Przewodnik po interfejsie wiersza poleceń Wireshark „tshark”

We wcześniejszych samouczkach programu Wireshark omówiliśmy podstawowe tematy dla poziomu zaawansowanego. W tym artykule zrozumiemy i omówimy interfejs wiersza poleceń programu Wireshark, i.mi., Tshark. Terminalowa wersja Wireshark obsługuje podobne opcje i jest bardzo przydatna, gdy graficzny interfejs użytkownika (GUI) nie jest dostępny.

Mimo że graficzny interfejs użytkownika jest teoretycznie znacznie łatwiejszy w użyciu, nie wszystkie środowiska go obsługują, zwłaszcza środowiska serwerowe z opcjami wiersza poleceń. Dlatego w pewnym momencie, jako administrator sieci lub inżynier bezpieczeństwa, będziesz musiał użyć interfejsu wiersza poleceń. Ważne, aby pamiętać, że tshark jest czasami używany jako substytut tcpdump. Mimo że oba narzędzia są prawie równoważne pod względem funkcji przechwytywania ruchu, tshark jest znacznie potężniejszy.

Najlepsze, co możesz zrobić, to użyć tshark do skonfigurowania portu na serwerze, który przekazuje informacje do systemu, dzięki czemu możesz przechwytywać ruch do analizy za pomocą GUI. Jednak na razie dowiemy się, jak to działa, jakie są jego atrybuty i jak najlepiej go wykorzystać.

Wpisz następujące polecenie, aby zainstalować tshark w Ubuntu/Debian za pomocą apt-get:

[ochrona poczty e-mail]:~$ sudo apt-get install tshark -y

Teraz wpisz tshark -pomoc aby wypisać wszystkie możliwe argumenty z odpowiednimi flagami, które możemy przekazać do polecenia Tshark.

[chroniony adres e-mail]:~$ tshark --help | głowa -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 pakowane jako 2.6.10-1~ubuntu18.04.0)
Zrzucaj i analizuj ruch sieciowy.
Zobacz https://www.Wireshark.org, aby uzyskać więcej informacji.
Użycie: tshark [opcje]…
Interfejs przechwytywania:
-ja nazwa lub idx interfejsu (def: pierwszy bez sprzężenia zwrotnego)
-fa filtr pakietów w składni filtra libpcap
-s długość migawki pakietów (def: odpowiednia maksymalna)
-p nie rób zdjęć w trybie rozwiązłym
-Robię zdjęcia w trybie monitora, jeśli to możliwe
-b rozmiar bufora jądra (def: 2MB)
-tak typ warstwy łącza (def: pierwsza odpowiednia)
--typ-sygnatury czasowej metoda znacznika czasu dla interfejsu
-D wydrukuj listę interfejsów i wyjdź
-L wydrukuj listę typów warstwy łącza iface i wyjścia
--list-time-stamp-types wypisuje listę typów znaczników czasu dla iface i exit
Warunki zatrzymania przechwytywania:

Możesz zobaczyć listę wszystkich dostępnych opcji. W tym artykule omówimy szczegółowo większość argumentów, a zrozumiesz moc tej zorientowanej na terminal wersji Wireshark.

Wybór interfejsu sieciowego:

Aby przeprowadzić przechwytywanie i analizę na żywo w tym narzędziu, najpierw musimy opracować nasz interfejs roboczy. Rodzaj tshark -D a tshark wyświetli listę wszystkich dostępnych interfejsów.

[ochrona poczty e-mail]:~$ tshark -D
1. enp0s3
2. każdy
3. lo (pętla zwrotna)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (zdalne przechwytywanie Cisco)
8. randpkt (generator pakietów losowych)
9. sshdump (zdalne przechwytywanie SSH)
10. udpdump (zdalne przechwytywanie odbiornika UDP)

Pamiętaj, że nie wszystkie wymienione interfejsy będą działać. Rodzaj ifconfig znaleźć działające interfejsy w twoim systemie. W moim przypadku to enp0s3.

Przechwytywanie ruchu:

Aby rozpocząć proces przechwytywania na żywo, użyjemy Tshark polecenie z „-ja” możliwość rozpoczęcia procesu przechwytywania z interfejsu roboczego.

