Phenquestions
Kaut arī teorētiski grafisko lietotāja saskarni ir daudz vieglāk izmantot, ne visas vides to atbalsta, it īpaši serveru vidēs ar tikai komandrindas opcijām. Tādējādi kādā brīdī kā tīkla administratoram vai drošības inženierim jums būs jāizmanto komandrindas saskarne. Svarīgi atzīmēt, ka tshark dažreiz tiek izmantots kā tcpdump aizstājējs. Lai gan abi rīki ir gandrīz līdzvērtīgi satiksmes uztveršanas funkcionalitātē, tshark ir daudz jaudīgāks.
Labākais, ko varat darīt, ir izmantot tshark, lai serverī iestatītu portu, kas pārsūta informāciju uz jūsu sistēmu, lai jūs varētu uztvert trafiku analīzei, izmantojot GUI. Tomēr pagaidām mēs uzzināsim, kā tas darbojas, kādi ir tā atribūti un kā jūs varat to izmantot pēc iespējas labāk.
Ierakstiet šādu komandu, lai instalētu tshark Ubuntu / Debian, izmantojot apt-get:
[e-pasts aizsargāts]: ~ $ sudo apt-get install tshark -yTagad ierakstiet tshark -palīdzība uzskaitīt visus iespējamos argumentus ar attiecīgajiem karodziņiem, kurus mēs varam nodot komandai tshark.
[aizsargāts ar e-pastu]: ~ $ tshark --help | galva -20TShark (Wireshark) 2.6.10 (Git v2.6.10 iepakots kā 2.6.10-1 ~ ubuntu18.04.0)
Izmēģiniet un analizējiet tīkla trafiku.
Skatīt https: // www.vadu haizivs.org, lai iegūtu vairāk informācijas.
Lietojums: tshark [opcijas]…
Tveršanas saskarne:
-i
-f
-s
-p neuztveriet izlaidīgā režīmā
-Es tveru monitora režīmā, ja pieejams
-B
-y saites slāņa tips (def: pirmais atbilstošais)
--laika zīmoga tips
-D izdrukāt saskarņu sarakstu un iziet
-L drukas saraksts ar iface un izejas saites slāņa veidiem
--list-time-stamp-tips izdrukā laika zīmogu veidu sarakstu iface un exit
Uzņemšanas apstāšanās apstākļi:
Jūs varat pamanīt visu pieejamo iespēju sarakstu. Šajā rakstā mēs detalizēti aplūkosim lielāko daļu argumentu, un jūs sapratīsit šīs uz terminālu orientētās Wireshark versijas spēku.
Tīkla saskarnes izvēle:
Lai veiktu tiešraides uztveršanu un analīzi šajā lietderībā, mums vispirms ir jāizdomā mūsu darba saskarne. Tips tshark -D un tshark uzskaitīs visas pieejamās saskarnes.
[e-pasts aizsargāts]: ~ $ tshark -D1. enp0s3
2. jebkurš
3. lūk (cilpa)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (Cisco attālā uztveršana)
8. randpkt (izlases pakešu ģenerators)
9. sshdump (SSH attālā uztveršana)
10. udpdump (UDP klausītāja attālā uztveršana)
Ņemiet vērā, ka ne visas uzskaitītās saskarnes darbosies. Tips ifconfig lai savā sistēmā atrastu darbojošās saskarnes. Manā gadījumā tā ir enp0s3.
Tveriet trafiku:
Lai sāktu tiešās uzņemšanas procesu, mēs izmantosim tshark komandu ar “-i”Iespēju sākt uztveršanas procesu no darbvirsmas.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3Izmantot Ctrl + C lai apturētu tiešraides uzņemšanu. Iepriekš minētajā komandā esmu piesaistījis datplūsmu komandai Linux galva lai parādītu pirmās pāris uzņemtās paketes. Vai arī varat izmantot arī “-c
Ja jūs tikai ievadāt tshark, pēc noklusējuma tas nesāks uztvert trafiku visās pieejamās saskarnēs, kā arī neklausīsies jūsu darba saskarnē. Tā vietā tas uztvers paketes pirmajā uzskaitītajā saskarnē.
Varat arī izmantot šo komandu, lai pārbaudītu vairākas saskarnes:
[e-pasts aizsargāts]: ~ $ tshark -i enp0s3 -i usbmon1 -i loTikmēr vēl viens veids, kā iegūt uztveršanas trafiku, ir izmantot numuru blakus uzskaitītajām saskarnēm.
