Eine Anleitung zum Wireshark -Befehlszeilenschnittstellen „Tshark“

In den früheren Tutorials für Wireshark haben wir grundlegende bis fortgeschrittene Themen behandelt. In diesem Artikel werden wir eine Befehlszeilenschnittstelle für Wireshark verstehen und behandeln, ich.e., tshark. Die Terminalversion von Wireshark unterstützt ähnliche Optionen und ist sehr nützlich, wenn eine grafische Benutzeroberfläche (GUI) nicht verfügbar ist.

Auch wenn eine grafische Benutzeroberfläche theoretisch viel einfacher zu bedienen ist, unterstützen nicht alle Umgebungen sie, insbesondere Serverumgebungen mit nur Befehlszeilenoptionen. Daher müssen Sie zu einem bestimmten Zeitpunkt als Netzwerkadministrator oder als Sicherheitsingenieur eine Befehlslinienschnittstelle verwenden. Es ist wichtig zu beachten, dass TSHARK manchmal als Ersatz für TCPDump verwendet wird. Obwohl beide Tools der Verkehrsförderungsfunktionalität fast gleichwertig sind, ist TSHARK viel leistungsfähiger.

Das Beste, was Sie tun können, ist, TSHARK zu verwenden, um einen Port in Ihrem Server einzurichten, der Informationen an Ihr System weiterleitet. Vorerst werden wir lernen, wie es funktioniert, welche Eigenschaften sind und wie Sie es nach bestem Besten aus seinen Fähigkeiten nutzen können.

Geben Sie den folgenden Befehl ein, um TSHARK in Ubuntu/Debian mit APT-Get zu installieren:

Ubuntu@Ubuntu: ~ $ sudo apt -Get Installt tshark -y

Tippen Sie jetzt tshark -help Auflisten Sie alle möglichen Argumente mit ihren jeweiligen Flaggen auf, die wir an einen Befehl übergeben können tshark.

Ubuntu@Ubuntu: ~ $ tshark -Help | Kopf -20
Tshark (Wireshark) 2.6.10 (Git v2.6.10 verpackt wie 2.6.10-1 ~ Ubuntu18.04.0)
Netzwerkverkehr ablegen und analysieren.
Siehe https: // www.Wireshark.Org für weitere Informationen.
Verwendung: Tshark [Optionen]…
Capture -Schnittstelle:
-ich Name oder IDX der Schnittstelle (DEF: Erster Nicht-Loopback)
-F Paketfilter in LIBPCap -Filtersyntax
-S Paket -Snapshot -Länge (def: angemessene Maximum)
-P erfasst nicht im promiskuitiven Modus
-Ich erfasse im Monitor -Modus, falls verfügbar
-B Größe des Kernelpuffer (def: 2mb)
-y Link -Layer -Typ (def: zuerst geeignet)
--Zeitstempel-Zeitstempelmethode für die Schnittstelle
-D Druckliste von Schnittstellen und Beenden
-L Drucken Sie die Liste der Link-Schicht-Arten von IFACE und Beenden aus
--Listen-Time-Stempel-Druckliste der Zeitstempeltypen für IFACE und Beenden
Erfassungsstoppbedingungen:

Sie können eine Liste aller verfügbaren Optionen bemerken. In diesem Artikel werden wir die meisten Argumente im Detail abdecken, und Sie werden die Kraft dieser terminalorientierten Wireshark -Version verstehen.

Auswahl der Netzwerkschnittstelle:

Um Live -Erfassung und -analyse in diesem Dienstprogramm durchzuführen, müssen wir zunächst unsere Arbeitsschnittstelle herausfinden. Typ tshark -d und Tshark wird alle verfügbaren Schnittstellen auflisten.

Ubuntu@Ubuntu: ~ $ tshark -d
1. ENP0S3
2. beliebig
3. lo (Loopback)
4. Nflog
5. nfqueue
6. USBMON1
7. Ciscodump (Cisco Remote Capture)
8. Randpkt (zufälliger Paketgenerator)
9. SSHDUMP (SSH Remote Capture)
10. UDPDUMP (UDP -Hörer -Remote -Capture)

Beachten Sie, dass nicht alle aufgeführten Schnittstellen funktionieren werden. Typ Ifconfig Um funktionierende Schnittstellen auf Ihrem System zu finden. In meinem Fall ist es ENP0S3.

