Filtros de Visualización en Tshark

Introducción

En este laboratorio, aprenderás a utilizar filtros de visualización en la herramienta de línea de comandos de Wireshark, tshark, para un análisis eficiente del tráfico de red. Practicarás la lectura de archivos de captura de paquetes (capture.pcap) y la aplicación de filtros para aislar patrones de tráfico específicos, como paquetes de direcciones IP o puertos TCP particulares.

A través de ejercicios prácticos, dominarás comandos clave de tshark, incluyendo -r para la lectura de archivos y -Y para la aplicación de filtros. El laboratorio enfatiza la comparación de resultados filtrados y sin filtrar para mejorar tus habilidades de resolución de problemas de red.

Este es un Guided Lab, que proporciona instrucciones paso a paso para ayudarte a aprender y practicar. Sigue las instrucciones cuidadosamente para completar cada paso y obtener experiencia práctica. Los datos históricos muestran que este es un laboratorio de nivel principiante con una tasa de finalización del 92%. Ha recibido una tasa de reseñas positivas del 100% por parte de los estudiantes.

Verificar la Instalación de Tshark y el Archivo de Ejemplo

En este primer paso, confirmarás que la herramienta de línea de comandos tshark está instalada y que el archivo de captura de paquetes de muestra está disponible en tu directorio de trabajo. Esto asegura que tu entorno está listo para las siguientes tareas de análisis de red.

Primero, verifica la instalación de tshark comprobando su versión. Abre una terminal y ejecuta:
```
tshark -v
```
Debes ver una salida similar a esta, indicando que tshark está instalado:
```
TShark (Wireshark) X.Y.Z (Git vX.Y.Z-gXXXXXXXXXXXX)
...
```
Los números de versión (X.Y.Z) pueden variar, pero la presencia de la salida confirma que tshark está listo.
A continuación, navega al directorio del proyecto donde se encuentra el archivo de captura de paquetes de muestra. Este es el directorio de trabajo predeterminado para este laboratorio:
```
cd ~/project
```
Verifica que el archivo de captura de paquetes de muestra, capture.pcap, exista en este directorio. Este archivo se utilizará en todos los pasos de análisis posteriores:
```
ls -l capture.pcap
```
Debes ver una salida similar a:
```
-rw-r--r-- 1 labex labex 123456 Ene 1 00:00 capture.pcap
```
Esta salida confirma los permisos, propietario, tamaño y fecha de modificación del archivo, indicando que está presente y accesible.

Leer el archivo de captura de paquetes con -r

En este paso, aprenderás a leer y mostrar el contenido de un archivo de captura de paquetes utilizando tshark. La opción -r es fundamental para especificar un archivo de entrada, permitiendo a tshark analizar el tráfico de red pregrabado en lugar de capturar datos en tiempo real.

Asegúrate de estar en el directorio ~/project, ya que aquí se encuentra nuestro archivo capture.pcap:
```
cd ~/project
```
Ahora, utiliza tshark para leer y mostrar todos los paquetes del archivo capture.pcap:
```
tshark -r capture.pcap
```
La bandera -r indica a tshark que lea desde el archivo especificado. Este comando mostrará un resumen de cada paquete directamente en tu terminal.
La salida mostrará información básica para cada paquete en columnas. Verás detalles como el número de paquete, la marca de tiempo, las direcciones IP de origen y destino, el protocolo y una breve descripción. Por ejemplo:
```
1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2   0.000123 10.0.0.2 → 10.0.2.15 TCP 74 49234 → 80 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0
...
```
Cada línea representa un paquete de red, proporcionando una visión general rápida del tráfico.
Dado que capture.pcap contiene muchos paquetes, la salida se desplazará continuamente. Para detener la visualización y volver a tu línea de comandos, presiona Ctrl+C. Este atajo de teclado finaliza de forma segura el proceso de tshark.

Filtrar por IP de origen con -Y "ip.src==10.0.2.15"

En este paso, aprenderás a aplicar un filtro de visualización para mostrar solo los paquetes que se originan de una dirección IP de origen específica. La opción -Y en tshark te permite utilizar la potente sintaxis de filtro de visualización de Wireshark para reducir tu análisis al tráfico relevante.

