A Wireshark parancssori eszköz használatának megtanulása: TShark
A WireShark a világ legszélesebb körben használt hálózati protokollelemzője. Lehetővé teszi, hogy belemerüljön a rögzített adatforgalomba, és elemezze, mi történik egy hálózaton belül. Ma arról beszélünk, hogyan használhatja a Wireshark parancssori felületét, a Tsharkot, hogy hasonló eredményeket érjen el.
Megnézünk néhány példaparancsot, ezért nyugodtan használjon egy PCAP fájlt a követéshez! Itt talál néhány minta rögzítési fájlt.
Bemeneti fájl nélkül a Tshark egyszerűen úgy viselkedik, mint a Tcpdump. Az első elérhető hálózatról rögzíti a forgalmat, és a csomagokat a szabványos kimeneten jeleníti meg. Alternatívaként használhatja a “-r” jelzőt a hálózati rögzítőfájl megadásához.
tshark -r network.pcap
Ezzel a Tshark megjeleníti a rögzítőfájl csomagjait a szabványos kimeneten. Nézzük meg a kimenet egy sorát!
35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK
Ez bonyolultnak tűnhet, de ne feledjük, hogy a Tshark parancssori kimenete a Wireshark felületét tükrözi. A parancssori kimenet mezői balról jobbra haladva a következők:
Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK
A “Time” mező azt mutatja, hogy mikor történt a csomag rögzítése. A “Source” és “Destination” mezők a csomag forrás IP és cél IP címét mutatják. A “Protokoll” mező a használt protokollt mutatja. A “Length” mező a csomag hosszát mutatja. Végül az “Info” mező a csomaggal kapcsolatos további információkat jeleníti meg.
A csomagok összefoglalóit szűrheti, ha a Tshark kimenetét a grep programba táplálja. Ez a parancs például a “200 OK” HTTP státuszkóddal rendelkező csomagokat adja ki.
tshark -r network.pcap | grep "200 OK"
Érdekes csomagok exportálása
A csomagok tartalmát az objektumok exportálásával vizsgálhatja meg. A Tshark objektumexportálása lehetővé teszi a csomagok különböző típusú adatainak, például a HTTP- és SMB-objektumoknak a kinyerését. Az objektumok exportálásának szintaxisa a következő:
tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR
A PROTOCOL megadja az exportált objektum típusát, míg a DESTINATION_DIR a Tshark által az exportált fájlok tárolására használt könyvtár. Ez a parancs például a hálózaton keresztül szállított fájlokat exportálja, és az “exported_files_dir” könyvtárban tárolja őket.
tshark -r network.pcap --export-objects http,exported_files_dir
Packetszűrők használata
A Wiresharkhoz hasonlóan a csomagokat is szűrheti bizonyos kritériumok alapján. A szűrőket egyszerűen csak idézőjelbe kell tenni a parancs végére.
tshark -r network.pcap "http.request.method == POST and http.file_data contains password"
Az alkalmazható szűrők formátuma megegyezik a Wiresharkban alkalmazottal. Az elérhető szűrők listáját itt találja.
A “-T” jelzővel megadhatja a dekódolt csomagadatok kimeneti formátumát is. Ez a parancs például az összes HTTP GET-kérést JSON formátumban jeleníti meg.
tshark -r network.pcap -T json "http.request.method==GET"
Végül a Tshark kimenetét feldolgozhatja úgy, hogy más parancssori eszközökbe, például a grep-be továbbítja.
Következtetés
Ez a bejegyzés csak egy kis részét mutatja be annak, amit a Wireshark és a Tshark tud. Ezek sokoldalú eszközök, amelyek számos különböző típusú elemzés elvégzésére alkalmasak.
Ha többet szeretne megtudni ezekről az eszközökről, látogasson el a dokumentációjukba itt.