LabEx
Iniciar SesiónÚnete Gratis

Usar Filtros de Visualización en Tshark

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá a utilizar filtros de visualización en la herramienta de línea de comandos tshark de Wireshark para un análisis eficiente del tráfico de red. Practicará la lectura de archivos de captura de paquetes (tcp.pcap) y la aplicación de filtros para aislar patrones de tráfico específicos, como paquetes de direcciones IP particulares o puertos TCP.

A través de ejercicios prácticos, dominará los comandos clave de tshark, incluyendo -r para la lectura de archivos y -Y para la aplicación de filtros. El laboratorio enfatiza la comparación de los resultados filtrados y no filtrados para mejorar sus habilidades de resolución de problemas de red.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/display_filters -.-> lab-548939{{"Usar Filtros de Visualización en Tshark"}} wireshark/packet_analysis -.-> lab-548939{{"Usar Filtros de Visualización en Tshark"}} wireshark/commandline_usage -.-> lab-548939{{"Usar Filtros de Visualización en Tshark"}} end

Leer un archivo con -r tcp.pcap

En este paso, aprenderá cómo leer un archivo de captura de paquetes utilizando la herramienta de línea de comandos tshark de Wireshark. La opción -r es uno de los comandos más fundamentales en tshark, que le permite especificar un archivo de captura de paquetes (PCAP) para analizar. Esto es similar a abrir un archivo en la interfaz gráfica de usuario (GUI) de Wireshark, pero se hace a través de la línea de comandos.

  1. Primero, necesitamos navegar al directorio que contiene nuestro archivo de captura de paquetes. Abra una terminal y ejecute:

    cd ~/project

    Este comando cambia su directorio de trabajo a la carpeta del proyecto donde se almacena nuestro archivo de captura de muestra.

  2. El entorno de laboratorio proporciona un archivo de captura de paquetes de muestra llamado tcp.pcap. Verifiquemos que exista antes de intentar leerlo:

    ls -l tcp.pcap

    Debería ver una salida similar a:

    -rw-r--r-- 1 labex labex 12345 Ene 1 00:00 tcp.pcap

    Esto muestra los permisos del archivo, el propietario, el tamaño y la fecha de modificación, lo que confirma que el archivo está presente.

  3. Ahora usaremos tshark para leer y mostrar el archivo de captura de paquetes:

    tshark -r tcp.pcap

    La bandera -r le dice a tshark que lea del archivo especificado en lugar de capturar tráfico en vivo. Este comando mostrará el contenido de los paquetes directamente en su terminal.

  4. La salida mostrará cada paquete con información básica en columnas:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
2 0.000123 192.168.1.2 → 192.168.1.1 TCP 74 49234 → 80 [SYN, ACK] Seq=0 Ack=1 Win=29200 Len=0

    Cada línea representa un paquete de red, mostrando su número, marca de tiempo, direcciones IP de origen/destino, protocolo (TCP en este caso) y banderas TCP.

  5. La salida seguirá desplazándose mientras tshark muestra todos los paquetes. Para detener la visualización y volver a la línea de comandos, presione Ctrl+C. Esta interrupción de teclado termina de forma segura el proceso de tshark.

Filtrar por dirección IP de origen con -Y "ip.src==192.168.1.1"

En este paso, aprenderá cómo filtrar paquetes de red por dirección IP de origen utilizando la herramienta de línea de comandos tshark de Wireshark. La opción -Y está específicamente diseñada para filtros de visualización, que le ayudan a centrarse en patrones de tráfico de red particulares sin modificar los datos originales de los paquetes.

  1. Primero, asegúrese de estar en el directorio correcto donde se almacena su archivo de captura de paquetes. Esto es importante porque tshark necesita saber dónde encontrar el archivo que desea analizar:

    cd ~/project

  2. Ahora, filtremos los paquetes que se originan de la dirección IP específica 192.168.1.1. La bandera -r especifica el archivo de entrada, mientras que -Y aplica nuestra condición de filtrado. La sintaxis del filtro ip.src==192.168.1.1 significa "mostrar solo los paquetes donde la dirección IP de origen sea igual a 192.168.1.1":

    tshark -r tcp.pcap -Y "ip.src==192.168.1.1"

  3. El comando solo mostrará los paquetes que coincidan con nuestros criterios de filtrado. Observe cómo cada entrada muestra la dirección IP de origen (192.168.1.1) y la dirección IP de destino, junto con otros detalles del protocolo:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
3 0.000456 192.168.1.1 → 192.168.1.2 TCP 66 80 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0

  4. Para entender mejor el efecto del filtrado, compare esta salida con los resultados sin filtrar que vio anteriormente. Esto demuestra cómo los filtros de visualización ayudan a aislar patrones de tráfico específicos de archivos de captura grandes.