[email chroniony]:~$ tshark -i enp0s3

Posługiwać się Ctrl+C zatrzymać przechwytywanie na żywo. W powyższym poleceniu przesłałem przechwycony ruch do polecenia systemu Linux głowa aby wyświetlić kilka pierwszych przechwyconych pakietów. Możesz też użyć „-c ” składnia do przechwytywania „n” liczba pakietów.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -c 5

Jeśli tylko wejdziesz Tshark, domyślnie nie zacznie przechwytywać ruchu na wszystkich dostępnych interfejsach ani nie będzie nasłuchiwać działającego interfejsu. Zamiast tego przechwyci pakiety na pierwszym wymienionym interfejsie.

Możesz także użyć następującego polecenia, aby sprawdzić wiele interfejsów:

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -i usbmon1 -i lo

W międzyczasie innym sposobem na przechwytywanie ruchu na żywo jest użycie numeru wraz z wymienionymi interfejsami.

[email chroniony]:~$ tshark -i numer_interfejsu

Jednak w obecności wielu interfejsów trudno jest śledzić ich numery na liście.

Filtr przechwytywania:

Filtry przechwytywania znacznie zmniejszają rozmiar przechwyconego pliku. Tshark używa składni Berkeley Packet Filter -fa “”, który jest również używany przez tcpdump. Użyjemy opcji „-f”, aby przechwycić tylko pakiety z portów 80 lub 53 i użyjemy „-c”, aby wyświetlić tylko pierwsze 10 pakietów.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -f "port 80 lub port 53" -c 10

Zapisywanie przechwyconego ruchu do pliku:

Kluczową rzeczą, na którą należy zwrócić uwagę na powyższym zrzucie ekranu, jest to, że wyświetlane informacje nie są zapisywane, dlatego są mniej przydatne. Używamy argumentu „-w” aby zapisać przechwycony ruch sieciowy do test_capture test.PCAP w /tmp teczka.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -w /tmp/test_capture.PCAP

Natomiast, .PCAP jest rozszerzeniem typu pliku Wireshark. Zapisując plik, możesz później przeglądać i analizować ruch w maszynie za pomocą GUI Wireshark.

Dobrą praktyką jest zapisanie pliku w /tmp ponieważ ten folder nie wymaga żadnych uprawnień do wykonywania. Jeśli zapiszesz go w innym folderze, nawet jeśli używasz tsharka z uprawnieniami roota, program odmówi uprawnień ze względów bezpieczeństwa.

Przyjrzyjmy się wszystkim możliwym sposobom, dzięki którym możesz:

stosuj ograniczenia do przechwytywania danych, takie, że wyjście Tshark lub automatyczne zatrzymanie procesu przechwytywania oraz
wyślij swoje pliki.

Parametr automatycznego zatrzymania:

Możesz użyć „-za” parametr do włączenia dostępnych flag, takich jak rozmiar pliku czasu trwania i pliki. W poniższym poleceniu używamy parametru autostop z Trwanie flaga, aby zatrzymać proces w ciągu 120 sekund.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -a czas trwania:120 -w /tmp/test_capture.PCAP

Podobnie, jeśli nie chcesz, aby Twoje pliki były bardzo duże, rozmiar pliku jest idealną flagą do zatrzymania procesu po kilku ograniczeniach KB.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -a rozmiar pliku:50 -w /tmp/test_capture.PCAP

Najważniejsze, akta flaga pozwala zatrzymać proces przechwytywania po kilku plikach. Ale może to być możliwe tylko po utworzeniu wielu plików, co wymaga wykonania innego przydatnego parametru, przechwytywania danych wyjściowych.

Przechwytywanie parametru wyjściowego:

Przechwytywanie danych wyjściowych, czyli argument bufora pierścieniowego „-b„, ma te same flagi, co autostop. Jednak użycie/wyjście jest nieco inne, i.mi., flagi Trwanie i rozmiar pliku, ponieważ umożliwia przełączanie lub zapisywanie pakietów do innego pliku po osiągnięciu określonego limitu czasu w sekundach lub rozmiaru pliku.

Poniższe polecenie pokazuje, że przechwytujemy ruch przez nasz interfejs sieciowy enp0s3, i przechwytywać ruch za pomocą filtra przechwytywania”-fa” dla tcp i dns. Używamy opcji bufora pierścieniowego „-b” z a rozmiar pliku flaga, aby zapisać każdy plik o rozmiarze 15 KB, a także użyj argumentu autostop, aby określić liczbę plików przy użyciu akta opcja tak, że zatrzymuje proces przechwytywania po wygenerowaniu trzech plików.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -f "port 53 lub port 21" -b rozmiar pliku:15 -a pliki:2 -w /tmp/test_capture.PCAP

Podzieliłem terminal na dwa ekrany, aby aktywnie monitorować tworzenie trzech .pliki pcap.