[aizsargāts ar e-pastu]: ~ $ tshark -i interfeisa numursTomēr, ja ir vairākas saskarnes, ir grūti izsekot viņu uzskaitītajiem numuriem.
Uzņemšanas filtrs:
Uzņemšanas filtri ievērojami samazina uzņemtā faila lielumu. Tshark izmanto Berkeley pakešu filtra sintaksi -f “
Uzņemtās datplūsmas saglabāšana failā:
Galvenais, kas jāņem vērā iepriekš redzamajā ekrānuzņēmumā, ir tā, ka redzamā informācija netiek saglabāta, tāpēc tā ir mazāk noderīga. Mēs izmantojam argumentu “-w”, Lai saglabātu tverto tīkla trafiku test_capture.pcap iekšā / tmp mapi.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcapTā kā, .pcap ir Wireshark faila tipa paplašinājums. Saglabājot failu, vēlāk varat pārskatīt un analizēt trafiku mašīnā, izmantojot Wireshark GUI.
Ir laba prakse failu saglabāt mapē /tmp jo šai mapei nav nepieciešamas nekādas izpildes privilēģijas. Ja to saglabājat citā mapē, pat ja jūs izmantojat tshark ar root tiesībām, programma drošības apsvērumu dēļ atteiks atļauju.
Izpētīsim visus iespējamos veidus, kā jūs varat:
- piemērot ierobežojumus datu tveršanai, piemēram, iziešanai tshark vai automātiski apturēt uzņemšanas procesu, un
- izvades failus.
Automātiskās apstāšanās parametrs:
Varat izmantot “-a”Parametrs, lai iekļautu pieejamos karodziņus, piemēram, faila ilgumu un failus. Šajā komandā mēs izmantojam parametru autostop ar ilgums karodziņu, lai apturētu procesu 120 sekunžu laikā.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -a ilgums: 120 -w / tmp / test_capture.pcapLīdzīgi, ja jums nav nepieciešami īpaši lieli faili, faila lielums ir ideāls karogs, lai apturētu procesu pēc dažiem KB ierobežojumiem.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -a faila izmērs: 50 -w / tmp / test_capture.pcapVissvarīgāk, failus karodziņš ļauj apturēt tveršanas procesu pēc vairākiem failiem. Bet tas var būt iespējams tikai pēc vairāku failu izveidošanas, kam nepieciešams izpildīt vēl vienu noderīgu parametru - sagūstīt izvadi.
Uzņemt izejas parametru:
Uzņemt izvadi, aka ringbuffer arguments “-b“, Nāk kopā ar tiem pašiem karodziņiem kā autostop. Tomēr lietojums / izvade ir nedaudz atšķirīga, t.i.e., karogiem ilgums un faila lielums, jo tas ļauj pārslēgt paketes vai saglabāt tās citā failā pēc noteikta laika ierobežojuma sasniegšanas sekundēs vai faila lieluma.
Zemāk redzamā komanda parāda, ka mēs uztveram trafiku, izmantojot mūsu tīkla saskarni enp0s3, un uztveriet trafiku, izmantojot uztveršanas filtru “-f”Tcp un dns. Mēs izmantojam zvana bufera opciju “-b” ar a faila lielums karodziņu, lai saglabātu katru lieluma failu 15 Kb, un izmantojiet arī automātiskās apstāšanās argumentu, lai norādītu failu skaitu, izmantojot failus opcija tāda, ka pēc trīs failu ģenerēšanas tas pārtrauc uzņemšanas procesu.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -f "53. ports vai 21 ports" -b faila izmērs: 15 -a faili: 2 -w / tmp / test_capture.pcapEs esmu sadalījis savu termināli divos ekrānos, lai aktīvi uzraudzītu trīs izveidi .pcap faili.
Iet uz savu / tmp mapi un izmantojiet šo komandu otrajā terminālā, lai uzraudzītu atjauninājumus pēc katrām sekundēm.
[aizsargāts ar e-pastu]: ~ $ watch -n 1 "ls -lt"Tagad jums nav nepieciešams iegaumēt visus šos karodziņus. Tā vietā ierakstiet komandu tshark -i enp0s3 -f “53. vai 21. ports” -b faila izmērs: 15 -a terminālā un nospiediet Tab. Visu pieejamo karodziņu saraksts būs pieejams jūsu ekrānā.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -f "53. ports vai 21 ports" -b faila izmērs: 15 -ailgums: faili: faila izmērs:
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -f "53. ports vai 21 ports" -b faila izmērs: 15 -a
Lasīšana .pcap faili:
Vissvarīgākais ir tas, ka varat izmantot “-r”Parametru, lai nolasītu test_capture.pcap failus un caurule to galva komandu.
