráfico total (implícito en los recuentos de marcos)
    • Números absolutos de marcos y bytes transmitidos
    • La relación de encapsulación entre protocolos
  5. Para una vista más limpia sin información adicional de captura, agregue la opción -q (silencioso):

    tshark -r capture.pcap -z io,phs -q
    

    La bandera -q suprime detalles adicionales, brindándole solo las estadísticas de jerarquía de protocolos. Esto es especialmente útil cuando solo necesita la desglose de protocolos.

Suprimir detalles de paquetes con -q

En este paso, aprenderá sobre la opción -q en tshark, que ayuda a simplificar la salida al analizar el tráfico de red. Esto es especialmente útil cuando solo necesita información estadística en lugar de los contenidos detallados de los paquetes.

  1. Primero, naveguemos hasta nuestro directorio de trabajo donde se almacena el archivo de captura de paquetes:

    cd ~/project
    

    Esto asegura que estemos en la ubicación correcta para acceder a nuestro archivo de captura de muestra.

  2. Primero, examinemos cómo se ve la salida normal de tshark sin la opción -q:

    tshark -r capture.pcap
    

    Este comando muestra información completa de los paquetes, incluyendo encabezados de protocolo y datos de carga útil. Para los principiantes, esta salida puede parecer abrumadora con demasiados detalles cuando solo se está interesado en las estadísticas generales.

  3. Ahora, probemos el mismo comando con la opción -q (silencioso):

    tshark -r capture.pcap -q
    

    Note cómo esto suprime la información detallada de los paquetes, brindándole una salida más limpia. La opción -q le dice a tshark que solo muestre información de resumen, que es más fácil de leer cuando no se necesitan detalles a nivel de paquete.

  4. Combinemos -q con las estadísticas de jerarquía de protocolos que aprendimos anteriormente:

    tshark -r capture.pcap -z io,phs -q
    

    Esta poderosa combinación le brinda solo las estadísticas de protocolo sin ningún detalle de paquete distractor. -z io,phs genera las estadísticas mientras que -q asegura que solo veamos el resumen estadístico.

  5. Diferencias clave a observar:

    • Sin -q: Muestra la desglose completo de los paquetes, incluyendo todas las capas de protocolo
    • Con -q: Proporciona una vista más limpia que muestra solo información de resumen/estadística
    • Particularmente útil cuando se combina con opciones de estadísticas (-z) para un análisis enfocado

Recuerde, la opción -q es su aliada cuando desea centrarse en la visión general en lugar de los detalles de paquetes individuales. Ayuda a reducir el ruido visual mientras sigue proporcionando la información esencial que necesita para el análisis de red.

Ver estadísticas en la consola

En este paso, aprenderá cómo utilizar las potentes funciones estadísticas de tshark para analizar patrones de tráfico de red directamente en su terminal. Estos comandos le ayudan a entender la distribución del tráfico, identificar los principales comunicadores y detectar patrones inusuales en los datos de red capturados.

  1. Primero, asegúrese de estar en el directorio de trabajo correcto donde se almacena su archivo de captura. Esto es importante porque tshark necesita acceder al archivo:

    cd ~/project
    
  2. Vea las estadísticas básicas del archivo de captura con intervalos de tiempo. La bandera -q suprime los detalles de los paquetes, mientras que -z io,stat,60 crea bloques de resumen de 60 segundos:

    tshark -r capture.pcap -q -z io,stat,60
    

    Esto muestra cómo cambia el volumen de tráfico a lo largo del tiempo en segmentos de un minuto.

  3. Para ver qué direcciones IP son las más activas (estadísticas de puntos finales), este comando cuenta el tráfico por dirección:

    tshark -r capture.pcap -q -z endpoints,ip
    

    Enumera todas las direcciones IP en comunicación con sus recuentos de paquetes y bytes enviados y recibidos.

  4. Para obtener estadísticas de conversación que muestren qué pares de IP se comunican y cuánto:

    tshark -r capture.pcap -q -z conv,ip
    

    Esto revela patrones de comunicación entre pares específicos de origen-destino.

  5. Combine múltiples estadísticas en un solo comando para un análisis integral:

    tshark -r capture.pcap -q -z io,stat,60 -z endpoints,ip -z conv,ip
    
  6. Al revisar las estadísticas, concéntrese en estos indicadores clave:

    • Paquetes y bytes totales: Volumen total de tráfico
    • Distribución del tráfico a lo largo del tiempo: Detecte picos o patrones inusuales
    • Principales puntos finales de comunicación: Identifique a los usuarios más activos
    • Pares de conversación: Entienda quién se comunica con quién y cuánto

Resumen

En este laboratorio, ha aprendido a utilizar la herramienta de línea de comandos tshark de Wireshark para el análisis del tráfico de red. Ha practicado la lectura de archivos de captura de paquetes utilizando la opción -r y ha simplificado la salida con la bandera -q para una mejor legibilidad.

Además, ha explorado la generación de estadísticas de jerarquía de protocolos a través de la opción -z io,phs, que proporciona información valiosa sobre la distribución de protocolos dentro del tráfico de red. Esta técnica permite una evaluación rápida de la composición del tráfico sin inspeccionar paquetes individuales.