„Wireshark“ komandų eilutės sąsajos „tshark“ vadovas

Ankstesnėse „Wireshark“ pamokose aptarėme pagrindines pažengusio lygio temas. Šiame straipsnyje mes suprasime ir apimsime „Wireshark“ komandinės eilutės sąsają, t.e., tsharkas. „Wireshark“ terminalo versija palaiko panašias parinktis ir yra labai naudinga, kai nėra grafinės vartotojo sąsajos (GUI).

Nors teoriškai grafinę vartotojo sąsają naudoti yra daug paprasčiau, ne visos jos palaiko, ypač serverio aplinkose, kuriose yra tik komandų eilutės parinktys. Taigi tam tikru metu kaip tinklo administratorius ar saugos inžinierius turėsite naudoti komandinės eilutės sąsają. Svarbu pažymėti, kad „tshark“ kartais naudojamas kaip „tcpdump“ pakaitalas. Nors abu įrankiai eismo fiksavimo funkcijose yra beveik lygiaverčiai, „tshark“ yra daug galingesnis.

Geriausia, ką galite padaryti, tai naudoti „tshark“, kad nustatytumėte savo serverio prievadą, kuris persiunčia informaciją jūsų sistemai, kad galėtumėte užfiksuoti srautą analizei naudodami GUI. Tačiau kol kas sužinosime, kaip jis veikia, kokie yra jo atributai ir kaip galite jį panaudoti pagal visas savo galimybes.

Įveskite šią komandą, kad įdiegtumėte „tshark“ „Ubuntu“ / „Debian“ naudodami apt-get:

[apsaugotas el. pašto adresas]: ~ $ sudo apt-get install tshark -y

Dabar įveskite tshark -pagalba išvardyti visus galimus argumentus su atitinkamomis vėliavomis, kuriuos galime perduoti komandai tsharkas.

[apsaugotas el. paštas]: ~ $ tshark --help | galva -20
„TShark“ („Wireshark“) 2.6.10 (Git v2.6.10 supakuotas kaip 2.6.10-1 ~ ubuntu18.04.0)
Išmeskite ir išanalizuokite tinklo srautą.
Žr. Https: // www.laidinis ryklys.org daugiau informacijos.
Naudojimas: „tshark“ [parinktys]…
Užfiksuoti sąsają:
-i sąsajos pavadinimas arba IDX (def: pirmasis neprisijungęs)
-f paketų filtras libpcap filtro sintaksėje
-s paketo momentinės nuotraukos ilgis (def: tinkamas maksimalus)
-p nefiksuokite grėsmingu režimu
-Fotografuoju monitoriaus režimu, jei toks yra
-B branduolio buferio dydis (def: 2 MB)
-y nuorodos sluoksnio tipas (def: pirmasis tinkamas)
--laiko žymos tipo laiko žymės metodas sąsajai
-D spausdinti sąsajų sąrašą ir išeiti
-L spausdinti „iface“ ir „exit“ nuorodų sluoksnių tipų sąrašą
--„list-time-stamp-type“ spausdina „iface“ ir „exit“ laiko žymių tipų sąrašą
Fiksavimo sustabdymo sąlygos:

Galite pastebėti visų galimų parinkčių sąrašą. Šiame straipsnyje mes išsamiai aptarsime daugumą argumentų ir suprasite šios terminalo „Wireshark“ versijos galią.

Tinklo sąsajos pasirinkimas:

Norėdami atlikti tiesioginį fiksavimą ir analizę šiame įrankyje, pirmiausia turime išsiaiškinti savo darbo sąsają. Tipas tshark -D ir „tshark“ surašys visas galimas sąsajas.

[saugomas el. paštas]: ~ $ tshark -D
1. enp0s3
2. bet koks
3. štai (atgalinis ryšys)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump („Cisco“ nuotolinis fiksavimas)
8. randpkt (atsitiktinių paketų generatorius)
9. sshdump (SSH nuotolinis fiksavimas)
10. udpdump (nuotolinis UDP klausytuvo fiksavimas)

Atminkite, kad ne visos išvardytos sąsajos veiks. Tipas ifconfig rasti savo sistemoje veikiančias sąsajas. Mano atveju taip enp0s3.

Užfiksuoti srautą:

Norėdami pradėti tiesioginio fiksavimo procesą, naudosime tsharkas komanda su „-i“Parinktį pradėti fiksavimo procesą iš darbinės sąsajos.

