Sprievodca rozhraním príkazového riadku Wireshark „tshark“

V predchádzajúcich tutoriáloch pre Wireshark sme sa venovali témam základnej až pokročilej úrovne. V tomto článku pochopíme a pokryjeme rozhranie príkazového riadku pre Wireshark, t.j.e., tshark. Terminálová verzia programu Wireshark podporuje podobné možnosti a je veľmi užitočná, keď nie je k dispozícii grafické používateľské rozhranie (GUI).

Aj keď je grafické používateľské rozhranie teoreticky oveľa jednoduchšie, niektoré prostredia ho nepodporujú, najmä serverové prostredia, ktoré majú iba možnosti príkazového riadku. Z tohto dôvodu budete niekedy ako správca siete alebo bezpečnostný technik musieť používať rozhranie príkazového riadku. Je dôležité si uvedomiť, že tshark sa niekedy používa ako náhrada za tcpdump. Aj keď sú oba nástroje takmer rovnocenné vo funkcii zachytávania prenosu, tshark je oveľa výkonnejší.

Najlepšie, čo môžete urobiť, je použiť tshark na nastavenie portu na vašom serveri, ktorý presmeruje informácie do vášho systému, aby ste mohli zachytiť prenos na analýzu pomocou grafického používateľského rozhrania. Zatiaľ sa však naučíme, ako to funguje, aké má atribúty a ako ho môžete čo najlepšie využiť.

Zadajte nasledujúci príkaz na inštaláciu tshark v Ubuntu / Debian pomocou apt-get:

[chránené e-mailom]: ~ $ sudo apt-get install tshark -y

Teraz napíš tshark -pomoc vypísať všetky možné argumenty s príslušnými príznakmi, ktoré môžeme odovzdať príkazu tshark.

[chránené e-mailom]: ~ $ tshark --help | hlava -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 zabalené ako 2.6.10-1 ~ ubuntu18.04.0)
Vypisujte a analyzujte sieťový prenos.
Pozri https: // www.wirehark.org pre viac informácií.
Použitie: tshark [možnosti]…
Rozhranie snímania:
-i názov alebo IDX rozhrania (def: prvý bez spätnej väzby)
-f paketový filter v syntaxi filtra libpcap
-s dĺžka snímky paketu (def: príslušné maximum)
-p nezachytávať v promiskuitnom režime
-Snímam v režime monitora, ak je k dispozícii
-B veľkosť medzipamäte jadra (def: 2 MB)
-r typ vrstvy odkazu (def: najskôr vhodné)
--typ časovej pečiatky metóda časovej pečiatky pre rozhranie
-D vytlačte zoznam rozhraní a ukončite
-L vypíše zoznam typov odkazových vrstiev iface a exit
--list-time-stamp-types print list of timestamp types for iface and exit
Podmienky zastavenia snímania:

Môžete si všimnúť zoznam všetkých dostupných možností. V tomto článku sa podrobne zaoberáme väčšinou argumentov a pochopíte silu tejto terminálovo orientovanej verzie Wireshark.

Výber sieťového rozhrania:

Na uskutočnenie živého zachytenia a analýzy v tomto nástroji musíme najskôr zistiť naše pracovné rozhranie. Typ tshark -D a tshark vypíše všetky dostupné rozhrania.

[chránené e-mailom]: ~ $ tshark -D
1. enp0s3
2. akýkoľvek
3. lo (Loopback)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (vzdialené zachytenie Cisco)
8. randpkt (generátor náhodných paketov)
9. sshdump (vzdialené zachytenie SSH)
10. udpdump (vzdialené zachytenie poslucháča UDP)

Upozorňujeme, že nie všetky uvedené rozhrania budú fungovať. Typ ifconfig aby ste našli pracovné rozhrania vo vašom systéme. V mojom prípade to tak je enp0s3.

Zachytiť prenos:

Na začatie procesu živého snímania použijeme tshark príkaz s „-i”Možnosť zahájenia procesu snímania z pracovného rozhrania.

[chránené e-mailom]: ~ $ tshark -i enp0s3

Použite Ctrl + C zastaviť živé zachytávanie. Vo vyššie uvedenom príkaze som zachytený prenos poslal potrubím do príkazu Linux hlava na zobrazenie niekoľkých prvých zachytených paketov. Alebo môžete tiež použiť znak „-c ”Syntax na zachytenie“n ” počet balíkov.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -c 5

Ak iba zadáte tshark, v predvolenom nastavení nezačne zachytávať prenos na všetkých dostupných rozhraniach ani nebude počúvať vaše pracovné rozhranie. Namiesto toho bude zachytávať pakety na prvom uvedenom rozhraní.

Na kontrolu viacerých rozhraní môžete použiť aj nasledujúci príkaz:

[chránené e-mailom]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

Medzitým je ďalším spôsobom, ako prevádzkovať živé zachytenie, použitie čísla vedľa uvedených rozhraní.

[chránené e-mailom]: ~ $ tshark -i číslo_rozhrania

Za prítomnosti viacerých rozhraní je však ťažké sledovať ich uvedený počet.

Zachytávací filter:

Filtre snímania výrazne znižujú veľkosť zaznamenaného súboru. Tshark používa syntax Berkeley Packet Filter -f „”, Ktorý používa aj tcpdump. Použijeme možnosť „-f“ na zachytenie iba paketov z portov 80 alebo 53 a použitie „-c“ na zobrazenie iba prvých 10 paketov.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -f "port 80 alebo port 53" -c 10

Uloženie zaznamenaného prenosu do súboru:

Najdôležitejšie je poznamenať, že zobrazené informácie sa neukladajú, a preto sú menej užitočné. Používame argument „-w”Na uloženie zachytenej sieťovej premávky do test_capture.pcap v / tmp priečinok.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

Keďže, .pcap je prípona typu súboru Wireshark. Uložením súboru môžete neskôr skontrolovať a analyzovať prenos v stroji pomocou grafického používateľského rozhrania Wireshark.

Je dobrým zvykom ukladať súbor do /tmp pretože tento priečinok nevyžaduje žiadne oprávnenie na vykonávanie. Ak ho uložíte do iného priečinka, aj keď máte spustený program tshark s oprávneniami root, program z bezpečnostných dôvodov zamietne povolenie.

Poďme sa zaoberať všetkými možnými spôsobmi, prostredníctvom ktorých môžete:

uplatňovať limity na zhromažďovanie údajov, napríklad také, ktoré končia tshark alebo automatické zastavenie procesu snímania a
výstup vaše súbory.

Parameter automatického zastavenia:

Môžete použiť-a”Parameter na začlenenie dostupných príznakov, ako je veľkosť súboru a trvanie súboru. V nasledujúcom príkaze použijeme parameter autostop s trvanie príznakom, aby sa proces zastavil do 120 sekúnd.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -a trvanie: 120 -w / tmp / test_capture.pcap

Podobne, ak nepotrebujete, aby boli vaše súbory mimoriadne veľké, veľkosť súboru je dokonalým príznakom na zastavenie procesu po určitých limitoch KB.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -a veľkosť súboru: 50 -w / tmp / test_capture.pcap

Čo je najdôležitejšie, súbory príznak umožňuje zastaviť proces zachytávania po niekoľkých súboroch. Ale to je možné len po vytvorení viacerých súborov, čo si vyžaduje vykonanie iného užitočného parametra, výstup záznamu.

Parameter výstupného snímania:

Zachyťte výstup, alias argument Ringbuffer „-b“, Prichádza s rovnakými vlajkami ako autostop. Využitie / výstup je však trochu iný, t.j.e., vlajky trvanie a veľkosť súboru, pretože umožňuje prepínať alebo ukladať pakety do iného súboru po dosiahnutí stanoveného časového limitu v sekundách alebo veľkosti súboru.

Nasledujúci príkaz ukazuje, že zachytávame prenos cez naše sieťové rozhranie enp0s3, a zachytiť premávku pomocou filtra zachytenia “-f”Pre tcp a dns. Používame voľbu ringbuffer „-b“ s a veľkosť súboru príznak na uloženie každého súboru s veľkosťou 15 Kb, a tiež použite argument autostop na určenie počtu použitých súborov súbory možnosť taká, že zastaví proces snímania po vygenerovaní troch súborov.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -f "port 53 alebo port 21" -b veľkosť súborov: 15 -a súbory: 2 -w / tmp / test_capture.pcap

Terminál som rozdelil na dve obrazovky, aby som aktívne sledoval vytváranie troch .súbory pcap.

Choď do svojho / tmp priečinok a pomocou nasledujúceho príkazu v druhom termináli sledujte aktualizácie po každej jednej sekunde.

[chránené e-mailom]: ~ $ watch -n 1 „ls -lt“

Teraz si nemusíte pamätať všetky tieto príznaky. Namiesto toho zadajte príkaz tshark -i enp0s3 -f „port 53 alebo port 21“ -b veľkosť súboru: 15 -a vo svojom termináli a stlačte Tab. Zoznam všetkých dostupných príznakov bude k dispozícii na vašej obrazovke.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -f "port 53 alebo port 21" -b veľkosť súboru: 15 -a
trvanie: súbory: veľkosť súboru:
[chránené e-mailom]: ~ $ tshark -i enp0s3 -f "port 53 alebo port 21" -b veľkosť súboru: 15 -a

Čítanie .Súbory pcap:

Najdôležitejšie je, že môžete použiť-r”Parameter na načítanie test_capture.súbory pcap a preniesť ich do hlava príkaz.

[chránené e-mailom]: ~ $ tshark -r / tmp / test_capture.pcap | hlava

Informácie zobrazené vo výstupnom súbore môžu byť trochu ohromujúce. Aby sme sa vyhli zbytočným detailom a lepšie porozumeli akejkoľvek konkrétnej cieľovej IP adrese, používame -r možnosť prečítať paket zachytený súbor a použiť ip.addr filter, ktorý presmeruje výstup na nový súbor pomocou „-w”Možnosť. To nám umožní skontrolovať súbor a vylepšiť našu analýzu použitím ďalších filtrov.

[chránené e-mailom]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / presmerovaný_súbor.pcap ip.dst == 216.58.209.142
[chránené e-mailom]: ~ $ tshark -r / tmp / redirected_file.pcap | hlava
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Aplikačné údaje
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Aplikačné údaje
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 aplikačných údajov
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Údaje o žiadosti
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Aplikačné údaje
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [TCP segment zmontovaného PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 aplikačných údajov
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Údaje o aplikácii
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Aplikačné údaje
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Údaje o aplikácii

Výber polí na výstup:

Vyššie uvedené príkazy generujú súhrn každého paketu, ktorý obsahuje rôzne polia hlavičky. Tshark tiež umožňuje zobraziť určené polia. Na zadanie poľa používame „-T pole”A extrahujte polia podľa nášho výberu.

Po "-T pole”, Na vytlačenie zadaných polí / filtrov použijeme voľbu“ -e ”. Tu môžeme použiť filtre displeja Wireshark.

[chránené e-mailom]: ~ $ tshark -r / tmp / test_capture.pcap -T polia -e rám.číslo -e ip.src -e ip.dst | hlava
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Zachyťte šifrované údaje o podaní ruky:

Doteraz sme sa naučili ukladať a čítať výstupné súbory pomocou rôznych parametrov a filtrov. Teraz sa dozvieme, ako HTTPS inicializuje reláciu tshark. Webové stránky prístupné cez HTTPS namiesto HTTP zaisťujú bezpečný alebo šifrovaný prenos dát po drôte. Pre bezpečný prenos začína šifrovanie Transport Layer Security proces nadviazania spojenia, ktorý naštartuje komunikáciu medzi klientom a serverom.

Poďme zachytiť a porozumieť handshake TLS pomocou tshark. Rozdeľte svoj terminál na dve obrazovky a použite a wget príkaz na načítanie html súboru z https: // www.wirehark.org.

