Wireshark

Opas Wireshark-komentoriviliittymään tshark

Opas Wireshark-komentoriviliittymään tshark
Aikaisemmissa Wireshark-oppaissa olemme käsitelleet perustason ja edistyneen tason aiheita. Tässä artikkelissa ymmärrämme Wiresharkin komentoriviliittymän ja katamme sen.e., tshark. Wiresharkin päätelaite tukee samanlaisia ​​vaihtoehtoja ja on paljon hyödyllinen, kun graafista käyttöliittymää (GUI) ei ole käytettävissä.

Vaikka graafista käyttöliittymää on teoriassa paljon helpompi käyttää, kaikki ympäristöt eivät tue sitä, etenkään palvelinympäristöt, joissa on vain komentorivivaihtoehdot. Siksi sinun on jossakin vaiheessa verkon ylläpitäjänä tai tietoturvainsinöörinä käytettävä komentoriviliitäntää. Tärkeää on huomata, että tsharkia käytetään joskus tcpdumpin korvikkeena. Vaikka molemmat työkalut ovat melkein samanlaisia ​​liikenteen sieppaustoiminnoissa, tshark on paljon tehokkaampi.

Parasta mitä voit tehdä, on käyttää tsharkia asettamaan palvelimelle portti, joka välittää tiedot järjestelmään, jotta voit siepata liikennettä analysoitavaksi GUI: n avulla. Toistaiseksi opimme kuitenkin, miten se toimii, mitkä ovat sen ominaisuudet ja miten voit käyttää sitä parhaalla mahdollisella tavalla.

Kirjoita seuraava komento asentaaksesi tsharkin Ubuntuun / Debianiin apt-get: n avulla:

[sähköposti suojattu]: ~ $ sudo apt-get install tshark -y

Kirjoita nyt tshark -apu luetella kaikki mahdolliset argumentit lippuineen, jotka voimme välittää komennolle tshark.

[sähköposti suojattu]: ~ $ tshark --help | pää -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 pakattuna 2.6.10-1 ~ ubuntu18.04.0)
Tyhjennä ja analysoi verkkoliikenne.
Katso https: // www.lankahai.org saadaksesi lisätietoja.
Käyttö: tshark [vaihtoehdot]…
Sieppaa käyttöliittymä:
-i käyttöliittymän nimi tai idx (def: ensimmäinen ei-loopback)
-f pakettisuodatin libpcap-suodattimen syntaksissa
-s paketin tilannevedoksen pituus (määritetty: sopiva enimmäismäärä)
-p älä sieppaa epäselvässä tilassa
-Tallennan monitoritilassa, jos käytettävissä
-B ytimen puskurin koko (määritetty: 2 Mt)
-y linkkitason tyyppi (def: ensimmäinen sopiva)
--aikaleima-tyyppi aikaleimamenetelmä käyttöliittymälle
-D tulosta luettelo liitännöistä ja poistu
-L tulosta luettelo iface- ja exit-linkkitasotyypeistä
--list-time-stamp-types tulosta luettelo iface- ja exit-aikaleimatyypeistä
Ota pysäytysolosuhteet:

Voit huomata luettelon kaikista käytettävissä olevista vaihtoehdoista. Tässä artikkelissa käsitellään suurinta osaa argumenteista yksityiskohtaisesti, ja ymmärrät tämän päätelaitteelle suunnatun Wireshark-version voiman.

Verkkoliitännän valitseminen:

Suorita reaaliaikainen sieppaus ja analyysi tässä apuohjelmassa meidän on ensin selvitettävä käyttöliittymä. Tyyppi tshark -D ja tshark listaa kaikki käytettävissä olevat käyttöliittymät.

