Nos irá muy bien para localizar origenes y destinos de ciertos tráficos en nuestra red.
Para empezar debemos decirle desde que tarjeta de red vamos a escuchar para ello hay que poner el comando:
tshark -D
Escogeremos el interface en la posición número 1:
tshark -i1
Algunos parámetros interesantes
-c:XX Captura hasta que lleva XX paquetes
-aduration: XX captura hasta que lleva XX segundos
-afilesize: XX captura hasta que lleva XX kb
-afiles: XX captura hasta que lleva XX ficheros
-w nombreFichero.pcap guarda el fichero especificado.
-f ->para poner filtros
-r para leer de un fichero capturado.
-R para aplicar filtros de lectura.
Un ejemplo de paquetes que tienen su destino en un servidor FTP del un fichero guardado.
tshark -i1 -f "dst port 21" -r captura1.pcap
tshark -i1 -R "dst port 110" -r captura1.pcap
Otro comando intersante "tshark -i1 -nqzconv,tcp" nos muestra estadísticas de tráfico. Si lo que queremos es que solo las haga durante 60 segundos sería "tshark -i1 -aduration:60 -nqzconv,tcp"
Aquí vemos con quien habla mi máquina, que puertos usa y el volumen de datos que mueve.
Si lo que queremos es solo para un puerto en concreto por ejemplo el 80 sería:
" tshark -i1 -nqzconv,tcp,"tcp.port eq80" "
GoN