  5. Cuando haya terminado de examinar la salida filtrada, presione Ctrl+C para detener la visualización y volver a la línea de comandos. Este atajo de teclado funciona para la mayoría de las herramientas de línea de comandos que generan resultados continuos.

Combinar filtros con -Y "ip.src==192.168.1.1 and tcp.port==80"

En este paso, aprenderá cómo combinar múltiples filtros en la herramienta de línea de comandos tshark de Wireshark para analizar con precisión el tráfico de red. La opción -Y (filtro de visualización) le permite utilizar operadores lógicos como and para crear condiciones de filtrado complejas. Esto es especialmente útil cuando necesita examinar el tráfico que cumple con múltiples criterios simultáneamente.

  1. Primero, navegue al directorio del proyecto donde se almacena su archivo de captura de paquetes. Esto asegura que tshark pueda encontrar el archivo que desea analizar:

    cd ~/project

  2. Ahora, filtremos los paquetes que cumplan dos condiciones: deben provenir de la dirección IP 192.168.1.1 Y utilizar el puerto TCP 80 (por lo general, tráfico HTTP). El operador and asegura que ambas condiciones deben ser verdaderas para que un paquete se muestre:

    tshark -r tcp.pcap -Y "ip.src==192.168.1.1 and tcp.port==80"

  3. La salida solo mostrará los paquetes que coincidan con ambos criterios. Por ejemplo, es posible que vea solicitudes HTTP de la dirección IP especificada:

    1 0.000000 192.168.1.1 → 192.168.1.2 TCP 74 80 → 49234 [SYN] Seq=0 Win=64240 Len=0
5 0.001234 192.168.1.1 → 192.168.1.2 HTTP 145 GET /index.html HTTP/1.1

  4. Observe cómo este filtro combinado le da resultados más específicos que utilizar filtros individuales por separado. Compare esta salida con lo que vio cuando filtró solo por IP o solo por puerto para entender cómo combinar filtros ayuda a aislar patrones de tráfico específicos.

  5. Cuando haya terminado de examinar la salida, presione Ctrl+C para volver a la línea de comandos. Esta combinación de teclas detiene la visualización de la información de los paquetes.

Verificar la salida con -P

En este paso, aprenderá cómo verificar e imprimir detalles de paquetes utilizando la opción -P de Wireshark con tshark. La bandera -P le indica a tshark que imprima los detalles de los paquetes en un formato estructurado y legible por humanos, en lugar de mostrar solo líneas de resumen. Esto es especialmente útil cuando necesita examinar campos específicos dentro de los paquetes de red.

  1. Primero, asegúrese de estar en el directorio correcto donde se encuentra su archivo de captura de paquetes. Esto es importante porque tshark necesita acceder al archivo pcap que vamos a analizar:

    cd ~/project

  2. Ahora usaremos tshark para filtrar y mostrar paquetes de la dirección IP 192.168.1.1 que se comunican por el puerto TCP 80. El comando combina tres banderas importantes:

    • -r para leer desde nuestro archivo de captura
    • -Y para aplicar nuestro filtro de visualización
    • -P para mostrar información detallada de los paquetes
    tshark -r tcp.pcap -Y "ip.src==192.168.1.1 and tcp.port==80" -P

  3. La opción -P proporciona un desglose jerárquico del contenido de cada paquete. Así es como podría verse una salida de muestra, mostrando diferentes capas de protocolo:

    Frame 1: 74 bytes on wire (592 bits), 74 bytes captured (592 bits)
Ethernet II, Src: 00:11:22:33:44:55, Dst: 66:77:88:99:aa:bb
Internet Protocol Version 4, Src: 192.168.1.1, Dst: 192.168.1.2
Transmission Control Protocol, Src Port: 80, Dst Port: 49234, Seq: 0, Ack: 0, Flags: SYN

  4. Observe cómo esta salida muestra más detalles técnicos que los comandos anteriores sin -P. Puede ver:

    • La información de la capa física (Ethernet)
    • Las direcciones de la capa de red (IP)
    • Los números de puerto y las banderas de la capa de transporte (TCP)

  5. Cuando haya terminado de examinar la salida, puede detener la visualización presionando Ctrl+C. Esta combinación de teclas funciona en la mayoría de las terminales de Linux para interrumpir el comando actual.

Resumen

En este laboratorio, has aprendido a aplicar eficazmente filtros de visualización utilizando la herramienta de línea de comandos tshark de Wireshark para el análisis del tráfico de red. Practicaste la lectura de archivos PCAP con -r, el filtrado por direcciones IP y puertos utilizando -Y, y la combinación de condiciones con operadores lógicos como and.

Los ejercicios demostraron cómo aislar patrones de tráfico específicos y verificar los resultados con -P, proporcionándote las habilidades esenciales para el análisis de paquetes específico. Estas técnicas permiten una resolución eficiente de problemas al centrarse en los datos de red relevantes.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante