¿Cómo Utilizar Tshark?
Tshark emerge como el maestro analítico del tráfico de red. Esta herramienta, también conocida como el «cerebro analítico» de Wireshark, Tshark analiza redes, no solo es esencial para los pentesters, sino que también se convierte en un aliado poderoso para administradores de redes y curiosos exploradores de la informática.
¿Qué es Tshark?
Tshark, en términos sencillos, es la lupa que nos permite examinar y entender el flujo de información que se desplaza a través de las entrañas de una red. Similar a Wireshark, pero con la destreza de operar en modo de línea de comandos, tshark es la herramienta que transforma paquetes de datos en narrativas legibles.
¿Para Qué se Usa?
Imagina a tshark como el detective incansable que utiliza paquetes IP «crudos» para desvelar los secretos de una red. Desde determinar qué equipos están disponibles hasta espiar los servicios que ofrecen, tshark no se detiene hasta revelar nombres y versiones de aplicaciones, sistemas operativos e incluso los filtros de paquetes que resguardan la información.
Utilidades de Tshark
- Auditorías de Seguridad:
- Descubre vulnerabilidades en la red.
- Identifica posibles amenazas y ataques.
- Administración de Redes:
- Realiza inventarios de la red de manera eficiente.
- Planifica actualizaciones de servicios de forma estratégica.
- Monitorización del Tráfico:
- Analiza la actividad de la red en tiempo real.
- Detecta patrones y anomalías para una toma de decisiones informada.
Instalación
La entrada a este universo analítico es sencilla. Según tu distribución de Linux:
Ubuntu/Debian:
sudo apt install tshark
Fedora:
sudo dnf install wireshark-cli
Red Hat/CentOS Stream:
sudo yum install wireshark-cli
Arch Linux:
sudo pacman -S wireshark-cli
Comandos Básicos de Tshark
- Captura de Tráfico en una Interfaz Específica:
tshark -i eth0
- Filtrado por Tipo de Protocolo:
tshark -Y "http"
- Captura de Paquetes y Guardado en un Archivo:
tshark -c 100 -w archivo_captura.pcap
Ejemplos Prácticos
- Identificación de Tráfico HTTP:
tshark -Y "http"
- Análisis de Tráfico por Puerto:
tshark -Y "tcp.port==80"
- Filtrado por Dirección IP:
tshark -Y "ip.addr==192.168.1.1"
Colorizando la Salida
Tshark no se conforma con datos en blanco y negro. Activa la opción –color y disfruta de la salida visualmente atractiva:
tshark --color
Exportando Datos Capturados con Tshark
¿Ver en pantalla es suficiente? A veces necesitas guardar datos. Exporta a un archivo PCAP con -w y el nombre deseado:
tshark -w salida.pcap
¿Prefieres formato XML? Utiliza -T con pdml:
tshark -i wlan0 -T pdml > captura.xml
Visualizando Datos Capturados
¿Qué hay en ese archivo capturado? Muestra los datos con -r y el nombre del archivo:
sudo tshark -r salida.pcap
Y para un festín visual en JSON:
sudo tshark -r salida.pcap -T json
Filtrando el Tráfico de Red con Tshark
Aquí es donde Tshark demuestra su versatilidad. Filtra según tu gusto:
tshark -i wlan0 -f "host 93.184.216.34"
¿Solo tráfico en el puerto 80? Fácil:
tshark -i wlan0 -f "port 80"
Y para negar ciertos filtros:
tshark -i wlan0 -f "port not 53 and not arp"
Campos Personalizados con Tshark
Personaliza tu salida seleccionando campos específicos. Aquí, mostramos la dirección IP de origen y el número de puerto TCP:
tshark -r salida.pcap -T fields -e ip.src -e tcp.port
Exportar a CSV es tan simple como:
tshark -i wlan0 -T fields -e frame.number -e ip.src -e ip.dst -e frame.len -e frame.time -e frame.time_relative -e _ws.col.Info -E header=y -E separator=, -E quote=d > captura.csv
Resumen de Opciones y Conclusiones
¿Demasiada información? Aquí tienes un resumen de opciones comunes y algunas de las capacidades que Tshark ofrece:
- Captura de Tráfico:
-i
,-c
,-D
- Exportación de Datos:
-w
,-T
- Filtrado de Tráfico:
-f
,-Y
- Campos Personalizados:
-T fields
,-e
O siempre puedes revisar la documentación oficial para tener todo completo
Tshark – Documentación Oficial
Tshark analiza redes, aunque también, con su capacidad para traducir el lenguaje de los paquetes de datos, se convierte en el aliado esencial para aquellos que buscan entender y asegurar el entorno de red. Desde la auditoría de seguridad hasta la administración cotidiana, esta herramienta demuestra ser la brújula que guía a través del complejo laberinto del tráfico de red.