Manipulação de Arquivos Grandes no Tshark

Introdução

Neste laboratório, você aprenderá técnicas eficientes para processar grandes arquivos de captura de pacotes usando a ferramenta de linha de comando tshark do Wireshark. Você praticará a abertura de arquivos PCAP com -r, a limitação de pacotes com -c, a filtragem de tráfego usando -Y e a exportação de subconjuntos com -w.

Através de exercícios práticos, você dominará o manuseio de grandes conjuntos de dados, aplicando limites de pacotes, filtros de protocolo e segmentação de arquivos. Essas habilidades são essenciais para cenários de solução de problemas de rede que exigem otimização de recursos e extração precisa de dados.

Abrir Arquivo com -r large.pcap

Nesta etapa, você aprenderá como abrir e examinar um arquivo de captura de pacotes (PCAP) usando a interface de linha de comando do Wireshark, chamada tshark. Arquivos PCAP contêm dados de tráfego de rede que foram capturados de uma interface de rede. A opção -r significa "read" (ler) e informa ao tshark qual arquivo processar.

1. Primeiro, precisamos navegar para o diretório que contém nosso arquivo de captura de pacotes. No terminal, execute:

   cd ~/project
   

   Isso altera seu diretório de trabalho para onde o arquivo large.pcap está armazenado. É importante estar no diretório correto para que o tshark possa encontrar o arquivo.

2. Agora, vamos abrir e exibir o conteúdo de large.pcap usando:

   tshark -r large.pcap
   

   Este comando lê o arquivo e envia os dados do pacote para o seu terminal. Cada linha representa um pacote de rede que foi capturado.

3. A saída mostra várias colunas importantes de informações para cada pacote:

   • Número do pacote: O número de sequência do pacote na captura
   • Timestamp (Carimbo de data/hora): Quando o pacote foi capturado
   • IPs de origem e destino: De onde o pacote veio e para onde está indo
   • Protocolo: O protocolo de rede que está sendo usado (como TCP, UDP, HTTP)
   • Length (Comprimento): O tamanho do pacote em bytes
   • Info (Informações): Detalhes adicionais sobre o que o pacote contém

4. Como arquivos PCAP grandes podem produzir muita saída, você pode torná-la mais fácil de ler, canalizando para less:

   tshark -r large.pcap | less
   

   Isso permite que você role pela saída página por página usando as setas do teclado. Pressione q quando quiser sair do visualizador e retornar ao prompt de comando.

Limitar o Processamento com -c 10000

Nesta etapa, exploraremos como controlar a quantidade de dados processados de grandes arquivos de captura de pacotes. Ao trabalhar com análise de rede, você frequentemente encontrará arquivos PCAP muito grandes que podem conter milhões de pacotes. Processar todos eles de uma vez pode ser demorado e consumir muitos recursos. É aí que a opção -c no tshark se torna valiosa.

A flag -c permite que você especifique exatamente quantos pacotes deseja processar desde o início do arquivo. Isso é especialmente útil quando você está apenas testando sua abordagem de análise ou quando precisa examinar apenas uma amostra representativa do tráfego.

1. Primeiro, vamos garantir que estamos no diretório de trabalho correto onde nosso arquivo de captura está localizado:

   cd ~/project
   

2. Agora, processaremos apenas os primeiros 10.000 pacotes do nosso arquivo large.pcap. A estrutura do comando é simples: especifique o arquivo de entrada com -r e o limite de contagem de pacotes com -c:

   tshark -r large.pcap -c 10000
   

3. Quando o comando for concluído, você verá a confirmação de que exatamente 10.000 pacotes foram processados. A saída indicará claramente:

   10000 packets captured
   

4. Como mesmo 10.000 pacotes podem gerar uma saída substancial, podemos canalizar os resultados para less para facilitar a visualização. Isso permite que você role pela saída página por página:

   tshark -r large.pcap -c 10000 | less
   

5. Cenários práticos onde a limitação do processamento de pacotes é benéfica incluem:

   • Análise rápida de arquivos grandes sem esperar pelo processamento completo
   • Verificação de que a sintaxe do seu filtro funciona corretamente antes de aplicar ao arquivo inteiro
   • Conservação de recursos do sistema quando você só precisa de uma amostra do tráfego
   • Teste de scripts de análise em um conjunto de dados gerenciável antes de escalar

Filtrar Tráfego IP com -Y "ip"

Nesta etapa, focaremos em filtrar o tráfego de rede para exibir apenas pacotes IP usando a poderosa opção de filtro de exibição -Y do Tshark. Isso é particularmente útil ao trabalhar com arquivos de captura grandes, onde você precisa isolar rapidamente o tráfego de um protocolo específico.