Idź do swojego /tmp folderu i użyj następującego polecenia w drugim terminalu, aby monitorować aktualizacje co sekundę.

[ochrona poczty e-mail]:~$ watch -n 1 "ls -lt"

Teraz nie musisz zapamiętywać wszystkich tych flag. Zamiast tego wpisz polecenie tshark -i enp0s3 -f „port 53 lub port 21” -b rozmiar pliku:15 -a w swoim terminalu i naciśnij Patka. Lista wszystkich dostępnych flag będzie dostępna na ekranie.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -f "port 53 lub port 21" -b rozmiar pliku:15 -a
czas trwania: pliki: rozmiar pliku:
[ochrona poczty e-mail]:~$ tshark -i enp0s3 -f "port 53 lub port 21" -b rozmiar pliku:15 -a

Czytanie .Pliki pcap:

Co najważniejsze, możesz użyć „-r”parametr do odczytu test_capture.pliki pcap i prześlij je do głowa Komenda.

[email chroniony]:~$ tshark -r /tmp/test_capture.pcp | głowa

Informacje wyświetlane w pliku wyjściowym mogą być nieco przytłaczające. Aby uniknąć niepotrzebnych szczegółów i lepiej zrozumieć konkretny docelowy adres IP, używamy -r możliwość odczytania pliku przechwyconego pakietu i użycia IP.addr filtr, aby przekierować wyjście do nowego pliku z „-w" opcja. Umożliwi nam to przejrzenie pliku i doprecyzowanie naszej analizy poprzez zastosowanie kolejnych filtrów.

[email chroniony]:~$ tshark -r /tmp/test_capture.pcap -w /tmp/przekierowany_plik.pcap ip.czas==216.58.209.142
[email chroniony]:~$ tshark -r /tmp/przekierowany_plik.pcap|głowa
1 0.00000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Dane aplikacji
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Dane aplikacji
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Dane aplikacji
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Dane aplikacji
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Dane aplikacji
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [segment TCP ponownie złożonego PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Dane aplikacji
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Dane aplikacji
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Dane aplikacji
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Dane aplikacji

Wybieranie pól do wyprowadzenia:

Powyższe polecenia wyświetlają podsumowanie każdego pakietu, które zawiera różne pola nagłówka. Tshark umożliwia również przeglądanie określonych pól. Aby określić pole, używamy „-Pole T”i wyodrębnij pola zgodnie z naszym wyborem.

Po "-Pole T”, używamy opcji „-e”, aby wydrukować określone pola/filtry. Tutaj możemy użyć filtrów wyświetlania Wireshark.

[email chroniony]:~$ tshark -r /tmp/test_capture.pcap -T pola -e ramka.liczba -e ip.src -e ip.czas | głowa
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Przechwytywanie zaszyfrowanych danych uzgadniania:

Do tej pory nauczyliśmy się zapisywać i odczytywać pliki wyjściowe przy użyciu różnych parametrów i filtrów. Dowiemy się teraz, jak HTTPS inicjuje sesję tshark. Strony internetowe dostępne za pośrednictwem protokołu HTTPS zamiast HTTP zapewniają bezpieczną lub zaszyfrowaną transmisję danych przez kabel. W celu zapewnienia bezpiecznej transmisji szyfrowanie Transport Layer Security rozpoczyna proces uzgadniania, aby rozpocząć komunikację między klientem a serwerem.

Przechwyćmy i zrozummy uścisk dłoni TLS za pomocą tshark. Podziel swój terminal na dwa ekrany i użyj wget polecenie do pobrania pliku html z https://www.Wireshark.organizacja.

[email chroniony]:~$ wget https://www.Wireshark.organizacja
--2021-01-09 18:45:14-- https://www.Wireshark.organizacja/
Łączenie z www.Wireshark.org (www.Wireshark.org)|104.26.10.240|:443… połączone.
Wysłano żądanie HTTP, oczekujące na odpowiedź… 206 Partial Content
Długość: 46892 (46K), 33272 (32K) pozostałe [text/html]
Zapis do: 'indeks'.html'
indeks.html 100%[++++++++++++++++================================ ==>] 45.79K 154KB/s w 0.2s
2021-01-09 18:43:27 (154 KB/s) - 'indeks.html' zapisany [46892/46892]

Na innym ekranie użyjemy tshark do przechwycenia pierwszych 11 pakietów za pomocą „-do” parametr. Podczas wykonywania analizy znaczniki czasu są ważne do rekonstrukcji zdarzeń, dlatego używamy „-t ad”, w taki sposób, że tshark dodaje znacznik czasu obok każdego przechwyconego pakietu. Na koniec używamy polecenia host do przechwytywania pakietów ze współdzielonego hosta adres IP.

Ten uścisk dłoni jest bardzo podobny do uzgadniania TCP. Gdy tylko uzgadnianie trójstronne TCP zakończy się w pierwszych trzech pakietach, pakiety od czwartego do dziewiątego wykonują nieco podobny rytuał uzgadniania i zawierają ciągi TLS, aby zapewnić zaszyfrowaną komunikację między obiema stronami.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -c 11 -t host reklam 104.26.10.240
Przechwytywanie na „enp0s3”
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=2488996311 TSecr=0 WS=128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460
3 2021-01-09 18:45:14.28000681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=1 Ack=1 Win=64240 Len=0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Klient Witaj
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq=1 Ack=320 Win=65535 Len=0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Server Witam, zmień specyfikację szyfrowania
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=320 Ack=1413 Win=63540 Len=0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Dane aplikacji
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=320 Ack=2519 Win=63540 Len=0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Zmień specyfikację szyfrowania, dane aplikacji
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq=2519 Ack=400 Win=65535 Len=0
11 przechwyconych pakietów

Przeglądanie całego pakietu:

Jedyną wadą narzędzia wiersza poleceń jest to, że nie ma interfejsu graficznego, ponieważ staje się bardzo przydatne, gdy trzeba przeszukiwać duży ruch internetowy, a także oferuje panel pakietów, który wyświetla wszystkie szczegóły pakietów w ramach natychmiastowy. Jednak nadal można sprawdzić pakiet i zrzucić wszystkie informacje o pakiecie wyświetlane w panelu pakietów GUI.

Aby zbadać cały pakiet, używamy polecenia ping z opcją „-c”, aby przechwycić pojedynczy pakiet.

[ochrona poczty e-mail]:~$ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56(84) bajtów danych.
64 bajty od 104.26.10.240: icmp_seq=1 ttl=55 czas=105 ms
--- 104.26.10.240 statystyk pingów ---
1 pakiet wysłany, 1 odebrany, 0% utraty pakietów, czas 0ms
rtt min/śr/maks/odchylenie = 105.095/105.095/105.095/0.000 ms

W innym oknie użyj polecenia tshark z dodatkową flagą, aby wyświetlić wszystkie szczegóły pakietu. Możesz zauważyć różne sekcje, wyświetlające szczegóły ramek, Ethernet II, IPV i ICMP.