[apsaugotas el. paštas]: ~ $ tshark -i enp0s3

Naudokite „Ctrl“ + C sustabdyti tiesioginį fiksavimą. Pirmiau pateiktoje komandoje užfiksuotą srautą nukreipiau į „Linux“ komandą galva kad būtų parodyti keli pirmieji užfiksuoti paketai. Arba taip pat galite naudoti „-c“ Sintaksė užfiksuotin “ pakelių skaičius.

[apsaugotas el. paštas]: ~ $ tshark -i enp0s3 -c 5

Jei tik įeisi tsharkas, pagal numatytuosius nustatymus jis nepradės fiksuoti srauto visose prieinamose sąsajose ir neklausys jūsų darbinės sąsajos. Vietoj to, jis užfiksuos paketus pirmoje išvardytoje sąsajoje.

Taip pat galite naudoti šią komandą, kad patikrintumėte kelias sąsajas:

[apsaugotas el. paštas]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

Tuo tarpu kitas būdas užfiksuoti srautą yra naudoti numerį šalia išvardytų sąsajų.

[apsaugotas el. paštas]: ~ $ tshark -i interface_number

Tačiau esant kelioms sąsajoms, sunku sekti jų išvardytus numerius.

Fiksavimo filtras:

Fiksavimo filtrai žymiai sumažina užfiksuoto failo dydį. „Tshark“ naudoja Berkeley paketų filtro sintaksę -f „“, Kurį taip pat naudoja tcpdump. Mes naudosime parinktį „-f“, kad užfiksuotume tik 80 ar 53 prievadų paketus, o „-c“ - tik 10 pirmųjų paketų rodymui.

[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -f "80 prievadas arba 53" prievadas -c 10

Užfiksuoto srauto išsaugojimas faile:

Svarbiausia atkreipti dėmesį į pirmiau pateiktą ekrano kopiją, kad rodoma informacija nėra išsaugoma, taigi ji yra mažiau naudinga. Mes naudojame argumentą „-wIšsaugoti užfiksuotą tinklo srautą test_capture.pcap į / tmp aplanką.

[apsaugotas el. pašto adresas]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

Kadangi, .pcap yra „Wireshark“ failo tipo plėtinys. Išsaugoję failą, vėliau galėsite peržiūrėti ir išanalizuoti srautą mašinoje naudodami „Wireshark“ GUI.

Tai yra gera praktika išsaugoti failą /tmp nes šiam aplankui nereikia jokių vykdymo teisių. Jei išsaugosite jį kitame aplanke, net jei naudojate „tshark“ su root teisėmis, programa dėl saugumo priežasčių atsisakys leidimo.

Panagrinėkime visus galimus būdus, kuriais galite:

taikyti duomenų rinkimo ribas, tokias kaip išeinantys tsharkas arba automatiškai sustabdyti fiksavimo procesą ir
išvesties failus.

Automatinio sustabdymo parametras:

Galite naudoti „-a“Parametras, jei norite įtraukti galimas žymas, pvz., Failo trukmės trukmę ir failus. Šioje komandoje mes naudojame automatinio stabdymo parametrą su trukmė vėliava sustabdyti procesą per 120 sekundžių.

[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -a trukmė: 120 -w / tmp / test_capture.pcap

Panašiai, jei jums nereikia, kad failai būtų ypač dideli, failo dydis yra puiki vėliava sustabdyti procesą po tam tikrų KB apribojimų.

[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -a failo dydis: 50 -w / tmp / test_capture.pcap

Svarbiausia, failus vėliava leidžia sustabdyti fiksavimo procesą po daugybės failų. Bet tai gali būti įmanoma tik sukūrus kelis failus, kuriems atlikti reikia dar vieno naudingo parametro - surinkimo išvesties.

Užfiksuoti išvesties parametrą:

Užfiksuokite išvestį, dar žinomą kaip „ringbuffer“ argumentas “-b“, Ateina kartu su tomis pačiomis vėliavomis kaip ir automatinis sustabdymas. Tačiau naudojimas / išvestis yra šiek tiek kitoks, t.e., vėliavos trukmė ir failo dydis, nes tai leidžia perjungti arba išsaugoti paketus į kitą failą pasiekus nurodytą laiko limitą sekundėmis arba failo dydžiu.

Žemiau esanti komanda rodo, kad srautą fiksuojame per savo tinklo sąsają enp0s3, ir fiksuoti srautą naudojant fiksavimo filtrą “-fTcp ir dns. Mes naudojame žiedinio buferio parinktį „-b“ su a failo dydis vėliava išsaugoti kiekvieną dydžio failą 15 Kb, taip pat naudokite argumentą „Autostop“ nurodydami failų skaičių naudodami failus parinktis tokia, kad sugeneravus tris failus, sustabdomas fiksavimo procesas.