[sähköposti suojattu]: ~ $ tshark -D
1. enp0s3
2. minkä tahansa
3. lo (silmukka)
4. nflog
5. nfqueue
6. usbmon 1
7. ciscodump (Ciscon etätallennus)
8. randpkt (satunnainen pakettigeneraattori)
9. sshdump (SSH-etätallennus)
10. udpdump (UDP-kuuntelijan etäsieppaus)

Huomaa, että kaikki luetellut rajapinnat eivät toimi. Tyyppi ifconfig löytää toimivia rajapintoja järjestelmästäsi. Minun tapauksessani se on enp0s3.

Sieppaa liikenne:

Suoran sieppauksen aloittamiseksi käytämme tshark komento-i”-Vaihtoehto aloittaaksesi sieppauksen käyttöliittymästä.

[sähköposti suojattu]: ~ $ tshark -i enp0s3

Käyttää Ctrl + C lopettaa reaaliaikainen sieppaus. Edellä olevassa komennossa olen johtanut kaapatun liikenteen Linux-komentoon pää muutamien ensimmäisten siepattujen pakettien näyttämiseksi. Tai voit käyttää myös “-c "Syntaksin"n ” pakettien määrä.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -c 5

Jos vain syötät tshark, oletusarvoisesti se ei ala kaapata liikennettä kaikilla käytettävissä olevilla rajapinnoilla eikä kuuntele työskentelyliittymääsi. Sen sijaan se sieppaa paketit ensimmäiseen lueteltuun käyttöliittymään.

Voit käyttää seuraavaa komentoa myös useiden rajapintojen tarkistamiseen:

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

Sillä välin toinen tapa elää sieppausliikennettä on käyttää numeroa lueteltujen rajapintojen rinnalla.

[sähköposti suojattu]: ~ $ tshark -i interface_number

Useiden rajapintojen läsnä ollessa on kuitenkin vaikea seurata niiden luetteloituja numeroita.

Sieppaa suodatin:

Sieppaussuodattimet pienentävät kaapatun tiedoston kokoa merkittävästi. Tshark käyttää Berkeley Packet Filter -syntaksia -f "”, Jota tcpdump myös käyttää. Käytämme "-f" -vaihtoehtoa vain sieppaamaan paketteja porteista 80 tai 53 ja "-c" -toiminnolla vain 10 ensimmäistä pakettia.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -f "portti 80 tai portti 53" -c 10

Siepatun liikenteen tallentaminen tiedostoon:

Tärkeintä huomata yllä olevassa kuvakaappauksessa on, että näytettyjä tietoja ei tallenneta, joten ne ovat vähemmän hyödyllisiä. Käytämme argumenttia-w”Tallentaa kaapatun verkkoliikenteen kohteeseen test_capture.pcap sisään / tmp kansio.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

taas, .pcap on Wireshark-tiedostotyypin laajennus. Tallentamalla tiedoston voit tarkistaa ja analysoida koneen liikennettä myöhemmin Wireshark-käyttöliittymällä.

On hyvä tapa tallentaa tiedosto hakemistoon /tmp koska tämä kansio ei vaadi suoritusoikeuksia. Jos tallennat sen toiseen kansioon, vaikka käytät tsharkia pääkäyttöoikeuksilla, ohjelma kieltää oikeuden turvallisuussyistä.

Kaivetaan kaikki mahdolliset keinot, joiden avulla voit:

  • soveltaa rajoituksia tietojen sieppaamiseen, kuten poistuminen tshark tai pysäyttää sieppauksen automaattisesti, ja
  • tulostaa tiedostoja.

Autostop-parametri:

Voit käyttää-a”-Parametri sisällyttää käytettävissä olevat liput, kuten kestotiedoston koko ja tiedostot. Seuraavassa komennossa käytämme autostop-parametria kesto lippu pysäyttää prosessin 120 sekunnin kuluessa.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -a kesto: 120 -w / tmp / test_capture.pcap

Vastaavasti, jos et tarvitse tiedostojesi olevan erityisen suuria, Tiedoston koko on täydellinen lippu prosessin lopettamiseen joidenkin KB: n rajojen jälkeen.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -a tiedostokoko: 50 -w / tmp / test_capture.pcap

Ennenkaikkea, tiedostot lipun avulla voit lopettaa sieppauksen useiden tiedostojen jälkeen. Mutta tämä voi olla mahdollista vasta, kun on luotu useita tiedostoja, mikä edellyttää toisen hyödyllisen parametrin, sieppausulostuksen suorittamista.