[chránené e-mailom]: ~ $ wget https: // www.wirehark.org
--2021-01-09 18:45:14-- https: // www.wirehark.org /
Pripája sa k www.wirehark.org (www.wirehark.org) | 104.26.10.240 |: 443… pripojené.
Žiadosť HTTP bola odoslaná a čaká na odpoveď ... 206 Čiastočný obsah
Dĺžka: 46892 (46 kB), 33272 (32 kB) zostávajúcich [text / html]
Ukladanie do: „index.html '
index.html 100% [+++++++++++++++ ================================= ==>] 45.79 kB 154 kB / s za 0.2 s
2021-01-09 18:43:27 (154 KB / s) - 'index.html 'uložený [46892/46892]

Na inej obrazovke použijeme tshark na zachytenie prvých 11 paketov pomocou „-c”Parameter. Pri vykonávaní analýzy sú časové značky dôležité na rekonštrukciu udalostí, preto používame „-t inzerát”, Spôsobom, ktorý tshark pridáva ku každému zachytenému paketu časovú pečiatku. Nakoniec použijeme príkaz hostiteľa na zachytenie paketov zo zdieľaného hostiteľa IP adresa.

Toto podanie ruky je dosť podobné ako podanie protokolu TCP. Hneď ako sa trojcestné nadviazanie spojenia TCP uzavrie v prvých troch paketoch, štvrtý až deviaty paket nasleduje podobný rituál handshake a obsahuje reťazce TLS na zabezpečenie šifrovanej komunikácie medzi oboma stranami.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -c 11 -t hostiteľ reklamy 104.26.10.240
Zachytáva sa na 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Výhra = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Potvrdenie = 1 Výhra = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Potvrdenie = 1 Výhra = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Klient Dobrý deň
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Potvrdenie = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Server Dobrý deň, zmeňte šifrovaciu špecifikáciu
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Potvrdenie = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Aplikačné údaje
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Zmena šifrovacích špecifikácií, aplikačné údaje
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Potvrdenie = 400 Win = 65535 Len = 0
Zachytených 11 paketov

Prezeranie celého paketu:

Jedinou nevýhodou nástroja príkazového riadku je, že nemá grafické používateľské rozhranie, pretože je veľmi užitočné, keď potrebujete prehľadať veľa internetového prenosu, a tiež ponúka panel paketov, ktorý zobrazuje všetky podrobnosti paketu v rámci okamžite. Stále je však možné skontrolovať paket a vypísať všetky informácie o pakete zobrazené na paneli paketov grafického používateľského rozhrania.

Na kontrolu celého paketu používame príkaz ping s možnosťou „-c“ na zachytenie jedného paketu.

[chránené e-mailom]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) bajtov údajov.
64 bajtov zo 104.26.10.240: icmp_seq = 1 ttl = 55 čas = 105 ms
--- 104.26.10.Štatistika 240 ping ---
1 prenesený paket, 1 prijatý, 0% strata paketov, čas 0ms
rtt min / priemer / max / mdev = 105.095/105.095/105.095/0.000 ms

V inom okne použite príkaz tshark s ďalším príznakom na zobrazenie všetkých podrobností paketu. Môžete si všimnúť rôzne sekcie, ktoré zobrazujú podrobnosti o rámcoch, ethernetoch II, IPV a ICMP.

[chránené e-mailom]: ~ $ tshark -i enp0s3 -c 1 -V hostiteľ 104.26.10.240
Rám 1: 98 bajtov na kábli (784 bitov), 98 bajtov zachytených (784 bitov) na rozhraní 0
ID rozhrania: 0 (enp0s3)
Názov rozhrania: enp0s3
Typ zapuzdrenia: Ethernet (1)
Čas príchodu: 9. januára 2021 21:23:39.167581606 PKT
[Časový posun pre tento paket: 0.000000000 sekúnd]
Epochálny čas: 1610209419.167581606 sekúnd
[Delta času od predchádzajúceho zachyteného rámca: 0.000000000 sekúnd]
[Delta času od predchádzajúceho zobrazeného rámca: 0.000000000 sekúnd]
[Čas od referencie alebo od prvého rámca: 0.000000000 sekúnd]
Číslo rámu: 1
Dĺžka rámu: 98 bajtov (784 bitov)
Dĺžka snímania: 98 bajtov (784 bitov)
[Rám je označený: False]
[Rám je ignorovaný: False]
[Protokoly v rámci: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Cieľ: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresa: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: lokálne spravovaná adresa (toto NIE JE predvolené nastavenie od výroby)
… 0… = IG bit: individuálna adresa (unicast)
Zdroj: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresa: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
ID rozhrania: 0 (enp0s3)
Názov rozhrania: enp0s3
Typ zapuzdrenia: Ethernet (1)
Čas príchodu: 9. januára 2021 21:23:39.167581606 PKT
[Časový posun pre tento paket: 0.000000000 sekúnd]
Epochálny čas: 1610209419.167581606 sekúnd
[Delta času od predchádzajúceho zachyteného rámca: 0.000000000 sekúnd]
[Delta času od predchádzajúceho zobrazeného rámca: 0.000000000 sekúnd]
[Čas od referencie alebo od prvého rámca: 0.000000000 sekúnd]
Číslo rámu: 1
Dĺžka rámu: 98 bajtov (784 bitov)
Dĺžka snímania: 98 bajtov (784 bitov)
[Rám je označený: False]
[Rám je ignorovaný: False]
[Protokoly v rámci: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Cieľ: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresa: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: lokálne spravovaná adresa (toto NIE JE predvolené nastavenie od výroby)
… 0… = IG bit: individuálna adresa (unicast)
Zdroj: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresa: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bit: Globálne jedinečná adresa (predvolené od výroby)
… 0… = IG bit: individuálna adresa (unicast)
Typ: IPv4 (0x0800)
Internetový protokol verzie 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Verzia: 4
… 0101 = Dĺžka hlavičky: 20 bajtov (5)
Pole Diferencované služby: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00 ... = Kódový bod diferencovaných služieb: predvolený (0)
… 00 = Oznámenie o explicitnom preťažení: Nie je možné prepravu ECN (0)
Celková dĺžka: 84
Identifikácia: 0xcc96 (52374)
Príznaky: 0x4000, nefragmentovať
0… = Rezervovaný bit: nenastavené
.1… = Nefragmentovať: Nastavené
… 0… = Viac fragmentov: Nie je nastavené
… 0 0000 0000 0000 = Posun fragmentu: 0
Čas života: 64
Protokol: ICMP (1)
Kontrolný súčet hlavičky: 0xeef9 [overenie zakázané]
[Stav kontrolného súčtu hlavičky: Neoverené]
Zdroj: 10.0.2.15
Cieľ: 104.26.10.240
Internet Control Message Protocol
Typ: 8 (požiadavka na ozvenu (ping))
Kód: 0
Kontrolný súčet: 0x0cb7 [správne]
[Stav kontrolného súčtu: dobrý]
Identifikátor (BE): 5038 (0x13ae)
Identifikátor (LE): 44563 (0xae13)
Poradové číslo (BE): 1 (0x0001)
Poradové číslo (LE): 256 (0x0100)
Časová pečiatka z údajov icmp: 9. januára 2021 21:23:39.000000000 PKT
[Časová pečiatka z údajov icmp (relatívne): 0.167581606 sekúnd]
Dáta (48 bajtov)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !„# $% A“
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Údaje: 918e020000000000101112131415161718191a1b1c1d1e1f…
[Dĺžka: 48]

Záver:

Najnáročnejším aspektom analýzy paketov je nájdenie najrelevantnejších informácií a ignorovanie zbytočných bitov. Aj keď sú grafické rozhrania ľahké, nemôžu prispieť k automatizovanej analýze sieťových paketov. V tomto článku ste sa naučili najužitočnejšie parametre tshark na zachytávanie, zobrazovanie, ukladanie a čítanie súborov sieťového prenosu.

Tshark je veľmi užitočný nástroj, ktorý číta a zapisuje súbory na zaznamenávanie podporované programom Wireshark. Kombinácia filtrov displeja a snímania veľmi prispieva pri práci na prípadoch použitia na pokročilej úrovni. Môžeme využiť schopnosť tsharku tlačiť polia a manipulovať s údajmi podľa našich požiadaviek na hĺbkovú analýzu. Inými slovami, je schopný robiť prakticky všetko, čo robí Wireshark. Najdôležitejšie je, že je perfektné na diaľkové čuchanie paketov pomocou ssh, čo je téma na ďalší deň.