systemadmin.es > Redes > Estadísticas de IPs origen y destino con tshark

Estadísticas de IPs origen y destino con tshark

Con la versión de linea de comandos de wireshark podemos obtener las estadísticas de paquetes por IP origen o destino, pero existe poca documentación al respecto. Vamos a ver como indicar a tshark que nos haga un muestreo de paquetes y nos indique estadísticas de los paquetes.

Para obtener estadísticas deberemos usar la opción -z, que combinada con la opción ip_hosts,tree obtendremos al final de la captura las estadísticas de los paquetes capturados como las siguientes:

# tshark -i bond0 -q -z 'ip_hosts,tree' -a duration:1
Running as user "root" and group "root". This could be dangerous.
Capturing on bond0
7 packets captured

===================================================================
 IP address            value	        rate	     percent
-------------------------------------------------------------------
 IP address               7       0.212941                
  99.58.184.9              2       0.060840          28.57%
  10.10.10.100             7       0.212941         100.00%
  99.249.72.240            2       0.060840          28.57%
  99.98.219.70             2       0.060840          28.57%
  199.48.200.9             1       0.030420          14.29%

===================================================================

Mediante la opción -a con la opción duration podemos indicar el tiempo que queremos que este capturando paquetes. En el caso anterior es -a duration:1, por lo que sería un segundo.

Con la opción -q evitamos que nos muestre los paquetes que va capturando.

Tal y como podemos comprobar, si es una maquina que es punto final de comunicación, por ejemplo un servidor web, veremos que nos indica que el 100% de los paquetes tienen la IP del equipo: esto es porque tiene en dicha captura únicamente tráfico unicast. Descartando enta entrada podemos ver los paquetes que mandan cada IP. Con un poco de scripting lo podemos obtener ordenado por aplicar filtros si vemos que existe algún ataque.

# tshark -i bond0 -q -z 'ip_hosts,tree' -a duration:30  2>/dev/null | grep -E "^  [0-9]" | sort -nk2   
  99.62.243.20              16       0.000549           0.36%
  99.216.1.237              16       0.000549           0.36%
  199.116.240.25            18       0.000618           0.41%
  211.166.132.105           18       0.000618           0.41%
  99.37.225.156             18       0.000618           0.41%
  99.58.184.10              18       0.000618           0.41%
  99.58.184.7               18       0.000618           0.41%
  99.216.1.234              18       0.000618           0.41%
  211.35.32.28              20       0.000687           0.46%
  211.40.185.62             20       0.000687           0.46%
  211.247.157.225           20       0.000687           0.46%
  211.166.132.107           20       0.000687           0.46%
  21.128.218.2             20       0.000687           0.46%
  88.58.183.145             20       0.000687           0.46%
  88.100.178.235            20       0.000687           0.46%
  88.58.183.140             22       0.000755           0.50%
  88.216.1.235              22       0.000755           0.50%
  211.194.239.21            24       0.000824           0.55%
  199.202.86.115            26       0.000893           0.59%
  88.58.183.134             26       0.000893           0.59%
  88.62.243.22              26       0.000893           0.59%
  88.62.240.20              27       0.000927           0.61%
  88.58.183.138             28       0.000961           0.64%
  88.62.240.21              28       0.000961           0.64%
  199.110.201.67            42       0.001442           0.96%
  200.83.1.177              44       0.001511           1.00%
  88.98.219.70             274       0.009408           6.24%
  10.10.10.100            4391       0.150765         100.00%

One comment to “Estadísticas de IPs origen y destino con tshark”

  1. Es recomendable guardar, aunque sea para luego machacar, la captura. Sinó se nos iran creando ficheros del estilo /tmp/ethXXXX que nadie borrará y si lo ejecutas periódicament puede llegar a llenar el Sistema de Ficheros:

    tshark -i bond0 -q -z ‘ip_hosts,tree’ -a duration:30 -w /tmp/delete.pcap 2>/dev/null | grep -E “^ [0-9]” | sort -nk2

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>