Przewodnik po interfejsie wiersza poleceń Wireshark „TShark”

We wcześniejszych samouczkach dotyczących Wireshark omówiliśmy podstawowe tematy na poziomie zaawansowanym. W tym artykule zrozumiemy i omówimy interfejs wiersza poleceń dla Wireshark, i.mi., tshark. Terminalowa wersja Wireshark obsługuje podobne opcje i jest bardzo przydatna, gdy graficzny interfejs użytkownika (GUI) nie jest dostępny.

Mimo że graficzny interfejs użytkownika jest teoretycznie, o wiele łatwiejszy w użyciu, nie wszystkie środowiska go obsługują, zwłaszcza środowiska serwerowe z tylko opcjami wiersza poleceń. Dlatego w pewnym momencie, jako administrator sieci lub inżynier bezpieczeństwa, będziesz musiał użyć interfejsu wiersza poleceń. Ważne jest, aby zauważyć, że TShark jest czasem używany jako substytut TCPDUMP. Mimo że oba narzędzia są prawie równoważne w funkcjonalności rejestrowania ruchu, TShark jest znacznie mocniejszy.

Najlepsze, co możesz zrobić, to użyć TSHark do skonfigurowania portu na serwerze, który przekazuje informacje do systemu, dzięki czemu możesz przechwytywać ruch do analizy za pomocą GUI. Jednak na razie dowiemy się, jak to działa, jakie są jego atrybuty i jak można je wykorzystać najlepiej jak potrafisz.

Wpisz następujące polecenie, aby zainstalować TShark w Ubuntu/Debian za pomocą apt-get:

Ubuntu@ubuntu: ~ $ sudo apt -get instaluj tshark -y

Teraz typ tshark -help Aby wymienić wszystkie możliwe argumenty z odpowiednimi flagami, które możemy przekazać na polecenie tshark.

Ubuntu@ubuntu: ~ $ tshark - -Help | Głowa -20
TShark (Wireshark) 2.6.10 (git v2.6.10 pakowanych jako 2.6.10-1 ~ Ubuntu18.04.0)
Zrzuć i analizuj ruch sieciowy.
Zobacz https: // www.Wireshark.Org, aby uzyskać więcej informacji.
Użycie: TShark [Opcje]…
Interfejs przechwytujący:
-I Nazwa lub IDX interfejsu (Def: First Non-Loopback)
-F Filtr pakietu w składni filtra libpcap
-S Długość migawki pakietu (DEF: odpowiednie maksimum)
-P Nie przechwytuj w trybie rozwiązłego
-Zgłaszam w trybie monitorowania, jeśli jest dostępny
-B Rozmiar buforu jądra (DEF: 2 MB)
-y Typ warstwy łącza (def: pierwszy odpowiedni)
--Metoda znacznika czasu typu tapeta dla interfejsu
-D lista drukowania interfejsów i wyjście
-L Lista drukowania typów warstwy linków iface i wyjścia
--Lista drukowanych typów typu czasu na liście typów czasowych dla IFACE i EXIT
Zwyciężanie warunków zatrzymania:

Możesz zauważyć listę wszystkich dostępnych opcji. W tym artykule szczegółowo omówimy większość argumentów i zrozumiesz moc tej wersji Wireshark zorientowanej na terminalne.

Wybór interfejsu sieciowego:

Aby przeprowadzić przechwytywanie i analizę na żywo w tym narzędziu, najpierw musimy ustalić nasz interfejs roboczy. Typ tshark -d a TSHark wymieniono wszystkie dostępne interfejsy.

Ubuntu@ubuntu: ~ $ tshark -d
1. ENP0S3
2. każdy
3. lo (Loopback)
4. NFLog
5. nfqueue
6. USBMON1
7. Ciscodump (Cisco Remote Capture)
8. Randpkt (losowy generator pakietów)
9. Sshdump (zdalne przechwytywanie SSH)
10. UDPDUMP (zdalne przechwytywanie słuchacza UDP)

Zauważ, że nie wszystkie wymienione interfejsy będą działać. Typ ifconfig Aby znaleźć działające interfejsy w systemie. W moim przypadku jest to ENP0S3.