[aizsargāts ar e-pastu]: ~ $ tshark -r / tmp / test_capture.pcap | galvaInformācija, kas tiek parādīta izvades failā, var būt nedaudz pārliecinoša. Lai izvairītos no nevajadzīgas informācijas un labāk izprastu jebkuru konkrētu galamērķa IP adresi, mēs izmantojam -r opcija lasīt uztverto pakešu failu un izmantot ip.adrese filtru, lai novirzītu izvadi uz jaunu failu ar “-w”Opciju. Tas ļaus mums pārskatīt failu un uzlabot mūsu analīzi, izmantojot citus filtrus.
[aizsargāts ar e-pastu]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / redirected_file.pcap ip.dst == 216.58.209. lpp.142[aizsargāts ar e-pastu]: ~ $ tshark -r / tmp / redirected_file.pcap | galva
1 0.000000000 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 370 lietojumprogrammas dati
2 0.000168147 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 669 Lietojumprogrammas dati
3 0.011336222 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 5786 lietojumprogrammas dati
4 0.016413181 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 1093 Lietojumprogrammas dati
5 0.016571741 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 403 lietojumprogrammas dati
6 0.016658088 10.0.2.15 → 216.58.209. lpp.142 TCP 7354 [pārmontēta PDU TCP segments]
7 0.016738530 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 948 lietojumprogrammas dati
8 0.023006863 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 233 Lietojumprogrammas dati
9 0.023152548 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 669 Lietojumprogrammas dati
10 0.023324835 10.0.2.15 → 216.58.209. lpp.142 TLSv1.2 3582 lietojumprogrammas dati
Izvades lauku izvēle:
Iepriekš minētās komandas izdod katras paketes kopsavilkumu, kas ietver dažādus galvenes laukus. Tshark ļauj apskatīt arī norādītos laukus. Lai norādītu lauku, mēs izmantojam “-T lauks”Un iegūstiet laukus atbilstoši mūsu izvēlei.
Pēc tam, kad "-T lauks”Slēdzi, mēs izmantojam opciju“ -e ”, lai izdrukātu norādītos laukus / filtrus. Šeit mēs varam izmantot Wireshark displeja filtrus.
[aizsargāts ar e-pastu]: ~ $ tshark -r / tmp / test_capture.pcap -T lauki -e rāmis.numurs -e ip.src -e ip.dst | galva1 10.0.2.15 216.58.209. lpp.142
2 10.0.2.15 216.58.209. lpp.142
3 216.58.209. lpp.142 10.0.2.15
4 216.58.209. lpp.142 10.0.2.15
5 10.0.2.15 216.58.209. lpp.142
6 216.58.209. lpp.142 10.0.2.15
7 216.58.209. lpp.142 10.0.2.15
8 216.58.209. lpp.142 10.0.2.15
9 216.58.209. lpp.142 10.0.2.15
10 10.0.2.15 115.186.188.3
Tveriet šifrētus rokasspiediena datus:
Līdz šim mēs esam iemācījušies saglabāt un lasīt izejas failus, izmantojot dažādus parametrus un filtrus. Tagad mēs uzzināsim, kā HTTPS inicializē sesijas tshark. Vietnes, kurām piekļūst, izmantojot HTTPS, nevis HTTP, nodrošina drošu vai šifrētu datu pārraidi pa vadu. Lai nodrošinātu drošu pārsūtīšanu, transporta slāņa drošības šifrēšana sāk rokasspiediena procesu, lai sāktu saziņu starp klientu un serveri.
Uzņemsim un sapratīsim TLS rokasspiedienu, izmantojot tshark. Sadaliet termināli divos ekrānos un izmantojiet a wget komandu, no kuras izgūt HTML failu https: // www.vadu haizivs.org.
[e-pasts aizsargāts]: ~ $ wget https: // www.vadu haizivs.org--2021-01-09 18: 45: 14-- https: // www.vadu haizivs.org /
Savienojums ar www.vadu haizivs.org (www.vadu haizivs.org) | 104.26.10.240 |: 443 ... savienots.