1. Primeiro, vamos navegar para o diretório do projeto onde nosso arquivo de captura está armazenado. Isso garante que estamos trabalhando com o arquivo correto:

   cd ~/project
   

2. Agora, usaremos o filtro -Y para exibir apenas o tráfego IP do nosso arquivo de captura. O comando abaixo lê o arquivo 'large.pcap' e aplica nosso filtro:

   tshark -r large.pcap -Y "ip"
   

3. Após executar este comando, você notará que a saída mostra apenas pacotes que atendem a estes critérios:

   • Usam os protocolos IPv4 ou IPv6
   • Contêm cabeçalhos IP adequados em sua estrutura
   • Excluem tráfego não-IP, como ARP (Address Resolution Protocol) ou STP (Spanning Tree Protocol)

4. Para um melhor manuseio de arquivos grandes, podemos combinar este filtro com outras opções que aprendemos. Este exemplo limita o processamento a 10.000 pacotes e canaliza a saída para less para facilitar a visualização:

   tshark -r large.pcap -c 10000 -Y "ip" | less
   

5. O filtro -Y usa a sintaxe de filtro de exibição do Wireshark, que oferece muitas possibilidades, incluindo:

   • Filtragem baseada em protocolo (ip, tcp, udp)
   • Filtragem de endereço de origem/destino (ip.src, ip.dst)
   • Filtragem de número de porta (tcp.port, udp.port)

Salvar Subconjunto com -w small.pcap

Nesta etapa, você aprenderá como extrair e salvar uma porção específica do tráfego de rede de um arquivo de captura grande. Isso é particularmente útil ao trabalhar com arquivos PCAP massivos que seriam muito intensivos em recursos para analisar em sua totalidade.

1. Primeiro, navegue até o diretório do projeto onde seus arquivos de captura estão armazenados. Isso garante que todas as operações de arquivo ocorram no local correto:

   cd ~/project
   

2. O seguinte comando demonstra como combinar vários recursos do Tshark para criar um arquivo de subconjunto gerenciável. Aqui, estamos lendo de 'large.pcap', mas mantendo apenas os primeiros 10.000 pacotes IP:

   tshark -r large.pcap -c 10000 -Y "ip" -w small.pcap
   

   Analisando este comando:

   • -r large.pcap especifica o arquivo de entrada
   • -c 10000 limita o processamento aos primeiros 10.000 pacotes
   • -Y "ip" aplica um filtro de exibição para incluir apenas o tráfego IP
   • -w small.pcap grava os resultados filtrados em um novo arquivo

3. Após executar o comando, verifique se o arquivo de saída foi criado com sucesso. O comando ls com as flags -lh mostra o tamanho do arquivo em formato legível por humanos (como KB/MB), juntamente com outros detalhes:

   ls -lh small.pcap
   

4. Agora você pode trabalhar com este arquivo menor e filtrado de forma mais eficiente. Para visualizar seu conteúdo, canalize a saída para less, que permite rolar pelos pacotes:

   tshark -r small.pcap | less
   

   Isso é muito mais rápido do que processar o arquivo grande original, enquanto contém apenas o tráfego IP que você especificou.

Resumo

Neste laboratório, você aprendeu técnicas-chave para processar eficientemente arquivos de captura de pacotes grandes usando a ferramenta de linha de comando tshark do Wireshark. Você praticou a abertura de arquivos com -r, a limitação da contagem de pacotes via -c, a aplicação de filtros de exibição com -Y e a exportação de subconjuntos usando -w para gerenciar grandes conjuntos de dados de forma eficaz.

Os exercícios demonstraram habilidades práticas para análise baseada em terminal, incluindo navegação de saída com less e extração de pacotes direcionada. Essas capacidades são essenciais para profissionais de rede que trabalham com capturas de tráfego volumosas, otimizando o uso de recursos do sistema.