Zwyciężanie ruchu:

Aby rozpocząć proces przechwytywania na żywo, użyjemy tshark polecenie z „-I„Opcja rozpoczęcia procesu przechwytywania od interfejsu roboczego.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3

Używać Ctrl+c Aby zatrzymać przechwytywanie na żywo. W powyższym poleceniu zrzuciłem schwytany ruch do polecenia Linux głowa Aby wyświetlić kilka pierwszych przechwyconych pakietów. Lub możesz również użyć składni „-C”, aby uchwycić „N" liczba pakietów.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -c 5

Jeśli tylko wejdziesz tshark, Domyślnie nie zacznie przechwytywać ruchu na wszystkich dostępnych interfejsach. Zamiast tego przechwytuje pakiety na pierwszym wymienionych interfejsach.

Możesz także użyć następującego polecenia, aby sprawdzić wiele interfejsów:

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -i USBMON1 -I lo

W międzyczasie innym sposobem przechwytywania ruchu jest użycie liczby obok wymienionych interfejsów.

Ubuntu@ubuntu: ~ $ tshark -i interface_number

Jednak w obecności wielu interfejsów trudno jest śledzić ich wymienione liczby.

Filtr przechwytujący:

Zrejestrowanie filtrów znacznie zmniejsz przechwycony rozmiar pliku. TShark używa składni filtra pakietu Berkeley -F "”, Który jest również używany przez TCPDump. Użyjemy opcji „-F” do przechwytywania tylko pakietów z portów 80 lub 53 i użycia „-C” do wyświetlania tylko pierwszych 10 pakietów.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -f "port 80 lub port 53" -c 10

Zapisywanie przechwyconego ruchu do pliku:

Kluczową rzeczą, na którą należy zwrócić uwagę na powyższym zrzucie ekranu, jest to, że wyświetlane informacje nie są zapisane, dlatego jest mniej przydatne. Używamy argumentu „-w„Aby zaoszczędzić schwytany ruch sieciowy test_capture.PCAP W /TMP teczka.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -w /tmp /test_capture.PCAP

Mając na uwadze, że, .PCAP to rozszerzenie typu pliku Wireshark. Zapisując plik, możesz później przejrzeć i analizować ruch w komputerze z GUI WIRSHark.

To dobra praktyka, aby zapisać plik w /TMP Ponieważ ten folder nie wymaga żadnych uprawnień do wykonania. Jeśli zapiszesz go w innym folderze, nawet jeśli uruchamiasz TSSHARK z uprawnieniami root, program zaprzeczy zezwoleniu z powodów bezpieczeństwa.

Zagłębiajmy się w wszystkie możliwe sposoby, w których możesz:

• Zastosuj limity przechwytywania danych, tak że wychodzenie tshark lub automatycznie ustawianie procesu przechwytywania i
• Wydaj swoje pliki.

Parametr autostopowy:

Możesz użyć „-A„Parametr w celu włączenia dostępnych flag, takich jak rozmiar pliku i pliki. W poniższym poleceniu używamy parametru Autostop z czas trwania flaga, aby zatrzymać proces w ciągu 120 sekund.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -a Czas trwania: 120 -w /tmp /test_capture.PCAP

Podobnie, jeśli nie potrzebujesz swoich plików, aby być bardzo dużym, rozmiar pliku jest idealną flagą do zatrzymania procesu po ograniczeniach KB.

Ubuntu@ubuntu: ~ $ tshark -i ENP0S3 -A Pliki: 50 -w /tmp /test_capture.PCAP

Najważniejsze, akta Flaga pozwala zatrzymać proces przechwytywania po kilku plikach. Ale może to być możliwe dopiero po utworzeniu wielu plików, co wymaga wykonania innego użytecznego parametru, przechwytywania wyjścia.

Parametr wyjściowy przechwytywania:

Wyjście przechwytywania, czyli argument ring -buffer „-B„Wraz z tymi samymi flagami co Autostop. Jednak użycie/wyjście jest nieco inne, i.mi., flagi czas trwania I rozmiar pliku, ponieważ pozwala na przełączanie lub zapisanie pakietów na inny plik po osiągnięciu określonego limitu czasu w sekundach lub rozmiarze pliku.