[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -f "53 arba 21" prievadas -b failų dydis: 15 -a failai: 2 -w / tmp / test_capture.pcap

Aš padalinau savo terminalą į du ekranus, kad galėčiau aktyviai stebėti trijų kūrimą .„Pcap“ failai.

Eik į savo / tmp aplanką ir naudokite šią komandą antrame terminale, kad stebėtumėte atnaujinimus kas sekundę.

[apsaugotas el. paštu]: ~ $ watch -n 1 "ls -lt"

Dabar nereikia įsiminti visų šių vėliavų. Vietoj to įveskite komandą tshark -i enp0s3 -f „53 arba 21 prievado“ -b failų dydis: 15 -a terminale ir paspauskite Tab. Visų galimų vėliavų sąrašas bus rodomas ekrane.

[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -f "53 prievadas arba 21 prievadas -b failų dydis: 15 -a
trukmė: failai: failų dydis:
[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -f "53 prievadas arba 21 prievadas -b failų dydis: 15 -a

Skaitymas .pcap failai:

Svarbiausia, kad galite naudoti „-r“Parametras, skirtas nuskaityti test_capture.suraskite failus ir prijunkite jį prie galva komandą.

[apsaugotas el. paštas]: ~ $ tshark -r / tmp / test_capture.pcap | galva

Išvesties faile rodoma informacija gali būti kiek didžiulė. Norėdami išvengti nereikalingos informacijos ir geriau suprasti bet kurį konkretų paskirties IP adresą, mes naudojame -r parinktis skaityti užfiksuotą paketinį failą ir naudoti ip.adresas filtras nukreipti išvestį į naują failą su „-w“Parinktį. Tai leis mums peržiūrėti failą ir patikslinti analizę taikant kitus filtrus.

[apsaugotas el. paštas]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / redirected_file.pcap ip.dst == 216.58.209.142
[apsaugotas el. paštas]: ~ $ tshark -r / tmp / redirected_file.pcap | galva
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 programos duomenys
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 programos duomenys
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 programos duomenys
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 programos duomenys
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 programos duomenys
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [surinkto PDU TCP segmentas]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 programos duomenys
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Programos duomenys
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 programos duomenys
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 programos duomenys

Išvesties laukų pasirinkimas:

Aukščiau nurodytos komandos pateikia kiekvieno paketo, kuriame yra įvairūs antraštės laukai, suvestinę. „Tshark“ taip pat leidžia peržiūrėti nurodytus laukus. Norėdami nurodyti lauką, mes naudojame-T laukas“Ir ištraukite laukus pagal mūsų pasirinkimą.

Po to, kai "-T laukas“Jungikliu, mes naudojame parinktį„ -e “, norėdami spausdinti nurodytus laukus / filtrus. Čia mes galime naudoti „Wireshark“ ekrano filtrus.

[apsaugotas el. paštas]: ~ $ tshark -r / tmp / test_capture.pcap -T laukai -e rėmas.skaičius -e ip.src -e ip.dst | galva
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Užfiksuoti užkoduotus rankos paspaudimo duomenis:

Iki šiol išmokome išsaugoti ir skaityti išvesties failus naudodami įvairius parametrus ir filtrus. Dabar sužinosime, kaip HTTPS inicijuoja sesijos „tshark“. Svetainės, pasiekiamos per HTTPS, o ne HTTP, užtikrina saugų arba užšifruotą duomenų perdavimą laidu. Kad būtų užtikrintas saugus perdavimas, „Transport Layer Security“ šifravimas pradeda rankos paspaudimo procesą, kad būtų pradėtas ryšys tarp kliento ir serverio.

Užfiksuokime ir supraskime TLS rankos paspaudimą naudodami „tshark“. Suskirstykite terminalą į du ekranus ir naudokite a wget komandą iš HTML failo gauti https: // www.laidinis ryklys.org.

[apsaugotas el. paštas]: ~ $ wget https: // www.laidinis ryklys.org
--2021-01-09 18: 45: 14-- https: // www.laidinis ryklys.org /
Prisijungiama prie www.laidinis ryklys.org (www.laidinis ryklys.104).26.10.240 |: 443 ... prijungtas.
HTTP užklausa išsiųsta, laukia atsakymo ... 206 Dalinis turinys
Ilgis: liko 46892 (46K), 33272 (32K) [tekstas / html]
Išsaugoma: 'index.HTML '
indeksas.HTML 100% [++++++++++++++ ================================== ==>] 45.79K 154KB / s per 0.2s
2021-01-09 18:43:27 (154 KB / s) - indeksas.html 'išsaugotas [46892/46892]

Kitame ekrane mes naudosime „tshark“, kad užfiksuotume pirmuosius 11 paketų naudodami „-c" parametras. Atliekant analizę laiko žymos yra svarbios įvykiams rekonstruoti, todėl mes naudojame-t skelbimas“, Tokiu būdu, kad„ tshark “prideda laiko žymą prie kiekvieno užfiksuoto paketo. Galiausiai mes naudojame pagrindinio kompiuterio komandą, norėdami užfiksuoti paketus iš bendro pagrindinio kompiuterio IP adresas.