Verkehr erfassen:

Um den Live -Erfassungsprozess zu starten, werden wir das verwenden tshark Befehl mit dem “-ichOption, den Erfassungsprozess von der Arbeitsschnittstelle zu beginnen.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3

Verwenden Strg+c die Live -Erfassung zu stoppen. Im obigen Befehl habe ich den erfassten Verkehr zum Linux -Befehl geleitet Kopf Um die ersten erfassten Pakete anzuzeigen. Oder Sie können auch die "-c" -Syntax verwenden, um die "zu erfassen"N" Anzahl der Pakete.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -c 5

Wenn Sie nur eingeben tshark, Standardmäßig wird weder den Datenverkehr auf allen verfügbaren Schnittstellen erfassen noch Ihre Arbeitsoberfläche anhören. Stattdessen werden Pakete auf der ersten aufgeführten Schnittstelle erfasst.

Sie können auch den folgenden Befehl verwenden, um mehrere Schnittstellen zu überprüfen:

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

In der Zwischenzeit besteht ein anderer Weg zum Live -Capture -Verkehr darin, die Nummer neben den aufgeführten Schnittstellen zu verwenden.

Ubuntu@Ubuntu: ~ $ tshark -i interface_number

In Gegenwart mehrerer Schnittstellen ist es jedoch schwierig, ihre aufgelisteten Zahlen im Auge zu behalten.

Erfassungsfilter:

Erfassungsfilter reduzieren die erfasste Dateigröße erheblich. Tshark verwendet die Berkeley -Paketfiltersyntax -F “”, Das auch von TCPDump verwendet wird. Wir werden die Option "-f" verwenden, um nur Pakete aus den Ports 80 oder 53 zu erfassen und "-C" zu verwenden, um nur die ersten 10 Pakete anzuzeigen.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -f "Port 80 oder Port 53" -C 10

Speichern erfasster Verkehr auf eine Datei:

Der Schlüssel, der im obigen Screenshot zu beachten ist, ist, dass die angezeigten Informationen nicht gespeichert sind, daher ist es weniger nützlich. Wir verwenden das Argument “-w”Um den erfassten Netzwerkverkehr auf zu speichern test_capture.PCAP In /tmp Ordner.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -W /tmp /test_capture.PCAP

Wohingegen, .PCAP ist die Erweiterung der Wireshark -Dateityp. Durch das Speichern der Datei können Sie den Datenverkehr in einer Maschine mit Wireshark GUI später überprüfen und analysieren.

Es ist eine gute Praxis, die Datei in / zu speichernTMP Da dieser Ordner keine Ausführungsrechte erfordert. Wenn Sie es in einem anderen Ordner speichern, wird das Programm auch dann aus Sicherheitsgründen die Berechtigung verweigert.

Lassen Sie uns in alle möglichen Möglichkeiten eintauchen, auf die Sie können:

• Wenden Sie Grenzen für die Erfassung von Daten an, so dass das Verlassen des Verlassens tshark oder automatisch den Erfassungsprozess und automatisch stopfen und
• Ihre Dateien ausgeben.

Autostop -Parameter:

Du kannst den ... benutzen "-AParameter zum Einbinden verfügbarer Flags wie Dauerdateigröße und Dateien. Im folgenden Befehl verwenden wir den autostop -Parameter mit dem Dauer Fahnen Sie, um den Vorgang innerhalb von 120 Sekunden zu stoppen.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -a Dauer: 120 -W /TMP /test_capture.PCAP

In ähnlicher Weise, wenn Sie Ihre Dateien nicht als extra groß sind, Dateigröße ist eine perfekte Flagge, um den Vorgang nach einigen KB -Grenzen zu stoppen.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -a filesize: 50 -w /tmp /test_capture.PCAP

Am wichtigsten, Dateien Mit Flag können Sie den Erfassungsprozess nach einer Reihe von Dateien stoppen. Dies kann jedoch erst nach dem Erstellen mehrerer Dateien möglich sein, die die Ausführung eines anderen nützlichen Parameters und die Erfassung der Ausgabe erfordern müssen.

Erfassungsausgangsparameter:

Ausgang erfassen, auch bekannt als Ringbuffer Argument “-B„Kommt mit den gleichen Flaggen wie Autostop einher. Die Verwendung/Ausgabe ist jedoch etwas anders, ich.e., die Flaggen Dauer Und Dateigröße, Da Sie Pakete nach Erreichen eines bestimmten Zeitlimits in Sekunden oder der Dateigröße in eine andere Datei umstellen oder speichern können.

Der unterhalb des Kommandos zeigt, dass wir den Datenverkehr über unsere Netzwerkschnittstelle erfassen ENP0S3, und erfassen den Verkehr mithilfe des Erfassungsfilters “-F”Für TCP und DNS. Wir verwenden eine Ringbuffer-Option "-B" mit a Dateigröße FLACHEN SIE, um jede Größe der Größe zu speichern 15 kb, Verwenden Sie auch das Autostop -Argument, um die Anzahl der Dateien mithilfe von Dateien anzugeben Dateien Option, so dass es den Erfassungsprozess nach dem Generieren von drei Dateien stoppt.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -f "Port 53 oder Port 21" -b Filesize: 15 -a -Dateien: 2 -W /TMP /test_capture.PCAP

Ich habe mein Terminal in zwei Bildschirme aufgeteilt, um die Erstellung von drei aktiv zu überwachen .PCAP -Dateien.

Gehen Sie zu Ihrem /tmp Ordner und verwenden Sie den folgenden Befehl im zweiten Terminal, um Updates nach jeder Sekunde zu überwachen.

Ubuntu@Ubuntu: ~ $ watch -n 1 "ls -lt"

Jetzt müssen Sie sich nicht all diese Flags auswendig lernen. Geben Sie stattdessen einen Befehl ein tshark -i enp0s3 -f „Port 53 oder Port 21“ -B Filesize: 15 -a in Ihrem Terminal und drücken Sie Tab. Die Liste aller verfügbaren Flags ist auf Ihrem Bildschirm verfügbar.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -f "Port 53 oder Port 21" -B FileSize: 15 -a
Dauer: Dateien: Dateigröße:
Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -f "Port 53 oder Port 21" -B FileSize: 15 -a

Lektüre .PCAP -Dateien:

Am wichtigsten ist, dass Sie eine „verwenden können“-RParameter zum Lesen der test_capture.PCAP -Dateien und leiten Sie sie an die Kopf Befehl.

Ubuntu@Ubuntu: ~ $ tshark -r /tmp /test_capture.PCAP | Kopf

Die in der Ausgabedatei angezeigten Informationen können etwas überwältigend sein. Um unnötige Details zu vermeiden und ein besseres Verständnis für eine bestimmte Ziel -IP -Adresse zu erhalten, verwenden wir die -R Option zum Lesen der erfassten Paketdatei und verwenden Sie eine IP.ADDR Filtern Sie, um die Ausgabe in eine neue Datei mit der “umzuleiten-w" Möglichkeit. Auf diese Weise können wir die Datei überprüfen und unsere Analyse durch Anwenden weiterer Filter verfeinern.

Ubuntu@Ubuntu: ~ $ tshark -r /tmp /test_capture.PCAP -W /TMP /Redirected_file.PCAP IP.DST == 216.58.209.142
Ubuntu@ubuntu: ~ $ tshark -r /tmp /recireted_file.PCAP | Kopf
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSV1.2 370 Anwendungsdaten
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSV1.2 669 Anwendungsdaten
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSV1.2 5786 Anwendungsdaten
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSV1.2 1093 Anwendungsdaten
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSV1.2 403 Anwendungsdaten
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [TCP -Segment einer wieder zusammengestellten PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSV1.2 948 Anwendungsdaten
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSV1.2 233 Anwendungsdaten
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSV1.2 669 Anwendungsdaten
100.023324835 10.0.2.15 → 216.58.209.142 TLSV1.2 3582 Anwendungsdaten

Felder auswählen für die Ausgabe:

Die obigen Befehle geben eine Zusammenfassung jedes Pakets aus, das verschiedene Headerfelder enthält. Mit TSHARK können Sie auch bestimmte Felder anzeigen. Um ein Feld anzugeben, verwenden wir “-T FeldUnd extrahieren Sie Felder nach unserer Wahl.

