Oppi käyttämään Wiresharkin komentorivityökalua: TShark
Wireshark on maailman käytetyin verkkoprotokolla-analysaattori. Sen avulla voit sukeltaa kaapattuun liikenteeseen ja analysoida, mitä verkossa tapahtuu. Tänään puhutaan siitä, miten voit käyttää Wiresharkin komentorivikäyttöliittymää, Tsharkia, saavuttaaksesi samanlaisia tuloksia.
Käymme läpi joitakin esimerkkikomentoja, joten voit vapaasti käyttää PCAP-tiedostoa seurataksesi mukana! Löydät joitakin esimerkkikaappaustiedostoja täältä.
Ilman syöttötiedostoa Tshark toimii yksinkertaisesti kuin Tcpdump. Se kaappaa liikenteen ensimmäisestä käytettävissä olevasta verkosta ja näyttää sen paketit standardilähdössä. Vaihtoehtoisesti voit käyttää ”-r”-lippua määrittääksesi verkon kaappaustiedoston.
tshark -r network.pcap
Tällöin Tshark näyttää kaappaustiedoston paketit vakiotulosteessa. Katsotaanpa yhtä riviä ulostulosta!
35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK
Tämä saattaa vaikuttaa monimutkaiselta, mutta muista, että Tsharkin komentorivin ulostulo peilaa Wiresharkin käyttöliittymää. Kentät vasemmalta oikealle komentorivin ulostulossa ovat:
Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK
Kenttä ”Time” kertoo, milloin paketti kaapattiin. Kentät ”Source” (lähde) ja ”Destination” (määränpää) näyttävät paketin lähde-IP:n ja määränpää-IP:n. ”Protocol”-kenttä näyttää käytetyn protokollan. ”Length”-kentässä näkyy paketin pituus. Ja lopuksi ”Info”-kenttä näyttää paketin mahdolliset lisätiedot.
Voit suodattaa näitä pakettien yhteenvetoja syöttämällä Tsharkin tulosteet grep-ohjelmaan. Esimerkiksi tämä komento tulostaa paketit, joiden HTTP-tilakoodi on ”200 OK”.
tshark -r network.pcap | grep "200 OK"
Kiinnostavien pakettien vieminen
Voit tutkia paketin sisältöä viemällä sen objektit. Tsharkin objektien viennin avulla voit poimia erityyppisiä pakettitietoja, kuten HTTP- ja SMB-objekteja. Objektien viennin syntaksi on seuraava:
tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR
PROTOCOL määrittää vientiobjektin tyypin, kun taas DESTINATION_DIR on hakemisto, jota Tshark käyttää vietyjen tiedostojen tallentamiseen. Esimerkiksi tämä komento vie verkon kautta kuljetetut tiedostot ja tallentaa ne hakemistoon ”exported_files_dir”.
tshark -r network.pcap --export-objects http,exported_files_dir
Pakettisuodattimien käyttäminen
Kuten Wiresharkissa, voit myös suodattaa paketteja tiettyjen kriteerien perusteella. Voit yksinkertaisesti laittaa suodattimet lainausmerkkeihin komennon loppuun.
tshark -r network.pcap "http.request.method == POST and http.file_data contains password"
Käytettävissä olevien suodattimien muoto on sama kuin Wiresharkissa. Löydät luettelon käytettävissä olevista suodattimista täältä.
Voit myös määrittää puretun pakettidatan tulostusmuodon käyttämällä ”-T”-lippua. Tämä komento näyttää esimerkiksi kaikki HTTP GET -pyynnöt JSON-muodossa.
tshark -r network.pcap -T json "http.request.method==GET"
Viimeiseksi voit käsitellä Tsharkin tulostetta pipetoimalla sen muihin komentorivityökaluihin, kuten grep:iin.
Loppupäätelmä
Tämässä postauksessa esiteltiin vain pieni murto-osa siitä, mitä Wireshark ja Tshark osaavat. Ne ovat monipuolisia työkaluja, jotka pystyvät suorittamaan monenlaisia analyysejä.
Jos olet kiinnostunut oppimaan lisää näistä työkaluista, tutustu niiden dokumentaatioon täällä.