Nota*: El procedimiento es válido tanto para GNU/Linux como para Windows.
Un buen administrador de sistemas debe conocer el uso de la herramienta TCPDump y Wireshark si quiere conseguir averiguar cual es el problema que está causando el mal rendimiento de su red.
Muchas veces, los administradores, hacemos capturas de red de forma manual para analizarlas en el mismo instante, pero ...¿que sucede si tenemos un script que nos hace decenas de capturas de red cada X paquetes o cada X MB?
⬇️ Compra en Amazon el hardware que utilizo ⬇️
- 💻 Ordenador Portátil: Descúbrelo aquí
- 🖥️🖥️ Monitores: Mis 2 súper monitores
- ⌨️ Teclado: Mini teclado + Lector DNIe
- 🖱️ Ratón: Mi ratón programable
- 🎧 Auriculares: Súper Auriculares TOP!
- 🖨️ Impresora: Mi fantástica impresora
- 🗄️ NAS Backup: Mi NAS para Backups
- 🔌 HUB USB: Mi HUB para puertos USB
- 📱 Smartphone: Mi Smartphone
- 📲 Tablet: Mi tablet para viajes
- ⌚ Smartwatch: Mi Smartwatch favorito
- 📹 Cámara deportiva: Mi cámara para deportes
Lo que querremos hacer será abrir un único fichero de tcpdump y no trabajar con 200 ficheros de tcpdump ¿verdad?
Pero, ¿como hacemos esto?
Veamos un ejemplo real que acabo de preparar para este tutorial, he realizado 3 capturas de pequeño tamaño una detrás de otra:
Listado ficheros PCAP
Debemos tener instalado Wireshark en nuestro equipo, ya que Wireshark es quién proporciona las herramientas para hacer el MERGE de las capturas de red.
1.- JUNTAR LAS CAPTURAS DE RED EN WINDOWS
El comando para hacer el merge (la unión) se llama mergecap.
Las capturas de red están guardadas en C:\CAPTURAS\ por tanto usaré el siguiente comando para juntar las 3 capturas en una captura única:
C:\>"Archivos de programa\Wireshark\mergecap.exe" C:\CAPTURAS\file*.pcap -w C:\CAPTURAS\captura_final.pcap
Listado ficheros PCAP
2.- JUNTAR LAS CAPTURAS DE RED EN GNU/LINUX
En Linux el procedimiento es el mismo. tengo las capturas de red en /tmp/ y usaré el mismo comando que en Windows, mergecap.
Listado ficheros PCAP en Linux
$ mergecap /tmp/file*.pcap -w /tmp/fichero_final.pcap
Listado ficheros PCAP en Linux
El fichero resultante será la concatenación de los ficheros pcap que hemos seleccionado. Podremos abrir sin problema dicha captura de red desde Wireshark, tanto en GNU/Linux como en Windows.
3.- DIVIDIR UNA CAPTURA DE TCPDUMP EN WINDOWS
Primero debemos sacar el total de paquetes que tiene la captura, para ello lanzaremos el siguiente comando:
Queremos dividir un fichero de 3GB en 10 partes:
Captura completa
C:\>"Archivos de programa\Wireshark\capinfos.exe" c:\CAPTURAS\completo.pcap
Info de PCAP en Windows
Ahora, para dividir la captura lo que haremos será, por ejemplo para dividirlo en 10 partes, dividimos los paquetes por 10 y lanzamos el siguiente comando:
C:\>"Archivos de programa\Wireshark\editcap.exe" -c11800 c:\CAPTURAS\completo.pcap c:\CAPTURAS\dividido.pcap
4.- DIVIDIR UNA CAPTURA DE TCPDUMP EN GNU/LINUX
En Linux el procedimiento es idéntico al de Windows.
Calculamos el total de paquetes que tiene la captura:
$ capinfos /tmp/completo.pcap
Info de PCAP en Linux
Dividimos en 10 partes aprox:
$ editcap -c 11800 /tmp/completo.pcap /tmp/dividido.pcap
Fichero PCAP dividido en partes
ENJOY!