Nach dem "-T FeldSwitch, wir verwenden die Option "-e", um die angegebenen Felder/Filter zu drucken. Hier können wir Wireshark Display -Filter verwenden.

Ubuntu@Ubuntu: ~ $ tshark -r /tmp /test_capture.PCAP -T -Felder -e -Rahmen.Nummer -e ip.src -e ip.dst | Kopf
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Erfassen Sie verschlüsselte Handshake -Daten:

Bisher haben wir gelernt, Ausgabedateien mit verschiedenen Parametern und Filtern zu speichern und zu lesen. Wir werden jetzt erfahren, wie HTTPS die Sitzung tshark initialisiert. Die auf HTTPS anstelle von HTTP zugegriffenen Websites stellt eine sichere oder verschlüsselte Datenübertragung über das Kabel sicher. Für eine sichere Übertragung startet eine Transportschicht -Sicherheitsverschlüsselung einen Handshake -Prozess, um die Kommunikation zwischen dem Client und dem Server zu starten.

Lassen Sie uns den TLS -Handshake mit TSHARK erfassen und verstehen. Teilen Sie Ihr Terminal in zwei Bildschirme und verwenden Sie a wget Befehl zum Abrufen einer HTML -Datei von abgerufen https: // www.Wireshark.Org.

Ubuntu@Ubuntu: ~ $ wget https: // www.Wireshark.Org
--2021-01-09 18: 45: 14-- https: // wwwww.Wireshark.org/
Verbindung zu www herstellen.Wireshark.org (www.Wireshark.org) | 104.26.10.240 |: 443… verbunden.
HTTP -Anfrage gesendet, erwartet auf die Antwort… 206 Teilinhalt
Länge: 46892 (46K), 33272 (32K) verbleibend [Text/HTML]
Speichern auf: 'Index.html '
Index.HTML 100%[+++++++++++++ ============================================================================================================================================================================================================== ==>] 45.79K 154 KB/s in 0.2s
2021-01-09 18:43:27 (154 kb/s)-'Index.HTML 'gespeichert [46892/46892]

In einem anderen Bildschirm werden wir TSHARK verwenden, um die ersten 11 Pakete mit der “zu erfassen-CParameter. Während der Durchführung der Analyse sind Zeitstempel wichtig, um Ereignisse zu rekonstruieren, daher verwenden wir “-bisschen”, Auf eine Weise, die Tshark neben jedem erfassten Paket den Zeitstempel hinzufügt. Zuletzt verwenden wir den Host -Befehl, um Pakete aus dem gemeinsam genutzten Host zu erfassen IP Adresse.

Dieser Händedruck ist dem TCP -Handshake ziemlich ähnlich. Sobald der TCP-Drei-Wege-Handshake in den ersten drei Paketen endet, folgen die vierten bis neunten Pakete einem ähnlichen Handshake-Ritual und enthalten TLS-Zeichenfolgen, um eine verschlüsselte Kommunikation zwischen beiden Parteien zu gewährleisten.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -c 11 -t ad host 104.26.10.240
Aufnahme von 'ENP0S3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [Syn] seq = 0 Win = 64240 Len = 0 MSS = 1460 Sack_perm = 1 TSVAL = 2488996311 TSECR = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [Syn, ACK] seq = 0 ack = 1 Gewinn = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] SEQ = 1 ACK = 1 Gewinn = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSV1 373 Client Hallo Hallo
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] SEQ = 1 ACK = 320 Gewinn = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSV1.3 1466 Server Hallo, ändern Sie die Cipher -Spezifikation
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] SEQ = 320 ACK = 1413 Gewinn = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSV1.3 1160 Anwendungsdaten
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] SEQ = 320 ACK = 2519 Gewinn = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSV1.3 134 Cipher -Spezifikation ändern, Anwendungsdaten
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] SEQ = 2519 ACK = 400 Gewinn = 65535 Len = 0
11 Pakete erfasst

