Exportar Datos en Wireshark

Wireshark proporciona muchas maneras y formatos para exportar datos. En el presente texto se describen maneras genéricas para exportar datos desde Wireshark. También existen funciones más especializadas para exportar datos específicos.

Exportar como un Archivo de Texto Plano

Exportar un paquete de datos hacia un archivo de texto plano ASCII , similar al formato utilizado para imprimir paquetes.

Sugerencia: Si se requiere ser capaz de importar cualquier paquete previamente exportado desde un archivo de texto plano, se recomienda lo siguiente:

  • Añadir una columna “Absolute date and time” o “Fecha y Hora Absoluta”.
  • Temporalmente ocultar todas las otros columnas.
  • Deshabilitar “Edit -> Preferences -> Protocols -> Data “Show not dissected data on new Packet Bytes pane””.
  • Incluir la línea resumen de paquetes
  • Excluir cabeceras de columnas
  • Excluir detalles de paquetes
  • Incluir bytes de paquetes

“Packet Range” proporciona opciones para seleccionar cuales paquetes deben ser procesador por la función de salida.
“Packet Format” proporciona opciones para seleccionar cuales partes del paquete deben ser utilizadas para la función de salida.

Exportar hacia un archivo CSV (Valores Separados por Comas)

Exporta el resumen de paquetes en un CSV, utilizado por ejemplo en programas de hoja de cálculo.

Exportar hacia un archivo. Seleccionar el archivo a exportar el paquete de datos.
El rango de paquetes también puede ser seleccionado.

Exportar hacia un archivo de arreglos en C (Bytes de Paquetes)

Exporta bytes de paquetes en arreglos del lenguaje C, de tal manera se puede importar el flujo de datos en programas C propios

Exportar hacia un archivo. Seleccionar el archivo a exportar el paquete de datos.
El rango de paquetes también puede ser seleccionado.

Exportar hacia un archivo PSML

Exporta paquetes de datos en PSML. Este es un formato basado en XML, incluyendo únicamente un resumen de paquetes. Existe una especificación para el archivo PSML, cuya referencia puede encontrarse al final del presente texto.

Exportar hacia un archivo. Seleccionar el archivo a exportar el paquete de datos.
El rango de paquetes también puede ser seleccionado.

No existe algo como los detalles de la trama del paquete para la exportación PSML, pues el formato del paquete es definida por la especificación PSML.

Exportar hacia un archivo PDML

Exporta paquetes de datos en PDML. Este es un formato basado en XML incluyendo detalles de paquetes. Existe una especificación para el archivo PDML, cuya referencia puede encontrarse al final del presente texto.

Exportar hacia un archivo. Seleccionar el archivo a exportar el paquete de datos.
El rango de paquetes también puede ser seleccionado.

No existe algo como los detalles de la trama del paquete para la exportación PDML, pues el formato del paquete es definida por la especificación PDML.

Exportar bytes del paquete seleccionado

Exporta los bytes seleccionados en el panel “Bytes de Paquete” en un archivos binario bruto.

Nombre: El nombre del archivo hacia el cual exportar el paquete de datos
La carpeta destino: Este campo permite seleccionar la carpeta donde se guardará el archivo.
Navegar por otras carpetas proporciona flexibilidad para seleccionar una carpeta.

Exportar objetos

Esta funcionalidad escaneo a través de los flujos HTTP en el archivo conteniendo la actual captura, y obtiene los objetos reensamblados como documentos HTML, archivos de imágenes, ejecutables, y cualquier otra cosa la cual pueda ser transferida sobre HTTP, también permite guardarlos hacia el disco. Si se está realizando una captura, esta lista automáticamente se actualizará a los pocos segundos con cualquier objeto visto. Los objetos guardados pueden ser luego abiertos con un visor adecuado, o ejecutado en caso de los archivos ejecutables (si es para la misma plataforma donde se ejecuta Wireshark), sin ningún trabajo extra.

  • Número de paquete: El número de paquete el cual este objeto fue encontrado, puede haber varios objetos en el mismo paquete.
  • Nombre del host: El nombre del host del servidor enviando el objeto como una respuesta a una petición HTTP.
  • Tipo de contenido: El tipo de contenido HTTP de este objeto.
  • Bytes: El tamaño de este objeto en bytes.
  • Nombre del archivo: La parte final de la UTI (después del slash). Típicamente el nombre del archivo, pero podría ser una cadena muy compleja, la cual típicamente indica el archivo recibido en la respuesta a una petición POST HTTP.
  • Ayuda: Abre la sección respectiva en la guía del usuario.
  • Cerrar: Cierra la ventana.
  • Guardar Como: Guarda el objeto actualmente seleccionado con el nombre del archivo especificado. Por defecto el nombre del archivo a guardar es tomado de la columna nombre del archivo de la lista de objetos.
  • Guardar Todo: Guarda todos los objetos en la lista utilizando el nombre del archivo desde la columna nombre del archivo. Se consultará por el directorio /carpeta donde guardarlos. Si el nombre de archivo no es válido para el sistema operativo / sistema de archivos, donde se ejecuta Wireshark, entonces se mostrará un error del objeto no puede ser guardado (pero todos los otros lo serán).

Fuentes:

https://www.wireshark.org/docs/wsug_html_chunked/ChIOExportSection.html
https://www.wireshark.org/docs/wsug_html_chunked/ChCustPreferencesSectio...
https://www.wireshark.org/docs/wsug_html_chunked/ChIOPacketRangeSection....
https://www.wireshark.org/docs/wsug_html_chunked/ChIOPacketFormatSection...
https://esl.cecam.org/PSML
https://datatypes.net/open-pdml-files

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Resumen de mi CV: http://www.reydes.com/d/?q=node/1