Eine Anleitung zum Wireshark Command Line Interface „tshark“

In den früheren Tutorials für Wireshark haben wir grundlegende bis fortgeschrittene Themen behandelt. In diesem Artikel werden wir eine Befehlszeilenschnittstelle für Wireshark verstehen und behandeln, d. h.e., tshark. Die Terminalversion von Wireshark unterstützt ähnliche Optionen und ist sehr nützlich, wenn keine grafische Benutzeroberfläche (GUI) verfügbar ist.

Obwohl eine grafische Benutzeroberfläche theoretisch viel einfacher zu verwenden ist, unterstützen sie nicht alle Umgebungen, insbesondere Serverumgebungen mit nur Befehlszeilenoptionen. Daher müssen Sie als Netzwerkadministrator oder Sicherheitsingenieur irgendwann eine Befehlszeilenschnittstelle verwenden use. Wichtig zu beachten, dass tshark manchmal als Ersatz für tcpdump verwendet wird. Obwohl beide Tools in der Verkehrserfassungsfunktionalität fast gleichwertig sind, ist tshark viel leistungsfähiger.

Das Beste, was Sie tun können, ist, mit tshark einen Port in Ihrem Server einzurichten, der Informationen an Ihr System weiterleitet, damit Sie den Verkehr zur Analyse mit einer GUI erfassen können. Vorerst werden wir jedoch lernen, wie es funktioniert, welche Eigenschaften es hat und wie Sie es optimal nutzen können.

Geben Sie den folgenden Befehl ein, um tshark in Ubuntu/Debian mit apt-get zu installieren:

[email protected]:~$ sudo apt-get install tshark -y

Geben Sie jetzt ein tshark -hilfe um alle möglichen Argumente mit ihren jeweiligen Flags aufzulisten, die wir an einen Befehl übergeben können tshark.

[email protected]:~$ tshark --help | Kopf -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 verpackt als 2.6.10-1~ubuntu18.04.0)
Dumpen und Analysieren des Netzwerkverkehrs.
Siehe https://www.Drahthai.org für weitere Informationen.
Verwendung: tshark [Optionen]…
Aufnahmeschnittstelle:
-ich Name oder ID der Schnittstelle (Def: erster Nicht-Loopback)
-f Paketfilter in der libpcap-Filtersyntax
-so Paket-Snapshot-Länge (Def: angemessenes Maximum)
-p Nicht im promiskuitiven Modus aufnehmen
-Ich nehme im Monitormodus auf, falls verfügbar
-B Größe des Kernelpuffers (Def: 2MB)
-ja Link-Layer-Typ (Def: zuerst geeignet)
--Zeitstempel-Typ Zeitstempelmethode für Schnittstelle
-D Liste der Schnittstellen drucken und beenden
-L Liste der Link-Layer-Typen von Iface und Exit drucken
--list-time-stamp-types Liste der Zeitstempeltypen für iface und exit ausgeben
Aufnahmestoppbedingungen:

Sie können eine Liste aller verfügbaren Optionen sehen. In diesem Artikel werden wir die meisten Argumente im Detail behandeln und Sie werden die Leistungsfähigkeit dieser terminalorientierten Wireshark-Version verstehen understand.

Auswahl der Netzwerkschnittstelle:

Um eine Live-Erfassung und -Analyse in diesem Dienstprogramm durchzuführen, müssen wir zuerst unsere Arbeitsoberfläche herausfinden. Art Tshark -D und tshark listet alle verfügbaren Schnittstellen auf.

[email protected]:~$ tshark -D
1. enp0s3
2. irgendein
3. lo (Loopback)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (Cisco-Fernerfassung)
8. randpkt (Zufallspaketgenerator)
9. sshdump (SSH-Remote-Capture)
10. udpdump (UDP Listener Remote Capture)

Beachten Sie, dass nicht alle aufgeführten Schnittstellen funktionieren. Art ifconfig um funktionierende Schnittstellen auf Ihrem System zu finden. In meinem Fall ist es enp0s3.

Datenverkehr erfassen:

Um den Live-Capture-Prozess zu starten, verwenden wir die tshark Befehl mit dem „-ich”Option, um den Erfassungsprozess von der Arbeitsoberfläche aus zu starten.

[email protected]:~$ tshark -i enp0s3

Benutzen Strg+C um die Live-Aufnahme zu stoppen. Im obigen Befehl habe ich den erfassten Datenverkehr an den Linux-Befehl weitergeleitet Kopf um die ersten paar erfassten Pakete anzuzeigen. Oder Sie können auch das „-c ”-Syntax zum Erfassen des “n“ Anzahl der Pakete.

[email protected]:~$ tshark -i enp0s3 -c 5

Wenn Sie nur eingeben tshark, Standardmäßig beginnt es nicht mit der Erfassung des Datenverkehrs auf allen verfügbaren Schnittstellen und hört nicht auf Ihre Arbeitsschnittstelle. Stattdessen werden Pakete auf der ersten aufgelisteten Schnittstelle erfasst.

Sie können auch den folgenden Befehl verwenden, um mehrere Schnittstellen zu überprüfen:

[email protected]:~$ tshark -i enp0s3 -i usbmon1 -i lo

In der Zwischenzeit können Sie den Datenverkehr auch live erfassen, indem Sie die Nummer neben den aufgeführten Schnittstellen verwenden use.

[email protected]:~$ tshark -i interface_number

Da jedoch mehrere Schnittstellen vorhanden sind, ist es schwierig, die aufgelisteten Nummern zu verfolgen.

Aufnahmefilter:

Erfassungsfilter reduzieren die erfasste Dateigröße erheblich. Tshark verwendet Berkeley Packet Filter Syntax -f ““, die auch von tcpdump verwendet wird. Wir verwenden die Option „-f“, um nur Pakete von den Ports 80 oder 53 zu erfassen und verwenden „-c“, um nur die ersten 10 Pakete anzuzeigen display.

[email protected]:~$ tshark -i enp0s3 -f "Port 80 oder Port 53" -c 10

Speichern des erfassten Datenverkehrs in einer Datei:

Das Wichtigste im obigen Screenshot ist, dass die angezeigten Informationen nicht gespeichert werden und daher weniger nützlich sind. Wir verwenden das Argument „-w“, um den erfassten Netzwerkverkehr zu speichern test_capture.pcap im /tmp Mappe.

[email protected]:~$ tshark -i enp0s3 -w /tmp/test_capture.pcap

Wohingegen, .pcap ist die Dateityperweiterung von Wireshark. Durch Speichern der Datei können Sie den Datenverkehr auf einem Computer später mit der Wireshark-GUI überprüfen und analysieren analyze.

Es empfiehlt sich, die Datei im /tmp da dieser Ordner keine Ausführungsrechte benötigt. Wenn Sie es in einem anderen Ordner speichern, verweigert das Programm aus Sicherheitsgründen die Berechtigung, auch wenn Sie tshark mit Root-Rechten ausführen.

Lassen Sie uns alle möglichen Wege untersuchen, durch die Sie Folgendes tun können:

Wenden Sie Beschränkungen für die Datenerfassung an, sodass das Verlassen tshark oder automatisches Stoppen des Aufnahmevorgangs, und
gib deine Dateien aus.

Autostop-Parameter:

Du kannst den ... benutzen "-ein” Parameter zum Einbinden verfügbarer Flags wie Dauer Dateigröße und Dateien. Im folgenden Befehl verwenden wir den Parameter autostop mit dem Dauer Flag, um den Vorgang innerhalb von 120 Sekunden zu stoppen.

[email protected]:~$ tshark -i enp0s3 -a Dauer:120 -w /tmp/test_capture.pcap

Ebenso, wenn Ihre Dateien nicht besonders groß sein sollen, Dateigröße ist ein perfektes Flag, um den Prozess nach einigen KB-Grenzen zu stoppen.

[email protected]:~$ tshark -i enp0s3 -a Dateigröße:50 -w /tmp/test_capture.pcap

Am wichtigsten, Dateien Flag ermöglicht es Ihnen, den Aufnahmeprozess nach einer Reihe von Dateien zu stoppen. Dies kann jedoch nur möglich sein, nachdem mehrere Dateien erstellt wurden, was die Ausführung eines anderen nützlichen Parameters erfordert, der Ausgabe erfassen.

Ausgabeparameter erfassen:

Capture-Ausgabe, auch bekannt als Ringpuffer-Argument “-b“, kommt mit den gleichen Flags wie Autostop. Die Verwendung/Ausgabe ist jedoch etwas anders, d.h.e., die Flaggen Dauer und Dateigröße, da es Ihnen ermöglicht, Pakete nach Erreichen eines bestimmten Zeitlimits in Sekunden oder Dateigröße in eine andere Datei zu wechseln oder zu speichern.

Der untenstehende Befehl zeigt, dass wir den Datenverkehr über unsere Netzwerkschnittstelle erfassen enp0s3, und erfassen Sie den Datenverkehr mit dem Erfassungsfilter “-f” für TCP und DNS. Wir verwenden die Ringpufferoption „-b“ mit a Dateigröße Flag, um jede Datei der Größe zu speichern 15 KB, und verwenden Sie auch das autostop-Argument, um die Anzahl der Dateien mit . anzugeben Dateien Option, sodass der Aufnahmeprozess nach dem Generieren von drei Dateien gestoppt wird.

[email protected]:~$ tshark -i enp0s3 -f "Port 53 oder Port 21" -b Dateigröße:15 -a Dateien:2 -w /tmp/test_capture.pcap

Ich habe mein Terminal in zwei Bildschirme aufgeteilt, um die Erstellung von drei aktiv zu überwachen .pcap-Dateien.

Gehen Sie zu Ihrem /tmp Ordner und verwenden Sie den folgenden Befehl im zweiten Terminal, um Updates nach jeder Sekunde zu überwachen.

[email protected]:~$ watch -n 1 "ls -lt"

Jetzt müssen Sie sich nicht alle diese Flags merken. Geben Sie stattdessen einen Befehl ein tshark -i enp0s3 -f "Port 53 oder Port 21" -b Dateigröße:15 -a in Ihrem Terminal und drücken Sie Tab. Die Liste aller verfügbaren Flaggen wird auf Ihrem Bildschirm angezeigt.

[email protected]:~$ tshark -i enp0s3 -f "Port 53 oder Port 21" -b Dateigröße:15 -a
Dauer: Dateien: Dateigröße:
[email protected]:~$ tshark -i enp0s3 -f "Port 53 oder Port 21" -b Dateigröße:15 -a

lesen .pcap-Dateien:

Am wichtigsten ist, dass Sie ein „-r” Parameter zum Lesen der test_capture.pcap-Dateien und leiten Sie sie an die Kopf Befehl.

[email protected]:~$ tshark -r /tmp/test_capture.pcap | Kopf

Die in der Ausgabedatei angezeigten Informationen können etwas überwältigend sein. Um unnötige Details zu vermeiden und eine bestimmte Ziel-IP-Adresse besser zu verstehen, verwenden wir die use -r Option zum Lesen der vom Paket erfassten Datei und Verwendung eines ip.Adresse Filter, um die Ausgabe in eine neue Datei mit dem „-w" Möglichkeit. Auf diese Weise können wir die Datei überprüfen und unsere Analyse durch Anwendung weiterer Filter verfeinern.

[email protected]:~$ tshark -r /tmp/test_capture.pcap -w /tmp/redirected_file.pcap ip.dst==216.58.209.142
[email protected]:~$ tshark -r /tmp/redirected_file.pcap|kopf
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Anwendungsdaten
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Anwendungsdaten
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Anwendungsdaten
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Anwendungsdaten
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Anwendungsdaten
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [TCP-Segment einer wieder zusammengesetzten PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Anwendungsdaten
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Anwendungsdaten
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Anwendungsdaten
100.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Anwendungsdaten

Auswählen von Feldern zur Ausgabe:

Die obigen Befehle geben eine Zusammenfassung jedes Pakets aus, die verschiedene Header-Felder enthält. Mit Tshark können Sie auch bestimmte Felder anzeigen. Um ein Feld anzugeben, verwenden wir „-T-Feld” und Felder nach unserer Wahl extrahieren.

Nach dem "-T-Feld”-Schalter verwenden wir die Option „-e“, um die angegebenen Felder/Filter zu drucken. Hier können wir Wireshark-Anzeigefilter verwenden.

[email protected]:~$ tshark -r /tmp/test_capture.pcap -T Felder -e Rahmen.Nummer -e ip.src -e ip.dst | Kopf
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.fünfzehn
4 216.58.209.142 10.0.2.fünfzehn
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.fünfzehn
7 216.58.209.142 10.0.2.fünfzehn
8 216.58.209.142 10.0.2.fünfzehn
9 216.58.209.142 10.0.2.fünfzehn
10 10.0.2.15 115.186.188.3

Erfassen Sie verschlüsselte Handshake-Daten:

Bisher haben wir gelernt, Ausgabedateien mit verschiedenen Parametern und Filtern zu speichern und zu lesen. Wir werden nun lernen, wie HTTPS die Sitzung tshark initialisiert. Die über HTTPS statt HTTP aufgerufenen Websites sorgen für eine sichere oder verschlüsselte Datenübertragung über das Kabel. Für eine sichere Übertragung startet eine Transport Layer Security-Verschlüsselung einen Handshake-Prozess, um die Kommunikation zwischen Client und Server zu starten.

Lassen Sie uns den TLS-Handshake mit tshark erfassen und verstehen. Teilen Sie Ihr Terminal in zwei Bildschirme auf und verwenden Sie a wget Befehl zum Abrufen einer HTML-Datei von https://www.Drahthai.org.

[email protected]:~$ wget https://www.Drahthai.org
--2021-01-09 18:45:14-- https://www.Drahthai.Organisation/
Verbindung mit www.Drahthai.org (www.Drahthai.org)|104.26.10.240|:443… verbunden.
HTTP-Anfrage gesendet, Antwort wartet… 206 Teilinhalt
Länge: 46892 (46K), 33272 (32K) verbleibend [Text/html]
Speichern unter: 'index.html'
Index.html 100%[++++++++++++++================================ ==>] 45.79K 154KB/s in 0.2s
2021-01-09 18:43:27 (154 KB/s) - 'Index.html' gespeichert [46892/46892]

In einem anderen Bildschirm werden wir tshark verwenden, um die ersten 11 Pakete mit dem „-c” Parameter. Während der Analyse sind Zeitstempel wichtig, um Ereignisse zu rekonstruieren, daher verwenden wir „-bisschen“, so dass tshark neben jedem erfassten Paket einen Zeitstempel hinzufügt. Schließlich verwenden wir den host-Befehl, um Pakete vom gemeinsam genutzten Host zu erfassen IP Adresse.

Dieser Handshake ist dem TCP-Handshake sehr ähnlich. Sobald der TCP-Dreiwege-Handshake in den ersten drei Paketen abgeschlossen ist, folgen die vierten bis neunten Pakete einem etwas ähnlichen Handshake-Ritual und enthalten TLS-Strings, um eine verschlüsselte Kommunikation zwischen beiden Parteien zu gewährleisten.

[email protected]:~$ tshark -i enp0s3 -c 11 -t Werbehost 104.26.10.240
Aufnehmen auf 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=2488996311 TSecr=0 WS=128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=1 Ack=1 Win=64240 Len=0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Client Hallo
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq=1 Ack=320 Win=65535 Len=0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Server Hallo, Verschlüsselungsspezifikation ändern
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=320 Ack=1413 Win=63540 Len=0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Anwendungsdaten
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=320 Ack=2519 Win=63540 Len=0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Verschlüsselungsspezifikation ändern, Anwendungsdaten
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq=2519 Ack=400 Win=65535 Len=0
11 Pakete erbeutet

Gesamtes Paket anzeigen:

Der einzige Nachteil eines Befehlszeilenprogramms ist, dass es keine GUI hat, da es sehr praktisch ist, wenn Sie viel Internetverkehr durchsuchen müssen, und es bietet auch ein Paketfenster, das alle Paketdetails innerhalb eines sofortig. Es ist jedoch immer noch möglich, das Paket zu überprüfen und die gesamten Paketinformationen auszugeben, die im GUI Packet Panel angezeigt werden.

Um ein ganzes Paket zu überprüfen, verwenden wir einen Ping-Befehl mit der Option „-c“, um ein einzelnes Paket zu erfassen.

[email protected]:~$ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56(84) Datenbytes.
64 Byte von 104.26.10.240: icmp_seq=1 ttl=55 Zeit=105 ms
--- 104.26.10.240 Ping-Statistiken ---
1 Pakete gesendet, 1 empfangen, 0% Paketverlust, Zeit 0ms
rtt min/avg/max/mdev = 105.095/105.095/105.095/0.000 ms

Verwenden Sie in einem anderen Fenster den Befehl tshark mit einem zusätzlichen Flag, um die gesamten Paketdetails anzuzeigen. Sie können verschiedene Abschnitte bemerken, die Frames, Ethernet II, IPV und ICMP-Details anzeigen.

[email protected]:~$ tshark -i enp0s3 -c 1 -V host 104.26.10.240
Frame 1: 98 Byte auf Leitung (784 Bit), 98 Byte erfasst (784 Bit) auf Schnittstelle 0
Schnittstellen-ID: 0 (enp0s3)
Schnittstellenname: enp0s3
Kapselungstyp: Ethernet (1)
Ankunftszeit: 9. Januar 2021 21:23:39.167581606 PKT
[Zeitverschiebung für dieses Paket: 0.000000000 Sekunden]
Epochenzeit: 1610209419.167581606 Sekunden
[Zeit-Delta vom vorherigen aufgenommenen Frame: 0.000000000 Sekunden]
[Zeit-Delta vom vorherigen angezeigten Frame: 0.000000000 Sekunden]
[Zeit seit Referenz oder erstem Frame: 0.000000000 Sekunden]
Rahmennummer: 1
Rahmenlänge: 98 Byte (784 Bit)
Aufnahmelänge: 98 Byte (784 Bit)
[Rahmen ist markiert: Falsch]
[Frame wird ignoriert: False]
[Protokolle im Frame: eth:ethertype:ip:icmp:data]
Ethernet II, Src: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Ziel: RealtekU_12:35:02 (52:54:00:12:35:02)
Adresse: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG-Bit: Lokal verwaltete Adresse (dies ist NICHT die Werkseinstellung)
… 0… = IG-Bit: Individuelle Adresse (Unicast)
Quelle: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Adresse: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Schnittstellen-ID: 0 (enp0s3)
Schnittstellenname: enp0s3
Kapselungstyp: Ethernet (1)
Ankunftszeit: 9. Januar 2021 21:23:39.167581606 PKT
[Zeitverschiebung für dieses Paket: 0.000000000 Sekunden]
Epochenzeit: 1610209419.167581606 Sekunden
[Zeit-Delta vom vorherigen aufgenommenen Frame: 0.000000000 Sekunden]
[Zeit-Delta vom vorherigen angezeigten Frame: 0.000000000 Sekunden]
[Zeit seit Referenz oder erstem Frame: 0.000000000 Sekunden]
Rahmennummer: 1
Rahmenlänge: 98 Byte (784 Bit)
Aufnahmelänge: 98 Byte (784 Bit)
[Rahmen ist markiert: Falsch]
[Frame wird ignoriert: False]
[Protokolle im Frame: eth:ethertype:ip:icmp:data]
Ethernet II, Src: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Ziel: RealtekU_12:35:02 (52:54:00:12:35:02)
Adresse: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG-Bit: Lokal verwaltete Adresse (dies ist NICHT die Werkseinstellung)
… 0… = IG-Bit: Individuelle Adresse (Unicast)
Quelle: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Adresse: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
… 0… = LG-Bit: Global eindeutige Adresse (Werkseinstellung)
… 0… = IG-Bit: Individuelle Adresse (Unicast)
Typ: IPv4 (0x080)
Internetprotokoll Version 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Ausführung: 4
… 0101 = Header-Länge: 20 Byte (5)
Differentiated Services Field: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = Differentiated Services Codepoint: Standard (0)
… 00 = Explizite Staumeldung: Nicht ECN-fähiger Transport (0)
Gesamtlänge: 84
Identifikation: 0xcc96 (52374)
Flags: 0x4000, Nicht fragmentieren
0… = Reserviertes Bit: Nicht gesetzt
.1… = Nicht fragmentieren: Set
… 0… = Weitere Fragmente: Nicht gesetzt
… 0 0000 0000 0000 = Fragment-Offset: 0
Lebenszeit: 64
Protokoll: ICMP (1)
Header-Prüfsumme: 0xeef9 [Validierung deaktiviert]
[Header-Prüfsummenstatus: Nicht verifiziert]
Quelle: 10.0.2.fünfzehn
Ziel: 104.26.10.240
Internet Control Message Protocol
Typ: 8 (Echo (Ping)-Anfrage)
Code: 0
Prüfsumme: 0x0cb7 [richtig]
[Prüfsummenstatus: Gut]
Kennung (BE): 5038 (0x13ae)
Kennung (LE): 44563 (0xae13)
Sequenznummer (BE): 1 (0x0001)
Sequenznummer (LE): 256 (0x0100)
Zeitstempel aus icmp-Daten: 9. Januar 2021 21:23:39.000000000 PKT
[Zeitstempel aus icmp-Daten (relativ): 0.167581606 Sekunden]
Daten (48 Byte)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"#$%&'
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 ()*+,-./01234567
Daten: 918e020000000000101112131415161718191a1b1c1d1e1f…
[Länge: 48]

Fazit:

Der schwierigste Aspekt der Paketanalyse besteht darin, die relevantesten Informationen zu finden und die nutzlosen Bits zu ignorieren. Obwohl grafische Oberflächen einfach sind, können sie nicht zur automatisierten Analyse von Netzwerkpaketen beitragen. In diesem Artikel haben Sie die nützlichsten tshark-Parameter zum Erfassen, Anzeigen, Speichern und Lesen von Netzwerkverkehrsdateien kennengelernt.

Tshark ist ein sehr praktisches Dienstprogramm, das die von Wireshark unterstützten Capture-Dateien liest und schreibt. Die Kombination aus Anzeige- und Erfassungsfiltern trägt viel bei, wenn Sie an Anwendungsfällen auf fortgeschrittenem Niveau arbeiten. Wir können die Fähigkeit von tshark nutzen, Felder zu drucken und Daten gemäß unseren Anforderungen für eine eingehende Analyse zu manipulieren. Mit anderen Worten, es ist in der Lage, praktisch alles zu tun, was Wireshark tut. Am wichtigsten ist, dass es perfekt für das Paket-Sniffing aus der Ferne mit ssh ist, was ein Thema für einen anderen Tag ist.