Tshark

Con este post hablaremos de otro programa de captura de datos, este tiene la característica a parte de ser muy bueno que a la hora de escuchar información, la infinidad de filtros y formateo de datos que tiene. Explicaré una de ellas. Estamos hablando de Tshark.

Nos irá  muy bien para localizar origenes y destinos de ciertos tráficos en nuestra red.

Para empezar debemos decirle desde que tarjeta de red vamos a escuchar para ello hay que poner el comando:

tshark -D

Escogeremos el interface en la posición número 1:

tshark -i1

Algunos parámetros interesantes

-c:XX Captura hasta que lleva XX paquetes

-aduration: XX captura hasta que lleva XX segundos

-afilesize: XX captura hasta que lleva XX kb

-afiles: XX captura hasta que lleva XX ficheros

-w nombreFichero.pcap guarda el fichero especificado.

-f ->para poner filtros

-r para leer de un fichero capturado.

-R para aplicar filtros de lectura.

Un ejemplo de paquetes que tienen su destino en un servidor FTP del un fichero guardado.

tshark -i1 -f "dst port 21" -r captura1.pcap

Otro ejemplo de fichero que usen el puerto 110

tshark -i1 -R "dst port 110" -r captura1.pcap

Otro comando intersante "tshark -i1  -nqzconv,tcp" nos muestra estadísticas de tráfico. Si lo que queremos es que solo las haga durante 60 segundos sería "tshark -i1   -aduration:60 -nqzconv,tcp"

Aquí vemos con quien habla mi máquina, que puertos usa y el volumen de datos que mueve.

Si lo que queremos es solo para un puerto en concreto por ejemplo el 80 sería:

 " tshark -i1 -nqzconv,tcp,"tcp.port eq80" "

GoN