Ganzes Paket anzeigen:

Der einzige Nachteil eines Befehlszeilen-Dienstprogramms ist, dass es keine GUI hat, da es sehr praktisch wird, wenn Sie viel Internetverkehr durchsuchen müssen, und bietet auch ein Paketfeld, das alle Paketdetails innerhalb eines an zeigt sofortig. Es ist jedoch weiterhin möglich, das Paket zu inspizieren und die gesamten Paketinformationen, die in der GUI -Paketpanel angezeigt werden.

Um ein ganzes Paket zu inspizieren, verwenden wir einen Ping-Befehl mit der Option "-c", um ein einzelnes Paket zu erfassen.

Ubuntu@Ubuntu: ~ $ ping -c 1 104.26.10.240
Ping 104.26.10.240 (104.26.10.240) 56 (84) Datenbytes von Daten.
64 Bytes von 104.26.10.240: ICMP_SEQ = 1 TTL = 55 Zeit = 105 ms
--- 104.26.10.240 Ping -Statistiken ---
1 Pakete übertragen, 1 erhalten, 0% Paketverlust, Zeit 0 ms
RTT min/avg/max/mdev = 105.095/105.095/105.095/0.000 ms

Verwenden Sie in einem anderen Fenster den Befehl tshark mit einem zusätzlichen Flag, um die gesamten Paketdetails anzuzeigen. Sie können verschiedene Abschnitte bemerken, die Frames, Ethernet II, IPV und ICMP -Details anzeigen.