Šis rankos paspaudimas yra gana panašus į TCP rankos paspaudimą. Kai tik TCP trijų krypčių rankos paspaudimas bus baigtas pirmuose trijuose paketuose, ketvirtasis – devintasis paketai laikosi šiek tiek panašaus rankos paspaudimo ritualo ir apima TLS eilutes, kad būtų užtikrintas šifruotas abiejų šalių ryšys.

[apsaugotas el. paštu]: ~ $ tshark -i enp0s3 -c 11 -t skelbimo priegloba 104.26.10.240
Užfiksuojama „enp0s3“
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] seka = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Eilė = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] seka = 1 Ack = 1 laimėjimas = 64240 Len = 0
4 2021-01-09 18:45:14.10.0.2.15 → 104.26.10.240 TLSv1 373 klientas Sveiki
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Eilė = 1 Ack = 320 Laimėti = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 serveris Sveiki, keiskite šifrą Spec
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] seka = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 programos duomenys
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] seka = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Keisti šifro specifikacijas, programos duomenis
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] seka = 2519 Ack = 400 pergalė = 65535 Len = 0
Užfiksuota 11 pakelių

Peržiūri visą paketą:

Vienintelis komandinės eilutės įrankio trūkumas yra tas, kad jis neturi GUI, nes jis tampa labai patogus, kai reikia ieškoti daug interneto srauto, taip pat siūlo „Packet Panel“, kuriame rodoma visa išsami informacija apie paketus. akimirksniu. Tačiau vis tiek įmanoma patikrinti paketą ir išmesti visą paketo informaciją, rodomą GUI paketų skydelyje.

Norėdami patikrinti visą paketą, mes naudojame ping komandą su parinktimi „-c“, kad užfiksuotume vieną paketą.

[apsaugotas el. paštas]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) duomenų baitai.
64 baitai nuo 104.26.10.240: icmp_seq = 1 ttl = 55 laikas = 105 ms
--- 104.26.10.240 ping statistikos ---
1 perduotas paketas, 1 gautas, 0% paketų praradimas, laikas 0 ms
rtt min / avg / max / mdev = 105.095/105.095/105.095/0.000 ms

Kitame lange naudokite komandą „tshark“ su papildoma vėliava, kad būtų rodoma visa paketo informacija. Galite pastebėti įvairias skiltis, kuriose pateikiama rėmelių, „Ethernet II“, IPV ir ICMP informacija.

