Aprendiendo a utilizar la herramienta de línea de comandos de Wireshark: TShark

Vickie Li

Sigue

23 de mayo, 2020 – 3 min read

Foto de Gerald Schömbs en Unsplash

Wireshark es el analizador de protocolos de red más utilizado del mundo. Te permite sumergirte en el tráfico capturado y analizar lo que ocurre dentro de una red. ¡Hoy, vamos a hablar de cómo se puede utilizar la interfaz de línea de comandos de Wireshark, Tshark, para lograr resultados similares.

Vamos a ir a través de algunos comandos de ejemplo, así que siéntase libre de utilizar un archivo PCAP para seguir adelante! Puede encontrar algunos archivos de captura de ejemplo aquí.

Sin un archivo de entrada, Tshark simplemente actúa como Tcpdump. Capturará el tráfico de la primera red disponible y mostrará sus paquetes en la salida estándar. Alternativamente, puede utilizar la bandera «-r» para especificar el archivo de captura de red.

tshark -r network.pcap

De esta manera, Tshark mostrará los paquetes del archivo de captura en la salida estándar. Veamos una línea de la salida:

35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK

Esto puede parecer complicado, pero recuerda que la salida de la línea de comandos de Tshark refleja la interfaz de Wireshark. Los campos de izquierda a derecha en la salida de la línea de comandos son:

Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK

El campo «Hora» muestra cuándo se capturó el paquete. Los campos «Source» y «Destination» muestran la IP de origen y la IP de destino de ese paquete. El campo «Protocolo» muestra el protocolo utilizado. El campo «Longitud» muestra la longitud del paquete. Y finalmente, el campo «Info» muestra cualquier información adicional sobre el paquete.

Puedes filtrar estos resúmenes de paquetes pasando la salida de Tshark a grep. Por ejemplo, este comando mostrará los paquetes con un código de estado HTTP «200 OK».

tshark -r network.pcap | grep "200 OK"

Exportación de paquetes interesantes

Puede examinar el contenido de los paquetes exportando sus objetos. La exportación de objetos en Tshark le permite extraer diferentes tipos de datos de paquetes, como objetos HTTP y SMB. La sintaxis para exportar objetos es la siguiente.

tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR

El PROTOCOLO especifica el tipo de objeto de exportación, mientras que el DESTINATION_DIR es el directorio que Tshark utilizará para almacenar los archivos exportados. Por ejemplo, este comando exportará los archivos que han sido transportados a través de la red y los almacenará en el directorio «exported_files_dir».

tshark -r network.pcap --export-objects http,exported_files_dir

Usando filtros de paquetes

Al igual que en Wireshark, también puedes filtrar paquetes basándote en ciertos criterios. Simplemente puedes poner tus filtros entre comillas al final del comando.

tshark -r network.pcap "http.request.method == POST and http.file_data contains password"

El formato de los filtros que se pueden aplicar es idéntico al de Wireshark. Puede encontrar una lista de filtros disponibles aquí.

También puede especificar el formato de salida para los datos de los paquetes decodificados utilizando la bandera «-T». Por ejemplo, este comando mostrará todas las solicitudes HTTP GET en el formato JSON.

tshark -r network.pcap -T json "http.request.method==GET"

Por último, puede procesar la salida de Tshark canalizándola en otras herramientas de línea de comandos como grep.

Conclusión

Este post sólo presenta una pequeña fracción de lo que Wireshark y Tshark pueden hacer. Son herramientas versátiles que son capaces de realizar muchos tipos diferentes de análisis.

Si usted está interesado en aprender más acerca de estas herramientas, visite su documentación aquí.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.