Asegúrate de estar en el directorio ~/project:
```
cd ~/project
```
Ahora, filtra el archivo capture.pcap para mostrar solo los paquetes donde la dirección IP de origen es 10.0.2.15. El filtro ip.src==10.0.2.15 especifica esta condición:
```
tshark -r capture.pcap -Y "ip.src==10.0.2.15"
```
La bandera -Y aplica el filtro de visualización proporcionado entre comillas.
El comando mostrará solo los paquetes que coinciden con los criterios del filtro. Notarás que cada paquete mostrado tiene 10.0.2.15 como dirección IP de origen:
```
1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
3   0.000456 10.0.2.15 → 10.0.0.2 TCP 66 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
...
```
Compara esta salida con los resultados sin filtrar del paso anterior. Esto demuestra cómo los filtros de visualización te ayudan a concentrarte en patrones de tráfico específicos dentro de un archivo de captura grande.
Cuando hayas terminado de examinar la salida filtrada, presiona Ctrl+C para detener la visualización y volver a tu línea de comandos.

Combinar filtros con -Y "ip.src==10.0.2.15 y tcp.port==80"

En este paso, aprenderás a combinar múltiples filtros de visualización utilizando operadores lógicos para refinar tu análisis del tráfico de red. Al usar el operador and, puedes especificar que los paquetes deben cumplir con todas las condiciones definidas para ser mostrados, lo que permite investigaciones altamente dirigidas.

Asegúrate de estar en el directorio ~/project:
```
cd ~/project
```
Ahora, filtremos los paquetes que cumplen con dos condiciones simultáneamente: deben originarse de la dirección IP 10.0.2.15 Y utilizar el puerto TCP 80 (comúnmente usado para tráfico HTTP). El operador and asegura que ambas condiciones deben ser verdaderas para que un paquete se incluya en la salida:
```
tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80"
```
Este comando mostrará solo los paquetes que coinciden con ambos criterios de IP de origen y puerto TCP.
La salida mostrará solo los paquetes que satisfacen ambas condiciones. Por ejemplo, podrías ver solicitudes o respuestas HTTP desde la dirección IP especificada:
```
1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
5   0.001234 10.0.2.15 → 10.0.0.2 HTTP 145 GET /index.html HTTP/1.1
...
```
Observa cómo este filtro combinado proporciona resultados más precisos en comparación con el uso de filtros individuales. Esta técnica es crucial para aislar conversaciones o tráfico de aplicaciones específicas.
Cuando hayas terminado de examinar la salida, presiona Ctrl+C para volver al símbolo del sistema.

Verificar la salida con -P (Vista detallada del paquete)

En este paso final, aprenderás cómo mostrar información detallada de los paquetes filtrados utilizando la opción -P de tshark. La bandera -P es particularmente útil cuando deseas ver resúmenes de paquetes mientras también escribes los paquetes en un archivo, o cuando se usa con otras opciones que suprimen la salida.

Asegúrate de estar en el directorio ~/project:
```
cd ~/project
```
Primero, veamos la diferencia entre usar -P y no usarla al escribir en un archivo. Ejecuta este comando sin -P:
```
tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -w filtered.pcap
```
Observa que no se muestra información de paquetes en la pantalla porque los paquetes se están escribiendo en un archivo.

Ahora ejecuta el mismo comando con la opción -P:

tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -w filtered.pcap -P

Con la bandera -P, verás resúmenes de paquetes mostrados en la pantalla mientras los paquetes se escriben simultáneamente en el archivo:

1   0.000000 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2   0.000123 10.0.2.15 → 10.0.0.2 TCP 74 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0
...

Otro escenario útil es combinar -P con -q (modo silencioso). Primero, inténtalo solo con -q:
```
tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -q
```
Esto suprime toda la salida de paquetes y solo muestra un recuento al final.
Ahora combina -q con -P:
```
tshark -r capture.pcap -Y "ip.src==10.0.2.15 and tcp.port==80" -q -P
```
La opción -P anula la supresión de -q y muestra de nuevo los resúmenes de paquetes.

La opción -P es más valiosa cuando necesitas monitorear el procesamiento de paquetes mientras guardas simultáneamente los resultados filtrados en un archivo, o cuando deseas anular la supresión de salida de otras opciones como -q.

Resumen

En este laboratorio, has aprendido a aplicar eficazmente filtros de visualización utilizando la herramienta de línea de comandos tshark de Wireshark para el análisis del tráfico de red. Has practicado la lectura de archivos PCAP con -r, la filtración por direcciones IP y puertos usando -Y, y la combinación de condiciones con operadores lógicos como and.

Los ejercicios demostraron cómo aislar patrones de tráfico específicos y verificar los resultados con -P, equipándote con habilidades esenciales para el análisis de paquetes dirigido. Estas técnicas permiten la resolución de problemas eficiente al enfocarse en los datos de red relevantes.

Utilizar Filtros de Visualización en Tshark