Învățați să folosiți instrumentul Wireshark în linia de comandă: TShark
Wireshark este cel mai utilizat analizor de protocol de rețea din lume. Acesta vă permite să vă scufundați în traficul capturat și să analizați ce se întâmplă în cadrul unei rețele. Astăzi, haideți să vorbim despre cum puteți folosi interfața de linie de comandă a lui Wireshark, Tshark, pentru a obține rezultate similare.
Vom trece prin câteva exemple de comenzi, așa că nu ezitați să folosiți un fișier PCAP pentru a urmări! Puteți găsi câteva exemple de fișiere de captură aici.
Fără un fișier de intrare, Tshark acționează pur și simplu ca Tcpdump. Acesta va captura traficul din prima rețea disponibilă și va afișa pachetele sale la ieșirea standard. Alternativ, puteți utiliza indicatorul „-r” pentru a specifica fișierul de captură a rețelei.
tshark -r network.pcap
În acest fel, Tshark va afișa pachetele din fișierul de captură în ieșirea standard. Să aruncăm o privire la o linie de ieșire!
35 29.947879 192.168.0.55 → 192.168.0.91 HTTP 423 HTTP/1.1 200 OK
Aceasta poate părea complicat, dar amintiți-vă că ieșirea liniei de comandă a lui Tshark oglindește interfața Wireshark. Câmpurile de la stânga la dreapta în ieșirea liniei de comandă sunt:
Packet number, Time, Source, Destination, Protocol, Length, Info
35, 29.947879, 192.168.0.55, 192.168.0.91, HTTP, 423, HTTP/1.1 200 OK
Câmpul „Time” arată când a fost capturat pachetul. Câmpurile „Source” (Sursă) și „Destination” (Destinație) arată IP-ul sursă și IP-ul destinație al pachetului respectiv. Câmpul „Protocol” afișează protocolul utilizat. Câmpul „Length” (Lungime) arată lungimea pachetului. Și, în cele din urmă, câmpul „Info” afișează orice informații suplimentare despre pachet.
Puteți filtra aceste rezumate ale pachetelor trecând ieșirea lui Tshark în grep. De exemplu, această comandă va afișa pachetele cu un cod de stare HTTP „200 OK”.
tshark -r network.pcap | grep "200 OK"
Exportul pachetelor interesante
Puteți examina conținutul pachetelor prin exportul obiectelor acestora. Exportul de obiecte în Tshark vă permite să extrageți diferite tipuri de date ale pachetelor, cum ar fi obiectele HTTP și SMB. Sintaxa pentru exportul de obiecte este următoarea:
tshark -r network.pcap --export-objects PROTOCOL,DESTINATION_DIR
Protocolul specifică tipul de obiect de export, în timp ce DESTINATION_DIR este directorul pe care Tshark îl va utiliza pentru a stoca fișierele exportate. De exemplu, această comandă va exporta fișierele care au fost transportate prin rețea și le va stoca în directorul „exported_files_dir”.
tshark -r network.pcap --export-objects http,exported_files_dir
Utilizarea filtrelor de pachete
La fel ca în Wireshark, puteți, de asemenea, să filtrați pachetele în funcție de anumite criterii. Puteți pur și simplu să puneți filtrele între ghilimele la sfârșitul comenzii.
tshark -r network.pcap "http.request.method == POST and http.file_data contains password"
Formul filtrelor care pot fi aplicate este identic cu cel din Wireshark. Puteți găsi o listă a filtrelor disponibile aici.
Puteți specifica, de asemenea, formatul de ieșire pentru datele decodate ale pachetelor folosind steagul „-T”. De exemplu, această comandă va afișa toate solicitările HTTP GET în format JSON.
tshark -r network.pcap -T json "http.request.method==GET"
În cele din urmă, puteți procesa ieșirea din Tshark trimițând-o în alte instrumente de linie de comandă, cum ar fi grep.
Concluzie
Acest post prezintă doar o mică parte din ceea ce Wireshark și Tshark pot face. Acestea sunt instrumente versatile care sunt capabile să efectueze multe tipuri diferite de analiză.
Dacă sunteți interesat să aflați mai multe despre aceste instrumente, vizitați documentația lor aici.
.