HTTP pieprasījums nosūtīts, gaida atbildi ... 206 Daļējs saturs
Garums: atlikušais 46892 (46K), 33272 (32K) [teksts / html]
Saglabāšana: 'indeksā.html '
indekss.html 100% [+++++++++++++++ ================================== ==>] 45.79K 154KB / s 0.2s
2021-01-09 18:43:27 (154 KB / s) - indekss.html 'saglabāts [46892/46892]
Citā ekrānā mēs izmantosim tshark, lai tvertu pirmās 11 paketes, izmantojot “-c”Parametrs. Veicot analīzi, laika zīmogi ir svarīgi, lai rekonstruētu notikumus, tāpēc mēs izmantojam “-t reklāma”, Tādā veidā, ka tshark pie katras uzņemtās paketes pievieno laika zīmogu. Visbeidzot, mēs izmantojam komandu resursdators, lai tvertu paketes no koplietojamā resursdatora IP adrese.
Šis rokasspiediens ir diezgan līdzīgs TCP rokasspiedienam. Tiklīdz TCP trīsvirzienu rokasspiediens beidzas pirmajās trīs paketēs, ceturtā līdz devītā pakete seko nedaudz līdzīgam rokasspiediena rituālam un ietver TLS virknes, lai nodrošinātu šifrētu saziņu starp abām pusēm.
[aizsargāts pa e-pastu]: ~ $ tshark -i enp0s3 -c 11 -t reklāmas resursdators 104.26.10.240Notveršana vietnē “enp0s3”
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Ack = 1 Win = 64240 Len = 0
4 2021-01-09 18:45:14.10 280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 klients Sveiki
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Ack = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Serveris Sveiki, mainiet šifru specifikāciju
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 lietojumprogrammas dati
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Mainīt šifra specifikāciju, lietojumprogrammas datus
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Ack = 400 Win = 65535 Len = 0
Notvertas 11 paciņas
Skata visu paketi:
Vienīgais komandrindas utilītas trūkums ir tas, ka tai nav GUI, jo tā kļūst ļoti ērta, ja nepieciešams meklēt lielu daudzumu interneta trafika, kā arī piedāvā pakešu paneli, kas parāda visu pakešu informāciju tūlītēja. Tomēr joprojām ir iespējams pārbaudīt pakešu un izmest visu paketēm paredzēto informāciju, kas parādīta GUI pakešu panelī.
Lai pārbaudītu visu paketi, mēs izmantojam ping komandu ar opciju “-c”, lai tvertu vienu paketi.
[aizsargāts ar e-pastu]: ~ $ ping -c 1 104.26.10.240PING 104.26.10.240 (104.26.10.240) 56 (84) datu baiti.
64 baiti no 104.26.10.240: icmp_seq = 1 ttl = 55 laiks = 105 ms
--- 104.26.10.240 ping statistika ---
1 pārsūtītas paketes, 1 saņemtas, 0% pakešu zudums, laiks 0 ms
rtt min / avg / max / mdev = 105.095/105.095/105.095/0.000 ms
Citā logā izmantojiet komandu tshark ar papildu karodziņu, lai parādītu visu pakešu informāciju. Jūs varat pamanīt dažādas sadaļas, parādot rāmjus, Ethernet II, IPV un ICMP informāciju.