Poniżej wsparcia pokazuje, że przechwytujemy ruch za pośrednictwem naszego interfejsu sieciowego ENP0S3, i przechwytywanie ruchu za pomocą filtra przechwytywania ”-F”Dla TCP i DNS. Używamy opcji Buffera Ring „-B” z rozmiar pliku flaga, aby zapisać każdy plik wielkości 15 kb, a także użyj argumentu autostopowego, aby określić liczbę plików za pomocą akta opcja w taki sposób, że zatrzymuje proces przechwytywania po wygenerowaniu trzech plików.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -f "Port 53 lub port 21" -b Pliki: 15 -A Pliki: 2 -w /tmp /test_capture.PCAP

Podziękowałem terminal na dwa ekrany, aby aktywnie monitorować tworzenie trzech .Pliki PCAP.

Idź do swojego /TMP folder i użyj następującego polecenia w drugim terminalu, aby monitorować aktualizacje po każdej sekundzie.

Ubuntu@ubuntu: ~ $ Watch -n 1 "ls -lt"

Teraz nie musisz zapamiętywać wszystkich tych flag. Zamiast tego wpisz polecenie A TSHARK -I ENP0S3 -F „Port 53 lub Port 21” -B Pliki: 15 -A w terminalu i naciśnij Patka. Lista wszystkich dostępnych flag będzie dostępna na ekranie.

Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -f "Port 53 lub port 21" -B Pliki: 15 -A
Czas trwania: pliki: Pliki ADE:
Ubuntu@ubuntu: ~ $ tshark -i enp0s3 -f "Port 53 lub port 21" -B Pliki: 15 -A

Czytanie .Pliki PCAP:

Co najważniejsze, możesz użyć „-R„Parametr do odczytania testu testowego.pliki pCAP i przejdź do głowa Komenda.

Ubuntu@ubuntu: ~ $ tshark -r /tmp /test_capture.PCAP | głowa

Informacje wyświetlane w pliku wyjściowym mogą być nieco przytłaczające. Aby uniknąć niepotrzebnych szczegółów i lepiej zrozumieć dowolny konkretny adres IP docelowy, używamy -R opcja do odczytania pliku przechwyconego pakietu i użycia ip.addr Filtr, aby przekierować wyjście do nowego pliku za pomocą „-w" opcja. Pozwoli nam to przejrzeć plik i udoskonalić naszą analizę, stosując kolejne filtry.

Ubuntu@ubuntu: ~ $ tshark -r /tmp /test_capture.pcap -w /tmp /redurek_file.PCAP IP.DST == 216.58.209.142
Ubuntu@ubuntu: ~ $ tshark -r /tmp /rediCanted_file.PCAP | głowa
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSV1.2 370 Dane dotyczące aplikacji
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSV1.2 669 Dane dotyczące aplikacji
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSV1.2 5786 Dane dotyczące aplikacji
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSV1.2 1093 Dane dotyczące aplikacji
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSV1.2 403 Dane dotyczące aplikacji
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [segment TCP ponownie zmontowany PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSV1.2 948 Dane dotyczące aplikacji
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSV1.2 233 dane dotyczące aplikacji
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSV1.2 669 Dane dotyczące aplikacji
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSV1.2 3582 Dane dotyczące aplikacji

Wybór pól do wyjścia:

Polecenia powyżej wyświetlają podsumowanie każdego pakietu, które zawiera różne pola nagłówka. TShark pozwala również wyświetlić określone pola. Aby określić pole, używamy „-T Field”I wyodrębnia pola zgodnie z naszym wyborem.

Po "-T Field”Przełączamy, używamy opcji„ -e ”do wydrukowania określonych pól/filtrów. Tutaj możemy użyć filtrów wyświetlania Wireshark.

