Leer Datos de Paquetes en Tshark

Introducción

En este laboratorio, aprenderá cómo utilizar la herramienta de línea de comandos tshark de Wireshark para analizar capturas de paquetes de red. Practicará comandos esenciales como -r para leer archivos de captura, -V para obtener una salida detallada y -c para limitar la cantidad de paquetes mientras trabaja con un archivo PCAP de muestra.

A través de ejercicios prácticos, examinará los encabezados de los paquetes, identificará detalles clave de la red, incluyendo direcciones IP y protocolos, e interpretará diferentes formatos de salida. Este laboratorio brinda experiencia práctica con las funcionalidades principales de tshark para un análisis efectivo del tráfico de red.

Este es un Guided Lab, que proporciona instrucciones paso a paso para ayudarte a aprender y practicar. Sigue las instrucciones cuidadosamente para completar cada paso y obtener experiencia práctica. Los datos históricos muestran que este es un laboratorio de nivel principiante con una tasa de finalización del 83%. Ha recibido una tasa de reseñas positivas del 100% por parte de los estudiantes.

Abrir Archivo con -r capture.pcap

En este paso, exploraremos cómo analizar el tráfico de red pregrabado utilizando la potente herramienta de línea de comandos tshark de Wireshark. Cuando trabajamos con el análisis de redes, a menudo necesitamos examinar datos capturados previamente en lugar de capturar tráfico en vivo. El flag -r (que significa "read" - leer) nos permite hacer exactamente eso especificando un archivo de captura de paquetes para analizar.

Antes de comenzar, asegurémonos de que estamos trabajando en la ubicación correcta. En el trabajo basado en terminal, es crucial estar en el directorio correcto donde se almacenan nuestros archivos:

cd ~/project

El entorno LabEx viene con `tshark` preinstalado, que es la versión de línea de comandos de Wireshark. Para confirmar que está disponible y verificar qué versión estamos utilizando (una buena práctica cuando se trabaja con cualquier herramienta), ejecute:

```bash
tshark --version
```

Debería ver información detallada de la versión, confirmando que `tshark` está instalado correctamente y listo para usar.

Para esta demostración, trabajaremos con un archivo de captura de red de muestra. Ya está descargado en `/home/labex/project/capture.pcap`.

Ahora estamos listos para examinar el tráfico de red capturado. El comando básico para leer y mostrar el contenido de nuestro archivo de captura es:

```bash
tshark -r capture.pcap
```

Este comando procesa el archivo y muestra una vista resumida de todos los paquetes capturados. Cada línea en la salida representa un paquete de red e incluye varias piezas importantes de información que nos ayudan a comprender la actividad de la red:

- **Número de paquete (Packet number)**: El identificador secuencial de cada paquete
- **Marca de tiempo (Timestamp)**: Cuándo se capturó el paquete (en relación con el inicio de la captura)
- **IP de origen (Source IP)**: De dónde vino el paquete
- **IP de destino (Destination IP)**: A dónde iba el paquete
- **Protocolo (Protocol)**: El protocolo de red que se está utilizando (TCP, UDP, etc.)
- **Longitud (Length)**: El tamaño del paquete en bytes
- **Información (Info)**: Una breve descripción del propósito o contenido del paquete

Aquí hay un ejemplo de cómo podría verse la salida, mostrando una conexión TCP que se está estableciendo:

```
1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
```

Esta vista inicial nos brinda una visión general de alto nivel de la comunicación de red contenida en nuestro archivo de captura, sobre la cual construiremos en los pasos siguientes.

Mostrar resumen de paquetes con salida predeterminada

En este paso, exploraremos cómo leer y entender el resumen básico de paquetes que tshark muestra por defecto. Este es su punto de partida para analizar el tráfico de red, ya que muestra información esencial sobre cada paquete en un formato estructurado.

Antes de comenzar, asegúrate de estar en el directorio de trabajo correcto donde se encuentra nuestro archivo de captura:

cd ~/project

La salida predeterminada de tshark presenta el tráfico de red en columnas que nos dicen algo importante sobre la comunicación:

Número de paquete: El identificador secuencial de cada paquete en la captura
Marca de tiempo: Cuándo se capturó el paquete, en relación con el primer paquete
Dirección de origen: De dónde vino el paquete (dirección IP)
Dirección de destino: A dónde se dirige el paquete (dirección IP)
Protocolo: El protocolo de red que se está utilizando (TCP, UDP, etc.)
Longitud: El tamaño del paquete en bytes
Información: Detalles adicionales específicos del protocolo

Veamos los primeros 5 paquetes para ver cómo funciona esto:

tshark -r capture.pcap -c 5

Ejemplo de salida:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 66 443 → 49234 [SYN] Seq=0 Win=64240 Len=0
    2 0.000123 192.168.1.2 → 192.168.1.1 TCP 66 49234 → 443 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0
    3 0.000145 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
    4 0.000567 192.168.1.1 → 192.168.1.2 TLSv1 583 Client Hello
    5 0.000789 192.168.1.2 → 192.168.1.1 TCP 54 49234 → 443 [ACK] Seq=1 Ack=530 Win=65535 Len=0

Para obtener una comprensión más amplia de lo que está sucediendo en nuestra captura de red, podemos contar cuántos paquetes pertenecen a cada tipo de protocolo. Esto ayuda a identificar qué protocolos son los más activos en nuestro tráfico de red:

tshark -r capture.pcap -qz io,phs

Este comando genera una tabla de jerarquía de protocolos, que muestra la distribución de diferentes protocolos en su archivo de captura, lo cual es especialmente útil al analizar patrones de tráfico de red complejos.

Mostrar campos detallados con -V

En este paso, exploraremos cómo ver detalles completos de los paquetes utilizando la bandera -V (verbose, detallado) de Wireshark. Esto es especialmente útil cuando necesitas examinar todas las capas de protocolo y sus campos dentro de un paquete de red.

Antes de comenzar, asegúrate de estar en el directorio de trabajo correcto donde se encuentra nuestro archivo de captura de paquetes:

cd ~/project

La bandera -V revela la estructura completa de cada paquete, mostrando todas las capas de protocolo desde el marco físico hasta los datos de la aplicación. Esta vista jerárquica te ayuda a entender cómo diferentes protocolos trabajan juntos en la comunicación de red. Veamos el primer paquete en nuestro archivo de captura:

tshark -r capture.pcap -V -c 1

La salida mostrará información detallada sobre cada capa de protocolo. Aquí tienes un ejemplo de lo que podrías ver (abreviado para mayor claridad):

Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits)
    Encapsulation type: Ethernet (1)
    Arrival Time: Jun  8, 2023 10:15:32.000000000 UTC
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1686219332.000000000 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 66 bytes (528 bits)
    Capture Length: 66 bytes (528 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:ip:tcp]
Ethernet II, Src: 00:11:22:33:44:55, Dst: aa:bb:cc:dd:ee:ff
    Destination: aa:bb:cc:dd:ee:ff
    Source: 00:11:22:33:44:55
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
    Version: 4
    Header length: 20 bytes
    ...

Si solo quieres ver detalles de los paquetes que contienen un protocolo específico (como TCP), puedes combinar -V con el filtro de visualización -Y. Esto ayuda a centrar tu análisis en un tráfico de red particular:

tshark -r capture.pcap -V -Y "tcp" -c 1

Contar paquetes con -c 100

En este paso, exploraremos cómo controlar la visualización de paquetes en Tshark utilizando la bandera -c. Esto es especialmente útil cuando se trabaja con archivos de captura grandes y solo se necesita analizar una muestra de paquetes.

Primero, naveguemos hasta nuestro directorio de trabajo donde se encuentra el archivo de captura de paquetes. Esto asegura que todos los comandos funcionen con el archivo correcto:

cd ~/project

La bandera -c (abreviatura de "count", contar) limita la cantidad de paquetes que Tshark procesará y mostrará. Por ejemplo, para examinar solo los primeros 100 paquetes de nuestro archivo de captura:

tshark -r capture.pcap -c 100

Al analizar tipos específicos de tráfico, podemos combinar la bandera -c con un filtro de visualización utilizando -Y. Este comando muestra los primeros 100 paquetes HTTP:

tshark -r capture.pcap -Y "http" -c 100

Si necesitas saber el número total de paquetes en el archivo (no solo los primeros 100), esta tubería (pipeline) cuenta todas las líneas de la salida:

tshark -r capture.pcap | wc -l

Para un desglose más detallado de los protocolos en tu captura, este comando proporciona un resumen de la jerarquía de protocolos que muestra el recuento de cada tipo de protocolo:

tshark -r capture.pcap -qz io,phs

Resumen

En este laboratorio, has aprendido a utilizar la herramienta de línea de comandos tshark de Wireshark para analizar capturas de paquetes de red. Los ejercicios cubrieron abrir archivos PCAP con la bandera -r, verificar la instalación a través de --version y examinar los campos de salida predeterminados, incluyendo metadatos de paquetes e información de protocolos.

También has practicado interpretar el formato de resumen estructurado de paquetes y usar la bandera -c para controlar el volumen de la salida. Estas habilidades proporcionan una base sólida para un análisis eficiente del tráfico de red y la investigación de protocolos utilizando archivos de captura guardados.