Skip to main content
Wireshark es el analizador de protocolos de red más importante del mundo. Permite capturar y diseccionar el tráfico de red en tiempo real, proporcionando una visión profunda de cada paquete. Tshark es su contraparte de línea de comandos (CLI), ideal para análisis remotos o automatización mediante scripts.

Instalación

Tshark suele venir incluido con Wireshark, pero en sistemas Linux puede requerir una instalación específica: 
sudo apt update
sudo apt install tshark -y
Durante la instalación en Linux, se te preguntará si los usuarios no superusuarios deben poder capturar paquetes. Selecciona y añade tu usuario al grupo wireshark con: sudo usermod -aG wireshark $USER.

Top 10 Comandos (Guía HexSec)

Estos son los comandos de Tshark más utilizados para análisis rápido y forense de red:

1. Capturar y Guardar Tráfico

Captura el tráfico de una interfaz específica y lo guarda en un archivo .pcap. 
tshark -i eth0 -w captura.pcap

2. Filtrar Peticiones HTTP

Lee un archivo guardado y filtra solo las solicitudes HTTP. 
tshark -r capture.pcap -Y "http.request"

3. Modo Verboso (Detallado)

Muestra los detalles completos de cada paquete capturado. 
tshark -V

4. Filtro de Captura por Puerto

Captura únicamente el tráfico que pasa por el puerto 80 (HTTP). 
tshark -f "tcp port 80"

5. Límite de Paquetes

Detiene la captura automáticamente después de alcanzar un número determinado de paquetes. 
tshark -c 100 -i eth0

6. Estadísticas de Jerarquía de Protocolos

Muestra un resumen estadístico de qué protocolos están consumiendo más ancho de banda. 
tshark -z io,phs

7. Extraer Direcciones IP (Campos específicos)

Extrae únicamente las IPs de origen y destino del tráfico capturado. 
tshark -T fields -e ip.src -e ip.dst

8. Filtrar por Dirección IP Específica

Muestra únicamente el tráfico relacionado con una IP concreta. 
tshark -Y "ip.addr == 192.168.1.1"

9. Mostrar Datos en Hexadecimal y ASCII

Muestra el contenido crudo (payload) de los paquetes. 
tshark -x

10. Desactivar Resolución de Nombres

Acelera el análisis al no intentar resolver IPs a nombres de dominio (DNS). 
tshark -n

Filtros de Visualización Comunes

A diferencia de los filtros de captura, los filtros de visualización (-Y) permiten analizar datos ya capturados:
  • TCP/UDP: tcp o udp
  • Puertos: tcp.port == 443
  • Banderas TCP: tcp.flags.syn == 1 (Busca intentos de conexión)
  • Errores: tcp.analysis.flags (Identifica retransmisiones o problemas de red)

Recomendaciones de Uso

  1. Captura ligera: Usa filtros de captura (-f) para evitar archivos .pcap masivos que ralenticen el análisis.
  2. Análisis remoto: Usa Tshark vía SSH para monitorizar servidores sin necesidad de una interfaz gráfica (GUI).
  3. Privacidad: Sé consciente de que capturar tráfico en redes públicas puede exponer datos sensibles; utiliza siempre esta herramienta con responsabilidad ética.
Contenido adaptado de la guía “Hacking Kali” por HexSec.