LabEx
Iniciar SesiónÚnete Gratis

Usar el análisis de dos pasadas en Tshark

WiresharkWiresharkBeginner
Practicar Ahora

💡 Este tutorial está traducido por IA desde la versión en inglés. Para ver la versión original, puedes hacer clic aquí

Introducción

En este laboratorio, aprenderá a realizar un análisis de dos pasos utilizando tshark, la herramienta de línea de comandos de Wireshark, para analizar el tráfico de red de un archivo PCAP. Practicará el uso de opciones clave como -r para leer archivos, -2 para el modo de dos pasos y -V para una salida detallada mientras examina los paquetes de confirmación TCP con filtros de visualización.

Los ejercicios lo guiarán a través de operaciones básicas y avanzadas de tshark, incluyendo la verificación de archivos, la mejora de la desglose de protocolos a través del análisis de dos pasos y la interpretación de patrones de tráfico de red. Estas habilidades prácticas le ayudarán a realizar un análisis de red más preciso y eficiente utilizando las potentes características de tshark.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL wireshark(("Wireshark")) -.-> wireshark/WiresharkGroup(["Wireshark"]) wireshark/WiresharkGroup -.-> wireshark/packet_capture("Packet Capture") wireshark/WiresharkGroup -.-> wireshark/display_filters("Display Filters") wireshark/WiresharkGroup -.-> wireshark/protocol_dissection("Protocol Dissection") wireshark/WiresharkGroup -.-> wireshark/packet_analysis("Packet Analysis") wireshark/WiresharkGroup -.-> wireshark/commandline_usage("Command Line Usage") subgraph Lab Skills wireshark/packet_capture -.-> lab-548940{{"Usar el análisis de dos pasadas en Tshark"}} wireshark/display_filters -.-> lab-548940{{"Usar el análisis de dos pasadas en Tshark"}} wireshark/protocol_dissection -.-> lab-548940{{"Usar el análisis de dos pasadas en Tshark"}} wireshark/packet_analysis -.-> lab-548940{{"Usar el análisis de dos pasadas en Tshark"}} wireshark/commandline_usage -.-> lab-548940{{"Usar el análisis de dos pasadas en Tshark"}} end

Abrir un archivo con -r capture.pcap

En este paso, aprenderá cómo abrir y examinar un archivo de captura de paquetes utilizando la herramienta de línea de comandos tshark de Wireshark. Esta habilidad fundamental es esencial para analizar el tráfico de red grabado previamente antes de pasar a técnicas de análisis más avanzadas.

La opción -r es uno de los parámetros más utilizados de tshark. Significa "read" (leer) y especifica que tshark debe procesar paquetes de un archivo en lugar de capturar tráfico de red en tiempo real. Trabajaremos con un archivo de muestra llamado capture.pcap que contiene datos de comunicación de red grabados.

Antes de comenzar, entendamos con qué estamos trabajando:

  • Un archivo .pcap es un formato estándar para almacenar paquetes de red capturados.
  • El archivo contiene datos de tráfico de red sin procesar que analizaremos.
  • Utilizar un archivo de captura guardado nos permite estudiar el comportamiento de la red sin necesidad de tráfico en tiempo real.

Siga estos pasos con cuidado:

  1. Primero, navegue al directorio que contiene nuestro archivo de captura:
cd ~/project
  1. Verifique que el archivo de captura exista y compruebe sus propiedades:
ls -l capture.pcap

Debería ver una salida similar a:

-rw-r--r-- 1 labex labex 12345 Ene 1 00:00 capture.pcap

Esto confirma que el archivo existe y muestra su tamaño y permisos.

  1. Ahora, abramos y mostremos el contenido del archivo de captura:
tshark -r capture.pcap

Este comando lee el archivo y muestra un resumen de cada paquete capturado en su terminal. Cada línea representa un paquete de red, mostrando información básica como la marca de tiempo, las direcciones de origen/destino y el protocolo.

Para los principiantes: Al comenzar con el análisis de paquetes, trabajar con archivos de captura guardados suele ser más fácil que tratar con tráfico en tiempo real. La opción -r nos da esta capacidad. En los siguientes pasos, aprenderemos cómo filtrar y analizar aspectos específicos de este tráfico.

Habilitar el análisis de dos pasos con -2

En este paso, exploraremos cómo utilizar tshark de Wireshark en modo de análisis de dos pasos agregando la opción -2. Esta poderosa característica hace que tshark procese el archivo de captura dos veces, mejorando significativamente la precisión del análisis de protocolos y los resultados de los filtros de visualización.

Para aquellos nuevos en el análisis de paquetes: Normalmente, tshark lee los paquetes secuencialmente solo una vez. El modo de dos pasos cambia esto de la siguiente manera:

  1. Primer paso: Escanea rápidamente todo el archivo para establecer relaciones y dependencias entre protocolos.
  2. Segundo paso: Analiza detenidamente cada paquete con el contexto completo del primer paso.

Querrá utilizar el modo de dos pasos cuando:

  • Trabaje con protocolos complejos en los que paquetes posteriores expliquen paquetes anteriores.
  • Aplique filtros de visualización sofisticados que requieran el contexto completo del paquete.
  • Genere estadísticas y resúmenes precisos de protocolos.

Practiquemos con nuestro archivo de captura de muestra:

  1. Primero, navegue al directorio del proyecto (si continúa desde pasos anteriores):
cd ~/project
  1. Ahora, ejecute tshark con el análisis de dos pasos habilitado:
tshark -2 -r capture.pcap

Entendiendo lo que sucede: La bandera -2 activa el proceso de doble escaneo. Durante el primer paso, tshark anota detalles importantes del protocolo, como los números de secuencia TCP y los estados de sesión. En el segundo paso, utiliza esta información para reconstruir adecuadamente las conversaciones y aplicar los filtros con precisión. Esto es especialmente valioso para protocolos como TCP, donde las confirmaciones afectan cómo interpretamos los paquetes de datos.

