Aprender a usar a Ferramenta de Linha de Comando da Wireshark: TShark

>

>

>

Vickie Li

Follow

>

>

23 de Maio, 2020 – 3 min ler

Foto por Gerald Schömbs em Unsplash

Wireshark é o analisador de protocolo de rede mais utilizado no mundo. Ele permite que você mergulhe no tráfego capturado e analise o que está acontecendo dentro de uma rede. Hoje, vamos falar sobre como você pode usar a interface de linha de comando do Wireshark, Tshark, para obter resultados semelhantes.

Vamos passar por alguns comandos de exemplo, então sinta-se livre para usar um arquivo PCAP para acompanhar! Você pode encontrar alguns arquivos de exemplo de captura aqui.

Sem um arquivo de entrada, o Tshark simplesmente age como o Tcpdump. Ele irá capturar o tráfego da primeira rede disponível e exibir seus pacotes para a saída padrão. Alternativamente, você pode usar o sinalizador “-r” para especificar o arquivo de captura da rede.

tshark -r network.pcap

Desta forma, o Tshark irá exibir os pacotes do arquivo de captura na saída padrão. Vamos dar uma olhada em uma linha da saída!

35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK

Isso pode parecer complicado, mas lembre-se que a saída de linha de comando do Tshark espelha a interface Wireshark. Os campos da esquerda para a direita na saída da linha de comando são:

Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK

O campo “Time” mostra quando o pacote foi capturado. Os campos “Source” e “Destination” mostram o IP de origem e o IP de destino desse pacote. O campo “Protocol” mostra o protocolo utilizado. O campo “Length” (Comprimento) mostra o comprimento do pacote. E finalmente, o campo “Info” mostra qualquer informação adicional sobre o pacote.

Você pode filtrar esses resumos de pacotes pipetando a saída do Tshark para o grep. Por exemplo, este comando irá emitir os pacotes com um código de status HTTP “200 OK”.

tshark -r network.pcap | grep "200 OK"

Exportando pacotes interessantes

Você pode examinar o conteúdo do pacote exportando seus objetos. A exportação de objetos no Tshark permite que você extraia diferentes tipos de dados de pacotes, como objetos HTTP e SMB. A sintaxe para exportar objetos é a seguinte.

tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR

O PROTOCOLO especifica o tipo de objeto de exportação, enquanto o DESTINATION_DIR é o diretório que o Tshark usará para armazenar os arquivos exportados. Por exemplo, este comando irá exportar os arquivos que foram transportados através da rede e armazená-los no diretório “exported_files_dir”.

tshark -r network.pcap --export-objects http,exported_files_dir

Usando filtros de pacotes

Apenas como no Wireshark, você também pode filtrar pacotes com base em certos critérios. Você pode simplesmente colocar seus filtros entre aspas no final do comando.

tshark -r network.pcap "http.request.method == POST and http.file_data contains password"

O formato dos filtros que podem ser aplicados é idêntico ao do Wireshark. Você pode encontrar uma lista de filtros disponíveis aqui.

Você também pode especificar o formato de saída para os dados decodificados do pacote usando o sinalizador “-T”. Por exemplo, este comando irá exibir todas as requisições HTTP GET no formato JSON.

tshark -r network.pcap -T json "http.request.method==GET"

Finalmente, você pode processar a saída do Tshark pipingando-a para outras ferramentas de linha de comando como o grep.

Conclusion

Este post introduz apenas uma pequena fração do que o Wireshark e o Tshark podem fazer. Eles são ferramentas versáteis e capazes de realizar muitos tipos diferentes de análise.

Se você estiver interessado em aprender mais sobre essas ferramentas, visite a documentação deles aqui.

Deixe uma resposta

O seu endereço de email não será publicado.