[apsaugotas el. pašto adresas]: ~ $ tshark -i enp0s3 -c 1 -V host 104.26.10.240
1 kadras: 98 baitai ant vielos (784 bitai), 98 baitai užfiksuoti (784 bitai) 0 sąsajoje
Sąsajos ID: 0 (enp0s3)
Sąsajos pavadinimas: enp0s3
Kapsuliavimo tipas: Ethernet (1)
Atvykimo laikas: 2021 m. Sausio 9 d. 21:23:39.167581606 PKT
[Laiko poslinkis šiam paketui: 0.000000000 sekundžių]
Epochos laikas: 1610209419.167581606 sekundės
[Laiko delta nuo ankstesnio užfiksuoto kadro: 0.000000000 sekundžių]
[Laiko delta nuo ankstesnio rodyto kadro: 0.000000000 sekundžių]
[Laikas nuo atskaitos ar pirmo kadro: 0.000000000 sekundžių]
Rėmelio numeris: 1
Rėmo ilgis: 98 baitai (784 bitai)
Fotografavimo ilgis: 98 baitai (784 bitai)
[Rėmelis pažymėtas: Neteisingas]
[Rėmelis ignoruojamas: klaidinga]
[Rėmelių protokolai: eth: ethertype: ip: icmp: duomenys]
„Ethernet II“, „Src“: „PcsCompu_17: fc: a6“ (08: 00: 27: 17: fc: a6), „Dst“: „RealtekU_12: 35: 02“ (52: 54: 00: 12: 35: 02)
Paskirties vieta: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresas: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: lokaliai administruojamas adresas (tai NĖRA gamyklinė numatytoji)
… 0… = IG bitai: individualus adresas (unikalus siuntimas)
Šaltinis: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresas: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Sąsajos ID: 0 (enp0s3)
Sąsajos pavadinimas: enp0s3
Kapsuliavimo tipas: Ethernet (1)
Atvykimo laikas: 2021 m. Sausio 9 d. 21:23:39.167581606 PKT
[Laiko poslinkis šiam paketui: 0.000000000 sekundžių]
Epochos laikas: 1610209419.167581606 sekundės
[Laiko delta nuo ankstesnio užfiksuoto kadro: 0.000000000 sekundžių]
[Laiko delta nuo ankstesnio rodyto kadro: 0.000000000 sekundžių]
[Laikas nuo atskaitos ar pirmo kadro: 0.000000000 sekundžių]
Rėmelio numeris: 1
Rėmo ilgis: 98 baitai (784 bitai)
Fotografavimo ilgis: 98 baitai (784 bitai)
[Rėmelis pažymėtas: Neteisingas]
[Rėmelis ignoruojamas: klaidinga]
[Rėmelių protokolai: eth: ethertype: ip: icmp: duomenys]
„Ethernet II“, „Src“: „PcsCompu_17: fc: a6“ (08: 00: 27: 17: fc: a6), „Dst“: „RealtekU_12: 35: 02“ (52: 54: 00: 12: 35: 02)
Paskirties vieta: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresas: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bitas: lokaliai administruojamas adresas (tai NĖRA numatytoji gamyklinė versija)
… 0… = IG bitai: individualus adresas (unikalus siuntimas)
Šaltinis: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresas: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bit: unikalus adresas visame pasaulyje (gamyklinis numatytasis nustatymas)
… 0… = IG bitai: individualus adresas (unikalus siuntimas)
Tipas: IPv4 (0x0800)
Interneto protokolo 4 versija, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Versija: 4
… 0101 = Antraštės ilgis: 20 baitų (5)
Diferencijuotas paslaugų laukas: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = diferencijuotas paslaugų centras: numatytasis (0)
… 00 = aiškus pranešimas apie perkrovą: transportas negalimas naudojant ECN (0)
Bendras ilgis: 84
Identifikacija: 0xcc96 (52374)
Vėliavos: 0x4000, neskaidykite
0… = rezervuotas bitas: nenustatytas
.1… = Neskaidyti: nustatyti
… 0… = Daugiau fragmentų: nenustatyta
… 0 0000 0000 0000 = fragmento poslinkis: 0
Laikas gyventi: 64
Protokolas: ICMP (1)
Antraštės kontrolinė suma: 0xeef9 [patvirtinimas išjungtas]
[Antraštės kontrolinės sumos būsena: nepatvirtinta]
Šaltinis: 10.0.2.15
Paskirties vieta: 104.26.10.240
Interneto valdymo pranešimų protokolas
Tipas: 8 (aido (ping) užklausa)
Kodas: 0
Kontrolinė suma: 0x0cb7 [teisinga]
[Kontrolinės sumos būsena: gera]
Identifikatorius (BE): 5038 (0x13ae)
Identifikatorius (LE): 44563 (0xae13)
Eilės numeris (BE): 1 (0x0001)
Eilės numeris (LE): 256 (0x0100)
Laiko antspaudas iš icmp duomenų: 2021 m. Sausio 9 d. 21:23:39.000000000 PKT
[Laiko antspaudas iš icmp duomenų (santykinis): 0.167581606 sekundės]
Duomenys (48 baitai)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Duomenys: 918e02000000000000101112131415161718191a1b1c1d1e1f…
[Ilgis: 48]

Išvada:

Didžiausias paketų analizės aspektas yra svarbiausios informacijos radimas ir nenaudingų bitų nepaisymas. Nors grafinės sąsajos yra lengvos, jos negali prisidėti prie automatizuoto tinklo paketų analizės. Šiame straipsnyje jūs sužinojote naudingiausius „tshark“ parametrus tinklo srauto failams fiksuoti, rodyti, išsaugoti ir skaityti.

„Tshark“ yra labai patogi programa, skaitanti ir rašanti „Wireshark“ palaikomus fiksavimo failus. Ekrano ir fiksavimo filtrų derinys daug prisideda dirbant pažangesnio lygio naudojimo atvejais. Mes galime pasinaudoti „tshark“ galimybe spausdinti laukus ir tvarkyti duomenis pagal mūsų nuodugnios analizės reikalavimus. Kitaip tariant, jis gali atlikti praktiškai viską, ką daro „Wireshark“. Svarbiausia, kad jis puikiai tinka paketams uostyti nuotoliniu būdu naudojant ssh, kuris yra kitos dienos tema.