Sieppaa lähtöparametri:

Sieppaa tulos, alias ringbuffer-argumentti-b“, Tulee samojen lippujen kanssa kuin automaattinen pysäytys. Käyttö / tuotos on kuitenkin hieman erilainen, so.e., liput kesto ja Tiedoston koko, koska sen avulla voit vaihtaa tai tallentaa paketteja toiseen tiedostoon saavutettuasi tietyn aikarajan sekunneissa tai tiedostokoko.

Alla oleva komento osoittaa, että sieppaamme liikenteen verkkoliittymämme kautta enp0s3, ja siepata liikennettä sieppaussuodattimen avulla ”-f”TCP: lle ja dns: lle. Käytämme rengaspuskurin vaihtoehtoa "-b" a: lla Tiedoston koko lippu tallentaa jokaisen koon tiedoston 15 kt, ja määritä myös tiedostojen lukumäärä autostop-argumentin avulla tiedostot vaihtoehto siten, että se pysäyttää sieppauksen kolmen tiedoston luomisen jälkeen.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -f "portti 53 tai portti 21" -b tiedostokoko: 15 -a tiedostot: 2 -w / tmp / test_capture.pcap

Olen jakanut päätelaitteeni kahteen näyttöön seuratakseni aktiivisesti kolmen näytön luomista .pcap-tiedostot.

Mene omaan / tmp kansiota ja seuraa seuraavassa komentoa toisessa päätelaitteessa päivitysten seuraamiseksi sekunnin välein.

[sähköposti suojattu]: ~ $ watch -n 1 "ls -lt"

Nyt sinun ei tarvitse muistaa kaikkia näitä lippuja. Kirjoita sen sijaan komento tshark -i enp0s3 -f “portti 53 tai portti 21” -b tiedostokoko: 15 -a päätelaitteessasi ja paina Välilehti. Luettelo kaikista käytettävissä olevista lipuista on käytettävissä näytölläsi.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -f "portti 53 tai portti 21" -b tiedostokoko: 15 -a
kesto: tiedostot: tiedostokoko:
[sähköposti suojattu]: ~ $ tshark -i enp0s3 -f "portti 53 tai portti 21" -b tiedostokoko: 15 -a

Lukeminen .pcap Tiedostot:

Mikä tärkeintä, voit käyttää-r”Parametri test_capture -toiminnon lukemiseen.pcap tiedostot ja putki se pää komento.

[sähköposti suojattu]: ~ $ tshark -r / tmp / test_capture.pcap | pää

Lähtötiedostossa näkyvät tiedot voivat olla hieman ylivoimaisia. Tarpeettomien yksityiskohtien välttämiseksi ja kaikkien IP-osoitteiden ymmärtämiseksi paremmin käytämme -r vaihtoehto lukea kaapattu pakettitiedosto ja käyttää ip.osoite suodatin ohjaamaan lähdön uuteen tiedostoon-w”-Vaihtoehto. Tämä antaa meille mahdollisuuden tarkistaa tiedosto ja tarkentaa analyysiamme soveltamalla muita suodattimia.

[sähköposti suojattu]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / redirected_file.pcap ip.dst == 216.58.209.142
[sähköposti suojattu]: ~ $ tshark -r / tmp / redirected_file.pcap | pää
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 sovellustietoa
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2669 Sovellustiedot
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Sovellustiedot
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Sovellustiedot
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Sovellustiedot
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [uudelleen kootun PDU: n TCP-segmentti]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 sovellustiedot
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2233 Sovellustiedot
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2669 Sovellustiedot
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Sovellustiedot

Tulostettavien kenttien valitseminen:

Yllä olevat komennot antavat yhteenvedon jokaisesta paketista, joka sisältää useita otsikkokenttiä. Tsharkissa voit myös tarkastella määritettyjä kenttiä. Kentän määrittämiseksi käytämme-T-kenttä”Ja poimi kentät valintamme mukaan.

Jälkeen "-T-kenttä”-Kytkimestä, tulostamme määritetyt kentät / suodattimet” -e ”-vaihtoehdolla. Täällä voimme käyttää Wireshark-näytön suodattimia.

[sähköposti suojattu]: ~ $ tshark -r / tmp / test_capture.pcap -T-kentät -e kehys.numero -e ip.src -e ip.dst | pää
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Siepata salattuja kättelytietoja:

Toistaiseksi olemme oppineet tallentamaan ja lukemaan tiedostoja käyttämällä erilaisia ​​parametreja ja suodattimia. Opimme nyt, kuinka HTTPS alustaa istunnon tsharkin. Sivustot, joihin pääsee HTTPS: n kautta HTTP: n sijaan, varmistavat turvallisen tai salatun tiedonsiirron langan kautta. Turvallista lähetystä varten Transport Layer Security -salaus aloittaa kättelyprosessin aloittaakseen tiedonsiirron asiakkaan ja palvelimen välillä.

Otetaan ja ymmärretään TLS-kättely tsharkilla. Jaa pääte kahteen näyttöön ja käytä a wget komento html-tiedoston hakemiseksi https: // www.lankahai.org.

[sähköposti suojattu]: ~ $ wget https: // www.lankahai.org
--2021-01-09 18: 45: 14-- https: // www.lankahai.org /
Yhdistetään osoitteeseen www.lankahai.org (www.lankahai.org) | 104.26.10.240 |: 443 ... kytketty.
HTTP-pyyntö lähetetty, odottaa vastausta ... 206 Osittainen sisältö
Pituus: 46892 (46K), 33272 (32K) jäljellä [teksti / html]
Tallennetaan hakemistoon: 'index.html '
indeksi.html 100% [+++++++++++++++ ================================== ==>] 45.79 kt 154 kt / s 0: ssa.2s
2021-01-09 18:43:27 (154 KB / s) - indeksi.html 'tallennettu [46892/46892]

Toisessa näytössä käytämme tsharkia ensimmäisten 11 paketin sieppaamiseen-c”-Parametri. Analyysin aikana aikaleimat ovat tärkeitä tapahtumien rekonstruoimiseksi, joten käytämme-t mainos”Tavalla, jolla tshark lisää aikaleiman jokaisen kaapatun paketin viereen. Lopuksi käytämme isäntäkomentoa sieppaamaan paketteja jaetulta isännältä IP-osoite.

Tämä kädenpuristus on melko samanlainen kuin TCP-kädenpuristus. Heti kun TCP: n kolmisuuntainen kättely on saatu päätökseen kolmessa ensimmäisessä paketissa, neljäs – yhdeksäs paketti noudattavat jonkin verran samanlaista kädenpuristusrituaalia ja sisältävät TLS-merkkijonoja salatun viestinnän varmistamiseksi molempien osapuolten välillä.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -c 11 -t mainoksen isäntä 104.26.10.240
Sieppaus 'enp0s3: lla'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Ack = 1 Win = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 -asiakasohjelma Hei
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60443 → 48512 [ACK] Seq = 1 Ack = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Palvelin Hei, vaihda salaustiedot
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Sovellustiedot
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Muuta salaustietoja, sovellustietoja
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60443 → 48512 [ACK] Seq = 2519 Ack = 400 Win = 65535 Len = 0
11 pakettia siepattu

Koko paketin katselu:

Komentorivin apuohjelman ainoa haittapuoli on, että sillä ei ole graafista käyttöliittymää, koska siitä tulee erittäin kätevä, kun haluat etsiä paljon Internet-liikennettä, ja se tarjoaa myös pakettipaneelin, joka näyttää kaikki paketin yksityiskohdat välitön. On kuitenkin edelleen mahdollista tarkastaa paketti ja kaataa kaikki GUI-pakettipaneelissa näkyvät pakettitiedot.

Koko paketin tarkastamiseksi käytämme ping-komentoa ”-c” -vaihtoehdolla yksittäisen paketin sieppaamiseen.

[sähköposti suojattu]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) tavua tietoja.
64 tavua 104: stä.26.10.240: icmp_seq = 1 ttl = 55 aika = 105 ms
--- 104.26.10.240 ping-tilastoa ---
1 lähetettyä pakettia, 1 vastaanotettu, 0% pakettihäviö, aika 0 ms
rtt min / avg / max / mdev = 105.095/105.095/105.095/0.000 ms

Käytä toisessa ikkunassa tshark-komentoa ja ylimääräistä lippua näyttääksesi kaikki pakettitiedot. Voit huomata useita osioita, joissa näkyy kehykset, Ethernet II, IPV ja ICMP-yksityiskohdat.

[sähköposti suojattu]: ~ $ tshark -i enp0s3 -c 1 -V-isäntä 104.26.10.240
Kehys 1: 98 tavua langalla (784 bittiä), 98 tavua kaapattu (784 bittiä) liitännällä 0
Liitännän tunnus: 0 (enp0s3)
Liitännän nimi: enp0s3
Kapselointityyppi: Ethernet (1)
Saapumisaika: 9. tammikuuta 2021 21:23:39.167581606 PKT
[Aikasiirto tälle paketille: 0.000000000 sekuntia]
Aikakausi: 1610209419.167581606 sekuntia
[Aikaviive edellisestä kaapatusta kehyksestä: 0.000000000 sekuntia]
[Aikaviive edellisestä näytetystä kehyksestä: 0.000000000 sekuntia]
[Aika viitteestä tai ensimmäisestä kehyksestä: 0.000000000 sekuntia]
Kehysnumero: 1
Kehyksen pituus: 98 tavua (784 bittiä)
Sieppauksen pituus: 98 tavua (784 bittiä)
[Kehys on merkitty: Väärä]
[Kehystä ei huomioida: Väärä]
[Protokollat ​​kehyksessä: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Kohde: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Osoite: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG-bitti: Paikallisesti hallinnoitu osoite (tämä EI ole tehtaan oletusarvo)
… 0… = IG-bitti: Yksittäinen osoite (unicast)
Lähde: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Osoite: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Liitännän tunnus: 0 (enp0s3)
Liitännän nimi: enp0s3
Kapselointityyppi: Ethernet (1)
Saapumisaika: 9. tammikuuta 2021 21:23:39.167581606 PKT
[Aikasiirto tälle paketille: 0.000000000 sekuntia]
Aikakausi: 1610209419.167581606 sekuntia
[Aikaviive edellisestä kaapatusta kehyksestä: 0.000000000 sekuntia]
[Aikaviive edellisestä näytetystä kehyksestä: 0.000000000 sekuntia]
[Aika viitteestä tai ensimmäisestä kehyksestä: 0.000000000 sekuntia]
Kehysnumero: 1
Kehyksen pituus: 98 tavua (784 bittiä)
Sieppauksen pituus: 98 tavua (784 bittiä)
[Kehys on merkitty: Väärä]
[Kehystä ei huomioida: Väärä]
[Protokollat ​​kehyksessä: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Kohde: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Osoite: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG-bitti: Paikallisesti hallinnoitu osoite (tämä EI ole tehtaan oletusarvo)
… 0… = IG-bitti: Yksittäinen osoite (unicast)
Lähde: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Osoite: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG-bitti: Maailmanlaajuinen yksilöllinen osoite (tehdasasetus)
… 0… = IG-bitti: Yksittäinen osoite (unicast)
Tyyppi: IPv4 (0x0800)
Internet Protocol Version 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Versio: 4
… 0101 = Otsikon pituus: 20 tavua (5)
Eriytetty palvelukenttä: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = Eriytettyjen palvelujen koodipiste: Oletus (0)
… 00 = eksplisiittinen ruuhka-ilmoitus: Ei ECN-yhteensopiva kuljetus (0)
Kokonaispituus: 84
Tunniste: 0xcc96 (52374)
Liput: 0x4000, älä pirskele
0… = Varattu bitti: Ei asetettu
.1… = Älä fragmentoi: Aseta
… 0… = Lisää katkelmia: Ei asetettu
… 0 0000 0000 0000 = Fragmentin siirtymä: 0
Aika elää: 64
Protokolla: ICMP (1)
Otsikon tarkistussumma: 0xeef9 [vahvistus poistettu käytöstä]
[Otsikon tarkistussumman tila: Vahvistamaton]
Lähde: 10.0.2.15
Kohde: 104.26.10.240
Internet Control Message Protocol
Tyyppi: 8 (Kaiun (ping) pyyntö)
Koodi: 0
Tarkistussumma: 0x0cb7 [oikea]
[Tarkistussumman tila: Hyvä]
Tunniste (BE): 5038 (0x13ae)
Tunniste (LE): 44563 (0xae13)
Järjestysnumero (BE): 1 (0x0001)
Järjestysnumero (LE): 256 (0x0100)
Aikaleima icmp-tiedoista: 9. tammikuuta 2021 21:23:39.000000000 PKT
[Aikaleima icmp-tiedoista (suhteellinen): 0.167581606 sekuntia]
Tiedot (48 tavua)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Tiedot: 918e02000000000000101112131415161718191a1b1c1d1e1f…
[Pituus: 48]

Päätelmä:

Pakettianalyysin haastavin näkökohta on osuvimman tiedon löytäminen ja hyödyttömien bittien huomiotta jättäminen. Vaikka graafiset käyttöliittymät ovat helppoja, ne eivät voi edistää automaattista verkkopakettien analysointia. Tässä artikkelissa olet oppinut hyödyllisimmät tshark-parametrit verkkoliikennetiedostojen sieppaamiseen, näyttämiseen, tallentamiseen ja lukemiseen.

Tshark on erittäin kätevä apuohjelma, joka lukee ja kirjoittaa Wiresharkin tukemia sieppaustiedostoja. Näyttö- ja sieppaussuodattimien yhdistelmä auttaa paljon työskennellessään edistyneemmissä käyttötapauksissa. Voimme hyödyntää tshark-kykyä tulostaa kenttiä ja käsitellä tietoja perusteellisen analyysin vaatimuksemme mukaisesti. Toisin sanoen, se pystyy tekemään käytännössä kaiken, mitä Wireshark tekee. Mikä tärkeintä, se sopii täydellisesti pakettien haistamiseen etänä käyttämällä ssh: tä, joka on toisen päivän aihe.

Pelit 5 parasta arcade-peliä Linuxille
5 parasta arcade-peliä Linuxille
Nykyään tietokoneet ovat vakavia koneita, joita käytetään pelaamiseen. Jos et pääse uusiin korkeisiin pisteisiin, tiedät mitä tarkoitan. Tässä viestis...
Pelit Battle For Wesnoth 1.13.6 Development Released
Battle For Wesnoth 1.13.6 Development Released
Battle For Wesnoth 1.13.6 released last month, is the sixth development release in the 1.13.x series and it delivers a number of improvements, most no...
Pelit League of Legendsin asentaminen Ubuntu 14 een.04
League of Legendsin asentaminen Ubuntu 14 een.04
Jos olet League of Legendsin fani, tämä on sinulle mahdollisuus testata League of Legendsia. Huomaa, että PlayOnLinux tukee LOLia, jos olet linux-käyt...