[aizsargāts ar e-pastu]: ~ $ tshark -i enp0s3 -c 1 -V resursdators 104.26.10.2401. rāmis: 98 baiti uz stieples (784 biti), 98 baiti notverti (784 biti) 0 saskarnē
Saskarnes ID: 0 (enp0s3)
Saskarnes nosaukums: enp0s3
Iekapsulēšanas veids: Ethernet (1)
Ierašanās laiks: 2021. gada 9. janvāris 21:23:39.167581606 PKT
[Laika nobīde šai paketei: 0.000000000 sekundes]
Laikmeta laiks: 1610209419.167581606 sekundes
[Laika delta no iepriekšējā uzņemtā kadra: 0.000000000 sekundes]
[Laika delta no iepriekšējā parādītā rāmja: 0.000000000 sekundes]
[Laiks kopš atsauces vai pirmā kadra: 0.000000000 sekundes]
Rāmja numurs: 1
Rāmja garums: 98 baiti (784 biti)
Uzņemšanas garums: 98 baiti (784 biti)
[Rāmis ir atzīmēts: False]
[Rāmis tiek ignorēts: False]
[Protokoli rāmī: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Galamērķis: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adrese: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bits: lokāli administrēta adrese (tā NAV rūpnīcas noklusējums)
… 0… = IG bits: individuāla adrese (unikosta)
Avots: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adrese: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Saskarnes ID: 0 (enp0s3)
Saskarnes nosaukums: enp0s3
Iekapsulēšanas veids: Ethernet (1)
Ierašanās laiks: 2021. gada 9. janvāris 21:23:39.167581606 PKT
[Laika nobīde šai paketei: 0.000000000 sekundes]
Laikmeta laiks: 1610209419.167581606 sekundes
[Laika delta no iepriekšējā uzņemtā kadra: 0.000000000 sekundes]
[Laika delta no iepriekšējā parādītā rāmja: 0.000000000 sekundes]
[Laiks kopš atsauces vai pirmā kadra: 0.000000000 sekundes]
Rāmja numurs: 1
Rāmja garums: 98 baiti (784 biti)
Uzņemšanas garums: 98 baiti (784 biti)
[Rāmis ir atzīmēts: False]
[Rāmis tiek ignorēts: False]
[Protokoli rāmī: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Galamērķis: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adrese: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bits: lokāli administrēta adrese (tā NAV rūpnīcas noklusējums)
… 0… = IG bits: individuāla adrese (unikosta)
Avots: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adrese: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bits: globāli unikāla adrese (rūpnīcas noklusējums)
… 0… = IG bits: individuāla adrese (unikosta)
Tips: IPv4 (0x0800)
Interneta protokola 4. versija, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Versija: 4
… 0101 = Galvenes garums: 20 baiti (5)
Diferencēts pakalpojumu lauks: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = diferencēto pakalpojumu koda punkts: noklusējums (0)
… 00 = nepārprotams paziņojums par sastrēgumiem: nav ar EKT spējīgs transports (0)
Kopējais garums: 84
Identifikācija: 0xcc96 (52374)
Karodziņi: 0x4000, nedrupiniet
0… = rezervētais bits: nav iestatīts
.1… = Nesadaliet: iestatiet
… 0… = Vairāk fragmentu: nav iestatīts
… 0 0000 0000 0000 = Fragmenta nobīde: 0
Laiks dzīvot: 64
Protokols: ICMP (1)
Galvenes kontrolsumma: 0xeef9 [validācija atspējota]
[Galvenes kontrolsummas statuss: nepārbaudīts]
Avots: 10.0.2.15
Galamērķis: 104.26.10.240
Interneta vadības ziņojumu protokols
Tips: 8 (Echo (ping) pieprasījums)
Kods: 0
Kontrolsumma: 0x0cb7 [pareizs]
[Kontrolsummas statuss: labs]
Identifikators (BE): 5038 (0x13ae)
Identifikators (LE): 44563 (0xae13)
Secības numurs (BE): 1 (0x0001)
Secības numurs (LE): 256 (0x0100)
Laika zīmogs no icmp datiem: 2021. gada 9. janvāris 21:23:39.000000000 PKT
[Laika zīmogs no icmp datiem (relatīvs): 0.167581606 sekundes]
Dati (48 baiti)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Dati: 918e02000000000000101112131415161718191a1b1c1d1e1f…
[Garums: 48]
Secinājums:
Visgrūtākais pakešu analīzes aspekts ir visatbilstošākās informācijas atrašana un bezjēdzīgo bitu ignorēšana. Lai arī grafiskās saskarnes ir vienkāršas, tās nevar veicināt automatizētu tīkla pakešu analīzi. Šajā rakstā jūs uzzinājāt visnoderīgākos tshark parametrus tīkla trafika failu tveršanai, attēlošanai, saglabāšanai un lasīšanai.
Tshark ir ļoti ērta utilīta, kas lasa un raksta Wireshark atbalstītos uztveršanas failus. Displeja un uztveršanas filtru kombinācija dod lielu ieguldījumu, strādājot pie paaugstināta līmeņa lietošanas gadījumiem. Mēs varam izmantot tshark spēju drukāt laukus un manipulēt ar datiem atbilstoši mūsu prasībām padziļinātai analīzei. Citiem vārdiem sakot, tas spēj paveikt praktiski visu, ko Wireshark. Vissvarīgākais ir tas, ka tas ir ideāli piemērots pakešu šņaukšanai, izmantojot attālumu, izmantojot ssh, kas ir citas dienas tēma.
