Presentamos la interfaz de línea de comandos de Wireshark: TShark

TShark contra Tcpdump

TShark est√° dise√Īado como una CLI o interfaz de l√≠nea de comandos de Wireshark para capturar y analizar paquetes directamente desde la CLI. La mayor√≠a de las personas desconocen TShark en comparaci√≥n con Wireshark de uso com√ļn. TShark viene incluido con Wireshark. Esto es particularmente √ļtil cuando una GUI no est√° disponible. Todas las opciones utilizadas en Wireshark tambi√©n se admiten aqu√≠. Por ejemplo, los paquetes capturados pueden almacenarse en un archivo y luego recuperarse para su an√°lisis. El formato de archivo de captura predeterminado es pcapng, que es el mismo que usa Wireshark. El beneficio de usar TShark es que se puede incluir en scripts (se puede usar dentro de un script de python) y se puede usar en sistemas remotos a trav√©s de SSH. El inconveniente es, por supuesto, que no tiene una GUI.

Al igual que Wireshark, TShark est√° disponible para los principales sistemas operativos: Linux, Mac OS, Windows.

¬ŅQu√© cubriremos aqu√≠?

En este tutorial, le explicaremos acerca de TShark y le presentaremos algunos casos de uso básicos. Vamos a sumergirnos con TShark. Para esta guía, usaremos Kali Linux, que viene pre-enviado con WireShark y TShark.

¬ŅQu√© necesitar√°s?

De hecho, debe tener un conocimiento profundo de los conceptos de redes inform√°ticas y protocolos relacionados, como TCP/IP, etc. Adem√°s, en algunos casos, es posible que se requieran derechos administrativos.

Instalación de TShark

TShark viene preinstalado en Kali Linux. Para instalar en el sistema Ubuntu/Debian use el comando:

$ sudo apt install tshark

Para otras distribuciones, use la forma de instalación predeterminada para instalar TShark. Para verificar la versión de TShark en su sistema, abra una terminal e ingrese:

$ tiburón -v

TShark contra Tcpdump

TShark tiene la misma capacidad que Wireshark. TShark funciona de la misma manera que tcpdump cuando no se usa ninguna opción. Incluso TShark es capaz de reemplazar tcpdump. Comparemos las dos herramientas por un momento. Mire la captura de pantalla a continuación, hemos ejecutado ambas herramientas sin ninguna opción:

TShark contra Tcpdump
Si observa detenidamente, notar√° que la salida de TShark es m√°s legible por humanos en comparaci√≥n con tcpdump. TShark usa la biblioteca pcap para capturar paquetes. De forma predeterminada, escribir√° el archivo de salida en formato pcapng. Si desea alg√ļn otro formato, utilice la opci√≥n ‘-F’ para enumerar y seleccionar entre los formatos disponibles.

Pr√°ctica con TShark

Pasemos ahora a ver algunos casos de uso de TShark. Primero comenzamos con la verificaci√≥n de la interfaz disponible para que TShark capture. Dependiendo de su m√©todo de instalaci√≥n, es posible que necesite tener privilegios ‘sudo’. Ejecute el siguiente comando para obtener la lista de interfaces disponibles:

$ tibur√≥n ‚ÄďD

Listado de las interfaces

Elegir la interfaz para escuchar

De forma predeterminada, TShark captura en la primera interfaz que ve. Por lo tanto, de la lista anterior, TShark establecer√° su objetivo en ‘eth0’. Por lo tanto, si no especificamos la interfaz, utilizar√° autom√°ticamente la interfaz ‘eth0’. Sin embargo, queremos definir expl√≠citamente la interfaz, necesitaremos usar la opci√≥n ‘-i’:

$ tshark -i eth0

De esta forma, TShark captar√° todo lo que pase por √©l. Si queremos podemos limitar el l√≠mite de captura a unos pocos paquetes, digamos a 10 paquetes, usando la opci√≥n ‘-c’ o conteo de paquetes:

$ tshark -i eth0 -c 10

Almacenamiento de los archivos de captura

Una cosa buena que tiene TShark es que podemos guardar las capturas en un archivo para su uso posterior. En el comando anterior, use la opci√≥n ‘-w’ para guardar la captura en un archivo, digamos mycapture.pcap:

$ tshark -c 500 -w micaptura.pcap

Guardar el archivo de capturaAnuncio publicitario

Para leer el archivo anterior, use el comando:

$ tshark -r mycapture.pcap

La salida del comando anterior se mostrar√° en la terminal.

Especificación de un host de destino

Podemos configurar TShark para filtrar el tr√°fico que va y viene de un host espec√≠fico, por ejemplo, google.com. Para demostrar esto, enviemos una solicitud de ping a ‘google.com’

$ hacer ping a google.com

Ahora ejecutamos el comando TShark para capturar el tr√°fico anterior:

$ tshark -i eth0 -c 10 host google.com

Especificación de un host para TShark

Nota: También podemos usar la dirección IP del host en lugar del nombre de host.

El comando anterior contiene todas las solicitudes de ping enviadas desde y hacia el host (google.com). Para filtrar el tr√°fico entrante, use el comando:

$ tshark -i eth0 src anfitrión google.com

Aplicar un filtro de origen en el host
De la misma manera, use el siguiente comando para filtrar el tr√°fico saliente:

$ tshark -i eth0 dst anfitrión google.com

Aplicar un filtro de destino en el host

Similar a una solicitud de ping, también podemos ejecutar un escaneo Nmap y guardar nuestros resultados en un archivo o analizarlo directamente con TShark.

Conclusión

TShark es una herramienta muy esencial para los analizadores de seguridad. Este artículo solo toca la superficie para hacerle saber lo que puede hacer con TShark. Hay todo un mundo de grandes posibilidades con TShark. Para explorar más sobre TShark, vaya a https://www.wireshark.org/docs/ donde encontrará videos de capacitación, guías, etc. Las páginas man de TShark también almacenan enormes fuentes de información.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *