Поиск по сайту:

Знакомство с интерфейсом командной строки Wireshark: TShark

На этой странице

  1. Что мы здесь рассмотрим?
  2. Что вам понадобится?
  3. Установка TShark
  4. TShark и Tcpdump
  5. Практика с TShark
  6. Выбор интерфейса для прослушивания
  7. Сохранение файлов захвата
  8. Заключение

TShark разработан как CLI или интерфейс командной строки Wireshark для захвата и анализа пакетов прямо из CLI. Большинство людей не знают о TShark, в отличие от обычно используемого Wireshark. TShark поставляется вместе с Wireshark. Это особенно полезно, когда графический интерфейс недоступен. Здесь также поддерживаются все параметры, используемые в Wireshark. Например, захваченные пакеты могут быть сохранены в файле, а затем извлечены для анализа. Формат файла захвата по умолчанию — pcapng, такой же, как и у Wireshark. Преимущество использования TShark заключается в том, что его можно включать в сценарии (его можно использовать внутри сценария Python) и использовать в удаленных системах через SSH. Недостаток, конечно, в том, что у него нет графического интерфейса.

Как и Wireshark, TShark доступен для основных операционных систем: Linux, Mac OS, Windows.

Что мы здесь рассмотрим?

В этом руководстве мы расскажем вам о TShark и представим вам некоторые основные варианты использования. Давайте погрузимся с TShark. В этом руководстве мы будем использовать Kali Linux, которая поставляется с предустановленными программами WireShark и TShark.

Что вам понадобится?

На самом деле вам необходимо иметь глубокое понимание концепций компьютерных сетей и связанных с ними протоколов, таких как TCP/IP и т. д. Также в некоторых случаях могут потребоваться права администратора.

Установка TShark

TShark предустановлен на Kali Linux. Для установки в системе Ubuntu/Debian используйте команду:

$sudo apt установить tshark

Для других дистрибутивов используйте способ установки по умолчанию для установки TShark. Чтобы проверить версию TShark в вашей системе, откройте терминал и введите:

$тшарк -v

TShark против Tcpdump

TShark имеет те же возможности, что и Wireshark. TShark работает так же, как и tcpdump, когда не используется никакая опция. Даже TShark способен заменить tcpdump. Давайте на мгновение сравним два инструмента. Посмотрите на скриншот ниже, мы запустили оба инструмента без каких-либо опций:

Практика с TShark

Давайте теперь обратимся к некоторым вариантам использования TShark. Сначала мы начнем с проверки доступного интерфейса для захвата TShark. В зависимости от вашего метода установки вам могут потребоваться привилегии «sudo». Запустите следующую команду, чтобы получить список доступных интерфейсов:

$тшарк –D

Выбор интерфейса для прослушивания

По умолчанию TShark захватывает первый увиденный интерфейс. Следовательно, из приведенного выше списка TShark установит свою цель на «eth0». Поэтому, если мы не укажем интерфейс, он автоматически будет использовать интерфейс «eth0». Однако мы хотим явно определить интерфейс, нам нужно будет использовать параметр «-i»:

$tshark -i eth0

Таким образом, TShark будет фиксировать все, что через него проходит. Если мы хотим, мы можем ограничить лимит захвата несколькими пакетами, скажем, 10 пакетами, используя параметр «-c» или количество пакетов:

$tshark -i eth0 -c 10

Хранение файлов захвата

Одна хорошая вещь, которую имеет TShark, заключается в том, что мы можем сохранять снимки в файл для последующего использования. В приведенной выше команде используйте параметр «-w», чтобы сохранить захват в файл, скажем, mycapture.pcap:

$tshark -c 500 -w mycapture.pcap

Чтобы прочитать указанный выше файл, используйте команду:

$ tshark -r mycapture.pcap

Вывод вышеуказанной команды будет отображаться на терминале.

Указание целевого хоста

Мы можем настроить TShark для фильтрации трафика, входящего и исходящего от определенного хоста, например. google.com. Чтобы продемонстрировать это, давайте отправим запрос ping на «google.com».

$пинг google.com

Теперь мы запускаем команду TShark для захвата вышеуказанного трафика:

$tshark -i eth0 -c 10 хост google.com

Примечание. Мы также можем использовать IP-адрес хоста вместо имени хоста.

Приведенная выше команда содержит все запросы ping, отправленные на хост (google.com) и с него. Для фильтрации входящего трафика используйте команду:

$tshark -i eth0 src host google.com

$tshark -i eth0 dst host google.com

Подобно запросу ping, мы также можем запустить сканирование Nmap и сохранить наши результаты в файл или проанализировать его непосредственно с помощью TShark.

Заключение

TShark — очень важный инструмент для анализаторов безопасности. Эта статья лишь немного касается поверхности, чтобы дать вам знать, что вы можете сделать с TShark. С TShark открывается целый мир прекрасных возможностей. Чтобы узнать больше о TShark, перейдите на https://www.wireshark.org/docs/, где вы найдете обучающие видеоролики, руководства и т. д. Страницы руководства для TShark также содержат огромное количество источников информации.