Wireshark 101 - Time Display Format

En este post, voy a describir de manera breve, las opciones disponibles en Wireshark, para las referencias de tiempo, estas son de mucha utilidad a la hora de analizar los paquetes, de manera predeterminada Wireshark despliega el tiempo, tomando como referencia el tiempo en el que se inicio la captura, dependiendo de lo que estemos analizando, podría no haber necesidad de cambiar esto, sin embargo, cuando el tiempo de referencia es crítico, se necesitan otras formas de poder expresar el tiempo, y es lo que se analizara en este post.

Las opciones de tiempo, se encuentran en el menú View -> Time Display Format esto despliega un cuadro adicional donde se muestran las diferentes opciones que se describen a continuación

Date and Time of Day - Muestra la fecha y la hora, puede ser de utilidad, cuando le fecha y hora en la que ocurrio el evento son importantes, por ejemplo en análisis forense de paquetes.

Time of Day - Unicamente muestra la hora del día, para utilizarlo en casos en los que estamos analizando un evento que ocurre a determinadas horas del día

Seconds Since Beginning of Capture - Esta es la opción predeterminada, muestra el tiempo tomando como referencia el inicio de la captura.

Seconds Since Previous Captured Packet - Muestra el tiempo transcurrido tomando como referencia el paquete previo, es decir, muestra las diferencias de tiempo entre cada paquete capturado, muy útil para troubleshooting de problemas de desempeño en la red, ya que se puede identificar que equipos están respondiendo con tiempos altos.

Seconds Since Previous Displayed Packet - Sin filtros de visualización aplicados, no hay diferencia entre la opción anterior y esta, sin embargo, es de utilidad cuando tenemos aplicado un filtro ya que permite analizar diferencias de tiempo entre los paquetes que se están desplegando en pantalla.

Seconds Since Epoch - Muestra el tiempo transcurrido tomando como referencia inicial el 1 de enero de 1970, esta es una opción relativamente nueva en Wireshark, la verdad no le he utilizado antes, se me ocurre que puede ser de utilidad al comparar capturas en diferentes tiempos, ya que provee un tiempo de referencia común, puede ser de utilidad en análisis forenses.

Adicionalmente se puede variar la precisión de la medición de tiempo, en segundos, decimas de segundo, centesimas de segundo, milisegundos, microsegundos y nanosegundos.

Otra característica de mucha utilidad en la medición de tiempo, es la posibilidad de establecer referencias en puntos determinados, por ejemplo al inicio de una transferencia de archivos, o de una petición de una página web, para esto, selecccionar el paquete que queremos establecer como referencia y luego ir a menú Edit -> Time Reference (toggle) o alternativamente ctrl + T, la ventaja es que se pueden establecer diferentes referencias de tiempo, esta opción únicamente tiene sentido utilizarla con la opción Seconds Since Beginning of Capture, de hecho si esta selecciónada otra opción al tratar de establecer un Time Reference, aparece un cuadro de dialogo que da la opción de volvera setear Seconds Since Beginning of Capture.

Así que sin más, los invito (si no lo han hecho antes), a experimentar con los diferentes formatos de despliegue del tiempo, les aseguro que lo utilizarán con más frecuencia de lo que se imaginan, si has usado antes estas opciones y han encontrado combinaciones para despliegue de tiempo o escenarios en los que una combinación en particular puede ser de utilidad para otros lectores, pueden dejar un comentario, será bienvenido.