[ochrona poczty e-mail]:~$ tshark -i enp0s3 -c 1 -V host 104.26.10.240
Ramka 1: 98 bajtów na przewodzie (784 bity), 98 bajtów przechwyconych (784 bity) na interfejsie 0
Identyfikator interfejsu: 0 (enp0s3)
Nazwa interfejsu: enp0s3
Rodzaj enkapsulacji: Ethernet (1)
Czas przyjazdu: 9 stycznia 2021 21:23:39.167581606 PKT
[Przesunięcie czasowe dla tego pakietu: 0.00000000 sekund]
Czas epoki: 1610209419.167581606 sekund
[Delta czasu z poprzedniej przechwyconej klatki: 0.00000000 sekund]
[Delta czasu od poprzedniej wyświetlanej klatki: 0.00000000 sekund]
[Czas od odniesienia lub pierwszej klatki: 0.00000000 sekund]
Numer ramki: 1
Długość ramki: 98 bajtów (784 bity)
Długość przechwytywania: 98 bajtów (784 bity)
[Ramka jest oznaczona: Fałsz]
[Ramka jest ignorowana: Fałsz]
[Protokoły w ramce: eth:ethertype:ip:icmp:data]
Ethernet II, Src: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Miejsce docelowe: RealtekU_12:35:02 (52:54:00:12:35:02)
Adres: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG bit: Adres administrowany lokalnie (NIE jest to ustawienie fabryczne)
… 0… = bit IG: adres indywidualny (unicast)
Źródło: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Adres: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Identyfikator interfejsu: 0 (enp0s3)
Nazwa interfejsu: enp0s3
Rodzaj enkapsulacji: Ethernet (1)
Czas przyjazdu: 9 stycznia 2021 21:23:39.167581606 PKT
[Przesunięcie czasowe dla tego pakietu: 0.00000000 sekund]
Czas epoki: 1610209419.167581606 sekund
[Delta czasu z poprzedniej przechwyconej klatki: 0.00000000 sekund]
[Delta czasu od poprzedniej wyświetlanej klatki: 0.00000000 sekund]
[Czas od odniesienia lub pierwszej klatki: 0.00000000 sekund]
Numer ramki: 1
Długość ramki: 98 bajtów (784 bity)
Długość przechwytywania: 98 bajtów (784 bity)
[Ramka jest oznaczona: Fałsz]
[Ramka jest ignorowana: Fałsz]
[Protokoły w ramce: eth:ethertype:ip:icmp:data]
Ethernet II, Src: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Miejsce docelowe: RealtekU_12:35:02 (52:54:00:12:35:02)
Adres: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG bit: Adres administrowany lokalnie (NIE jest to ustawienie fabryczne)
… 0… = bit IG: adres indywidualny (unicast)
Źródło: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Adres: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
… 0… = LG bit: Globalnie unikalny adres (ustawienie fabryczne)
… 0… = bit IG: adres indywidualny (unicast)
Typ: IPv4 (0x0800)
Protokół internetowy w wersji 4, Src: 10.0.2.15, czas: 104.26.10.240
0100… = Wersja: 4
… 0101 = Długość nagłówka: 20 bajtów (5)
Pole usług zróżnicowanych: 0x00 (DSCP: CS0, ECN: nie-ECT)
0000 00… = Punkt kodowy usług zróżnicowanych: Domyślnie (0)
… 00 = Wyraźne powiadomienie o przeciążeniu: transport nieobsługiwany przez ECN (0)
Całkowita długość: 84
Identyfikacja: 0xcc96 (52374)
Flagi: 0x4000, nie fragmentuj
0… = Zarezerwowany bit: nieustawiony
.1… = Nie fragmentuj: Ustaw
… 0… = Więcej fragmentów: Nie ustawiono
… 0 0000 0000 0000 = Przesunięcie fragmentu: 0
Czas życia: 64
Protokół: ICMP (1)
Suma kontrolna nagłówka: 0xeef9 [walidacja wyłączona]
[Stan sumy kontrolnej nagłówka: niezweryfikowany]
Źródło: 10.0.2.15
Miejsce docelowe: 104.26.10.240
Internetowy protokół komunikatów kontrolnych
Typ: 8 (żądanie Echo (ping))
Kod: 0
Suma kontrolna: 0x0cb7 [poprawna]
[Stan sumy kontrolnej: dobry]
Identyfikator (BE): 5038 (0x13ae)
Identyfikator (LE): 44563 (0xae13)
Numer kolejny (BE): 1 (0x0001)
Numer kolejny (LE): 256 (0x0100)
Znacznik czasu z danych ICMP: 9 stycznia 2021 21:23:39.00000000 PKT
[Stempel czasowy z danych ICMP (względny): 0.167581606 sekund]
Dane (48 bajtów)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"#$%&"
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 ()*+,-./01234567
Dane: 918e02000000000101112131415161718191a1b1c1d1e1f…
[Długość: 48]

Wniosek:

Najtrudniejszym aspektem analizy pakietów jest znalezienie najistotniejszych informacji i zignorowanie bezużytecznych bitów. Mimo że interfejsy graficzne są łatwe, nie mogą przyczynić się do automatycznej analizy pakietów sieciowych. W tym artykule poznałeś najbardziej przydatne parametry tshark do przechwytywania, wyświetlania, zapisywania i odczytywania plików ruchu sieciowego.

Tshark to bardzo przydatne narzędzie, które odczytuje i zapisuje pliki przechwytywania obsługiwane przez Wireshark. Połączenie filtrów wyświetlania i przechwytywania ma duże znaczenie podczas pracy nad przypadkami użycia na poziomie zaawansowanym. Możemy wykorzystać zdolność tshark do drukowania pól i manipulowania danymi zgodnie z naszymi wymaganiami dotyczącymi dogłębnej analizy. Innymi słowy, jest w stanie zrobić praktycznie wszystko, co robi Wireshark. Co najważniejsze, doskonale nadaje się do zdalnego sniffowania pakietów za pomocą ssh, co jest tematem na inny dzień.