Nauka korzystania z narzędzia wiersza poleceń Wireshark: TShark

Vickie Li

Follow

23 maja, 2020 – 3 min read

.

Photo by Gerald Schömbs on Unsplash

Wireshark to najczęściej używany na świecie analizator protokołów sieciowych. Pozwala on na wgłębienie się w przechwycony ruch sieciowy i przeanalizowanie tego, co dzieje się w sieci. Dzisiaj porozmawiamy o tym, jak można wykorzystać interfejs wiersza poleceń Wiresharka, Tshark, aby osiągnąć podobne rezultaty.

Przejdziemy przez kilka przykładowych poleceń, więc nie krępuj się użyć pliku PCAP, aby podążać za nami! Możesz znaleźć kilka przykładowych plików przechwytywania tutaj.

Bez pliku wejściowego, Tshark po prostu działa jak Tcpdump. Przechwyci on ruch z pierwszej dostępnej sieci i wyświetli jego pakiety na standardowym wyjściu. Alternatywnie, możesz użyć flagi „-r”, aby określić plik przechwytywania sieci.

tshark -r network.pcap

W ten sposób Tshark wyświetli pakiety z pliku przechwytywania na standardowym wyjściu. Przyjrzyjmy się jednemu z wierszy wyjścia!

35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK

Może się to wydawać skomplikowane, ale pamiętaj, że wyjście wiersza poleceń programu Tshark odzwierciedla interfejs programu Wireshark. Pola od lewej do prawej w linii poleceń to:

Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK

Pole „Czas” pokazuje, kiedy pakiet został przechwycony. Pola „Source” oraz „Destination” pokazują źródłowe IP oraz docelowe IP tego pakietu. W polu „Protocol” wyświetlany jest używany protokół. Pole „Length” pokazuje długość pakietu. I w końcu, pole „Info” wyświetla wszelkie dodatkowe informacje o pakiecie.

Możesz przefiltrować te streszczenia pakietów poprzez wpisanie wyjścia Tsharka w grep. Na przykład, to polecenie wyświetli pakiety z kodem statusu HTTP „200 OK”.

tshark -r network.pcap | grep "200 OK"

Eksportowanie interesujących pakietów

Możesz zbadać zawartość pakietów poprzez wyeksportowanie ich obiektów. Eksportowanie obiektów w Tsharku pozwala na wyodrębnienie różnych typów danych pakietów, takich jak obiekty HTTP i SMB. Składnia eksportu obiektów jest następująca.

tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR

PROTOCOL określa typ eksportowanego obiektu, podczas gdy DESTINATION_DIR jest katalogiem, którego Tshark użyje do przechowywania wyeksportowanych plików. Na przykład, to polecenie wyeksportuje pliki, które zostały przetransportowane przez sieć i zapisze je w katalogu „exported_files_dir”.

tshark -r network.pcap --export-objects http,exported_files_dir

Używanie filtrów pakietów

Tak jak w Wiresharku, możesz również filtrować pakiety na podstawie pewnych kryteriów. Wystarczy umieścić swoje filtry w cudzysłowie na końcu polecenia.

tshark -r network.pcap "http.request.method == POST and http.file_data contains password"

Format filtrów, które można zastosować, jest identyczny jak w Wiresharku. Listę dostępnych filtrów można znaleźć tutaj.

Możesz również określić format wyjściowy zdekodowanych danych pakietów za pomocą flagi „-T”. Na przykład, to polecenie wyświetli wszystkie żądania HTTP GET w formacie JSON.

tshark -r network.pcap -T json "http.request.method==GET"

Na koniec, możesz przetwarzać dane wyjściowe z Tsharka przez przesyłanie ich do innych narzędzi wiersza poleceń, takich jak grep.

Podsumowanie

Ten post przedstawia tylko niewielki ułamek tego, co Wireshark i Tshark mogą zrobić. Są to wszechstronne narzędzia, które są w stanie wykonać wiele różnych typów analiz.

Jeśli jesteś zainteresowany dowiedzeniem się więcej o tych narzędziach, odwiedź ich dokumentację tutaj.

.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.