Filtrar respuestas con -R "tcp.flags.ack==1"

En este paso, exploraremos cómo filtrar paquetes TCP ACK utilizando las poderosas capacidades de filtrado de visualización de Wireshark. La opción -R en Tshark nos permite aplicar estos filtros para analizar el tráfico de red capturado. Esto es especialmente útil cuando se desea centrarse en tipos específicos de paquetes, como los reconocimientos TCP (acknowledgments).

Los paquetes TCP ACK juegan un papel crucial en la comunicación de red. Siempre que su computadora recibe datos a través de una conexión TCP, envía de vuelta estos paquetes de reconocimiento para confirmar la recepción exitosa. Al filtrarlos, podemos estudiar cómo los sistemas confirman la entrega de datos.

Vamos a repasar el proceso paso a paso:

  1. Primero, necesitamos navegar al directorio de trabajo donde se almacena el archivo de captura:
cd ~/project
  1. Ahora usaremos Tshark con la opción de análisis de dos pasos (-2) y aplicaremos nuestro filtro ACK:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1"

Desglosando lo que sucede en este comando:

  • -2 habilita el análisis de dos pasos para obtener resultados más precisos.
  • -r capture.pcap especifica nuestro archivo de captura de entrada.
  • -R "tcp.flags.ack==1" aplica nuestro filtro de visualización para paquetes ACK.

Puntos clave a entender:

  • La opción -R le dice a Tshark que solo muestre los paquetes que coincidan con nuestros criterios de filtrado.
  • tcp.flags.ack==1 coincide exactamente con los paquetes donde la bandera ACK de TCP está establecida en 1 (verdadero).
  • Los ACK de TCP son un comportamiento normal del protocolo; no necesariamente indican problemas.
  • El análisis de dos pasos (-2) ayuda a garantizar una disección y filtrado precisos del protocolo.

Después de ejecutar el comando, verá una salida que contiene solo paquetes TCP con la bandera ACK establecida. Una línea típica se ve así:

1 0.000000 192.168.1.1 → 192.168.1.2 TCP 54 443 → 49234 [ACK] Seq=1 Ack=1 Win=64240 Len=0

Esto muestra el número de paquete, la marca de tiempo, las direcciones IP de origen/destino, los puertos y la información específica de TCP, incluyendo la bandera [ACK] por la que filtramos.

Mostrar resultados con -V

En este paso, exploraremos cómo ver detalles completos de los paquetes utilizando la opción -V (verbose, detallado) de Wireshark. Cuando se analiza el tráfico de red, es fundamental entender la estructura completa de los paquetes. La bandera -V ayuda al mostrar la jerarquía completa del protocolo y todos los valores de los campos, lo cual es especialmente útil cuando se examinan los paquetes TCP ACK resultantes de nuestro filtrado anterior.

La salida detallada (-V) revela tres aspectos clave de cada paquete:

  • Desglose completo del protocolo que muestra cómo se encapsulan las diferentes capas entre sí.
  • Cada valor de campo dentro de estos protocolos, incluyendo detalles técnicos que a menudo están ocultos en las vistas predeterminadas.
  • Organización jerárquica clara que refleja cómo se apilan realmente los protocolos en la comunicación de red.

Vamos a ejecutar esto paso a paso:

  1. Primero, navegue al directorio de trabajo donde se almacena el archivo de captura. Esto garantiza que podamos acceder a los datos de captura de paquetes:
cd ~/project
  1. Ahora ejecute el comando con salida detallada para nuestros paquetes ACK filtrados. Observe que estamos combinando el análisis de dos pasos (-2) con nuestro filtro anterior (-R) y agregando -V:
tshark -2 -r capture.pcap -R "tcp.flags.ack==1" -V

Para aquellos nuevos en el análisis de paquetes:

  • La opción -V activa el modo "detallado", como pasar de la tabla de contenido de un libro a leer los capítulos completos.
  • A diferencia de la vista predeterminada que muestra resúmenes básicos de paquetes, el modo detallado muestra todos los detalles técnicos.
  • La salida organiza la información por capas de protocolo (Ethernet → IP → TCP, etc.), exactamente como están estructurados los paquetes.
  • Verá valores específicos para cada campo de protocolo, lo que ayuda a entender exactamente lo que está sucediendo en el intercambio de red.

Esto es lo que se puede esperar en la salida (ejemplo simplificado):

Frame 1: 54 bytes on wire...
Ethernet II, Src: aa:bb:cc:dd:ee:ff...
Internet Protocol Version 4, Src: 192.168.1.1...
Transmission Control Protocol, Src Port: 443...
    [ACK] Seq=1 Ack=1 Win=64240 Len=0
    [TCP Flags: ·······A····]

Resumen

En este laboratorio, has aprendido a realizar un análisis de paquetes de dos pasos utilizando la herramienta de línea de comandos tshark de Wireshark. El proceso implicó leer paquetes de un archivo de captura (capture.pcap) utilizando la opción -r y verificar su ubicación antes del análisis.

Has explorado el modo de dos pasos habilitado por la opción -2, que mejora la precisión del análisis de protocolos al escanear los paquetes dos veces. Esta técnica resulta especialmente útil para filtros complejos y protocolos que requieren información contextual de paquetes posteriores.

Relacionado Wireshark Cursos
Inicio rápido con Wireshark

Inicio rápido con Wireshark

Cybersecurity
Principiante