Ubuntu@Ubuntu: ~ $ tshark -i enp0s3 -c 1 -v Host 104.26.10.240
Rahmen 1: 98 Bytes auf Draht (784 Bit), 98 Bytes (784 Bit) an der Schnittstelle 0
Schnittstellen -ID: 0 (ENP0S3)
Schnittstellenname: ENP0S3
Kapselungstyp: Ethernet (1)
Ankunftszeit: 9. Januar 2021 21:23:39.167581606 PKT
[Zeitverschiebung für dieses Paket: 0.000000000 Sekunden]
Epoche Zeit: 1610209419.167581606 Sekunden
[Zeitdelta aus dem vorherigen erfassten Rahmen: 0.000000000 Sekunden]
[Zeitdelta aus dem vorherigen angezeigten Frame: 0.000000000 Sekunden]
[Zeit seit Referenz oder erster Rahmen: 0.000000000 Sekunden]
Bildnummer: 1
Rahmenlänge: 98 Bytes (784 Bit)
Erfassungslänge: 98 Bytes (784 Bit)
[Rahmen ist gekennzeichnet: Falsch]
[Rahmen wird ignoriert: Falsch]
[Protokolle in Frame: ETH: EtherType: IP: ICMP: Daten]
Ethernet II, SRC: PCSCompu_17: FC: A6 (08: 00: 27: 17: FC: A6), DST: Realteku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Ziel: Realteku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresse: Realteku_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG -Bit: Lokal verwaltete Adresse (dies ist nicht die Fabrikverlust)
… 0… = IG Bit: Individuelle Adresse (Unicast)
Quelle: pcscompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresse: pcscompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Schnittstellen -ID: 0 (ENP0S3)
Schnittstellenname: ENP0S3
Kapselungstyp: Ethernet (1)
Ankunftszeit: 9. Januar 2021 21:23:39.167581606 PKT
[Zeitverschiebung für dieses Paket: 0.000000000 Sekunden]
Epoche Zeit: 1610209419.167581606 Sekunden
[Zeitdelta aus dem vorherigen erfassten Rahmen: 0.000000000 Sekunden]
[Zeitdelta aus dem vorherigen angezeigten Frame: 0.000000000 Sekunden]
[Zeit seit Referenz oder erster Rahmen: 0.000000000 Sekunden]
Bildnummer: 1
Rahmenlänge: 98 Bytes (784 Bit)
Erfassungslänge: 98 Bytes (784 Bit)
[Rahmen ist gekennzeichnet: Falsch]
[Rahmen wird ignoriert: Falsch]
[Protokolle in Frame: ETH: EtherType: IP: ICMP: Daten]
Ethernet II, SRC: PCSCompu_17: FC: A6 (08: 00: 27: 17: FC: A6), DST: Realteku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Ziel: Realteku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresse: Realteku_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG -Bit: Lokal verwaltete Adresse (dies ist nicht die Fabrikverlust)
… 0… = IG Bit: Individuelle Adresse (Unicast)
Quelle: pcscompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresse: pcscompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG -Bit: Global eindeutige Adresse (fabrikverträg)
… 0… = IG Bit: Individuelle Adresse (Unicast)
Typ: IPv4 (0x0800)
Internet -Protokollversion 4, SRC: 10.0.2.15, DST: 104.26.10.240
0100… = Version: 4
… 0101 = Headerlänge: 20 Bytes (5)
Differenzierter Dienste Feld: 0x00 (DSCP: CS0, ECN: Nicht-ECT)
0000 00… = Differenzierte Dienste CodePoint: Standard (0)
… 00 = explizite Überlastungsbenachrichtigung: Nicht ecn-fähiger Transport (0)
Gesamtlänge: 84
Identifizierung: 0xcc96 (52374)
Flags: 0x4000, nicht fragmentieren
0… = Reserved Bit: Nicht gesetzt
.1… = nicht fragmentiert: Set
… 0… = mehr Fragmente: Nicht gesetzt
… 0 0000 0000 0000 = Fragmentversatz: 0
Zeit zu leben: 64
Protokoll: ICMP (1)
Header -Prüfsumme: 0xeef9 [Validierung deaktiviert]
[Header -Checksumas -Status: nicht überprüft]
Quelle: 10.0.2.15
Ziel: 104.26.10.240
Internet -Steuermeldungsprotokoll
Typ: 8 (Echo (Ping) Anfrage)
Code: 0
Prüfsumme: 0x0CB7 [Richtig]
[Prüfsummenstatus: Gut]
Kennung (BE): 5038 (0x13ae)
Kennung (LE): 44563 (0xAE13)
Sequenznummer (BE): 1 (0x0001)
Sequenznummer (LE): 256 (0x0100)
Zeitstempel aus ICMP -Daten: 9. Januar 2021 21:23:39.000000000 PKT
[Zeitstempel aus ICMP -Daten (relativ): 0.167581606 Sekunden]
Daten (48 Bytes)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"#$%& '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 ()*+,-./01234567
Daten: 918E020000000000101112131415161718191A1B1C1D1E1F…
[Länge: 48]

Abschluss:

Der anspruchsvollste Aspekt der Paketanalyse ist es, die relevantesten Informationen zu finden und die nutzlosen Teile zu ignorieren. Auch wenn grafische Schnittstellen einfach sind, können sie nicht zur automatisierten Netzwerkpaketanalyse beitragen. In diesem Artikel haben Sie die nützlichsten TSHARK -Parameter zum Erfassen, Anzeigen, Speichern und Lesen von Netzwerkverkehrsdateien gelernt.

Tshark ist ein sehr praktisches Dienstprogramm, das die von Wireshark unterstützten Erfassungsdateien liest und schreibt. Die Kombination von Anzeige- und Erfassungsfiltern trägt viel bei, während sie an erweiterten Anwendungsfällen arbeiten. Wir können die Fähigkeit des TSHARK nutzen, Felder zu drucken und Daten gemäß unseren Anforderungen für eine eingehende Analyse zu manipulieren. Mit anderen Worten, es ist in der Lage, praktisch alles zu tun, was Wireshark tut. Am wichtigsten ist, dass es perfekt ist, um mit SSH aus der Ferne aus dem Paket zu schnüffeln, was ein Thema für einen anderen Tag ist.