Analizar la información general de la traza capturada


El objetivo de esta entrada es conocer los datos más relevantes cuando analizamos una traza en general. En otros apartados hemos aprendido a analizar los paquetes uno a uno, pero ahora vamos a aprender a analizar la información de la traza, es decir, de todos los paquetes.

Toda o la mayoría de la información la vamos a sacar de "Stadistics", una opción de la barra de menú.




Ahora veamos las opciones más relevantes de "Stadistics". 

CAPTURE FILE PROPERTIES


Primero, analizamos Capture File Properties, donde podemos ver las características más generales de la traza. Lo que vamos a analizar nosotros es lo que se vé en la imagen siguiente.



De aquí, podemos sacar información tal como el número de paquetes capturados, el tiemp de la captura, etc. En la columna Captured, está la información relativa a los paquetes de la captura, a todos ellos. Por otro lado, en la columna Displayed, está la información relativa a los paquetes que se visualizan después de aplicar un filtro. Como, en este caso, no se aplicado ningún filtro, los valores que aparecen en las dos columnas son idénticos.

Seguidamente, se explica de forma general el significado de cada una de las filas.
  • Packets. Número de paquetes de la traza.
  • Time span, s. Tiempo de la captura en segundos.
  • Average pps. Media de paquetes por segundo.
  • Average packet size, B. Longitud media de cada paquete.
  • Bytes. Número de bytes total de la traza.
  • Average bytes/s. Media de los bytes que se capturan por segundo.
  • Average bits/s. Media de los bits que se capturan por segundo.


PROTOCOL HIERARCHY STADISTICS


A continuación, vamos a analizar los datos que nos proporciona "Protocol Hierarchy Stadistics", que no son otros que los protocolos que están presentes en la traza y su encapsulación. 




Seguidamente, vemos el número de paquetes según su longitud agrupados en intervalos de longitud de bytes, a parte de otra información.

- Count. Indica el número de paquetes que tienen una longitud que entra dentro del intervalo.
- Average. La longitud media de los paquetes de ese intervalo de longitud.
- Min val. La longitud del paquete más pequeño del intervalo.
- Max val. La longitd del paquete más grande del intervalo.
- Rate (ms). Indica el número de paquetes del intervalo que se han capturado por cada ms.
- Percent. Indica en porcentaje cuantos paquetes entran en el intervalo.




CONVERSATIONS


A continuación, vamos a analizar la opción "Conversations". Aquí vamos a encontrar información relativa a los intercambios de paquetes entre dos direcciones. Vemos como primero se especifican las direcciones de las dos máquinas que se comunican y después todo un conjunto de información que vamos a intentar entender.

- Packets. Es el número de paquetes que se han enviado en la conversación.
- Bytes. Es el número de bytes que contienen los paquetes anteriores.
- Packets A -> B. Es el número de paquetes que se han enviado de la máquina A a la B.
- Bytes A -> B. Es el número de bytes que se han enviado de la máquina A a la B.
- Packets B -> A. Es el número de paquetes que se han enviado de la máquina B a la A.
- Bytes B -> A. Es el número de bytes que se han enviado de la máquina B a la A.
- Rel Start. Indica el instante desde el inicio de la captura en que se inició la conversación.
- Duration. Indica la duración de la conversación.
- Bits/s A -> B. De media, cuantos bits se han enviado cada segundo de A a B.
- Bits/s B -> A. De media, cuantos bits se han enviado cada segundo de B a A.



IPV4 STADISTICS

A partir de ahora, nos vamos a centrar en la opción "IPv4 Stadistics". Dentro de dicha opción, podemos hacer click en cuatro subopciones que vamos a intentar entender.

ALL ADRESSES

La primera de ellas, All Addresses, nos indica las direcciones IPv4 que aparecen en la captura, así como el número de veces que aparecen, ya sea de origen o de destino del paquete. Podemos ver como la dirección 192.168.1.2 ha estado presente en todos los paquetes. Además de esto, también podemos obtener información acerca del ratio nº de paquetes por ms, el porcentaje, etc. que tienen la misma interpretación que la ya mencionada.



DESTINATIONS AND PORTS

En "Destinations and Ports", podemos observar las direcciones IP de destino y los puertos de destino en función del protocolo de capa de transporte utilizado. 



IP PROTOCOL TYPES

En "IP Protocol Types", podemos obtener información acerca del número de veces que se ha utilizado cada uno de los dos protocolos de transporte por excelencia, como son TCP y UDP.




SOURCE AND DESTINATION ADDRESSES

Finalmente, en Source and Destination Addresses, podemos ver, en otras cosas, el número de veces que cada una de las direcciones IPv4 ha sido origen y destino de un paquete, además de los porcentajes y el ratio nº de paquetes por cada ms. 


Por ejemplo, de la dirección 190.2.136.200 ha salido un paquete, lo que representa el 8.33% de todos los paquetes enviados y ha recibido un paquete, que representa la misma proporción. Asimismo, en ratio podemos decir que ha enviado / recibido un paquete cada 0.0006 ms. 


Hasta aquí llega este apartado. Espero que la información mostrada les haya sido de utilidad. 

Comentarios

Publicar un comentario

Entradas populares de este blog

Analizar un paquete en Wireshark

Imagen
En este apartado, vamos a aprender a analizar un paquete en Wireshark. En la siguiente imagen, se puede observar la interfície gráfica de Wireshark. Si seleccionamos uno de los paquetes (en la imagen se selecciona el quinto paquete) en la segunda ventana podemos ver la información relativa a dicho paquete. Los campos de información que aparecen en este caso son: Frame Ethernet Internet Protocol User Datagram Protocol Domain Name System TRANSUM RTE Data Los más relevantes son los cuatro primeros, sobretodo para los estudiantes cuyo objetivo sea analizar los paquetes para una finalidad didáctica, que es el punto de vista de este blog. De estos cuatro campos, se puede extraer información relevante del paquete. Para expandir cada campo, lo que hacemos es hacer click sobre la flecha de la izquierda del campo (>). Primero, vamos a analizar el campo Frame: A continuación, se explica el significado de los campos que contienen información importante para el anál...
Leer más

Capturar paquetes con Wireshark

Imagen
Uno de las funciones más importantes de Wireshark, por no decir la que más, es la captura de paquetes de red. A partir de cualquier captura, después podemos analizarla con tranquilidad, conocer su número de paquetes, los protocolos que están en ella, direcciones IP, etc. Pero lo primero de todo es saber cómo capturar una traza en Wireshark. Para realizar una captura en Wireshark, simplemente hacemos click en la aleta de tiburón de la parte superior izquierda de sus pantallas y verán como se empieza a realizar la captura. Llevar acabo una captura senzilla no tiene más misterio. El problema llega cuando nos adentrado en las opciones de captura, donde la cosa se complica un poquito más, pero no mucho, pueden estar tranquilos. Primero, nos vamos a Capture en la barra de menú, tal y como se muestra en la imagen. Haciendo clic, en la segunda opción Start también se iniciaría la captura. Pero nosotros, nos vamos a Options... para establecer cómo queremos que sea nuestra captura. ...
Leer más