Ubuntu@ubuntu: ~ $ tshark -r /tmp /test_capture.PCAP -t Fields -e Ramka.numer -e ip.src -e ip.DST | głowa
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Przechwycić zaszyfrowane dane uścisku dłoni:

Do tej pory nauczyliśmy się zapisywać i czytać pliki wyjściowe za pomocą różnych parametrów i filtrów. Dowiemy się teraz, w jaki sposób HTTPS inicjuje sesję TShark. Strony internetowe dostępne za pośrednictwem HTTPS zamiast HTTP zapewniają bezpieczną lub zaszyfrowaną transmisję danych przez przewód. W przypadku bezpiecznej transmisji szyfrowanie bezpieczeństwa warstwy transportowej rozpoczyna proces uścisku dłoni, aby rozpocząć komunikację między klientem a serwerem.

Zławmy i zrozummy uścisk dłoni TLS za pomocą TShark. Podziel terminal na dwa ekrany i użyj wget polecenie do pobrania pliku HTML z https: // www.Wireshark.org.

Ubuntu@ubuntu: ~ $ wget https: // www.Wireshark.org
--2021-01-09 18: 45: 14-- https: // www.Wireshark.org/
Łączenie z www.Wireshark.org (www.Wireshark.org) | 104.26.10.240 |: 443… połączone.
Wysłane żądanie HTTP, czekające na odpowiedź… 206 CZĘŚCI
Długość: 46892 (46k), 33272 (32k) pozostały [tekst/html]
Oszczędzanie na: „indeks.html '
indeks.html 100%[++++++++++++ ======================================================================================== ==>] 45.79K 154KB/s w 0.2s
2021-01-09 18:43:27 (154 kb/s)-„indeks.html 'uratowany [46892/46892]

Na innym ekranie użyjemy TSHark do przechwytywania pierwszych 11 pakietów za pomocą „-C”Parametr. Podczas przeprowadzania analizy, znaczniki czasu są ważne dla rekonstrukcji zdarzeń, dlatego używamy ”-t ad”, W sposób, w jaki TShark dodaje znacznik czasu obok każdego przechwyconego pakietu. Na koniec używamy polecenia hosta do przechwytywania pakietów z wspólnego hosta adres IP.

Ten uścisk dłoni jest dość podobny do uścisku dłoni TCP. Gdy tylko trójstronny uścisk dłoni TCP zakończy się w pierwszych trzech pakietach, czwarte do dziewiątej pakiety są zgodne z nieco podobnym rytuałem uścisku dłoni i zawierają ciągi TLS, aby zapewnić zaszyfrowaną komunikację obu stron.

Ubuntu@ubuntu: ~ $ tshark -i enp0S3 -C 11 -t Host 104.26.10.240
Schwytanie w „ENP0S3”
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] SEQ = 0 WIN = 64240 LEN = 0 MSS = 1460 SACK_PERM = 1 TSVAL = 2488996311 TSECT = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] SEQ = 0 Ack = 1 Win = 65535 len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] SEQ = 1 Ack = 1 Win = 64240 len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSV1 373 Klient Hello
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] SEQ = 1 ACK = 320 WIN = 65535 LEN = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSV1.3 1466 Serwer Witaj, zmień specyfikację szyfru
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] SEQ = 320 ACK = 1413 WIN = 63540 LEN = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSV1.3 1160 Dane dotyczące aplikacji
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] SEQ = 320 ACK = 2519 WIN = 63540 LEN = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSV1.3 134 Zmień specyfikację szyfru, dane dotyczące aplikacji
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] SEQ = 2519 ACK = 400 WIN = 65535 LEN = 0
11 przechwyconych pakietów

Przeglądanie całego pakietu:

Jedyną wadą narzędzia wiersza poleceń jest to, że nie ma ono GUI, ponieważ staje się bardzo przydatne, gdy trzeba wyszukiwać duży ruch internetowy, a także oferuje panel pakietu, który wyświetla wszystkie szczegóły pakietu w ramach w ciągu natychmiastowy. Jednak nadal można sprawdzić pakiet i zrzucić całe informacje o pakiecie wyświetlane w panelu pakietów GUI.

Aby sprawdzić cały pakiet, używamy polecenia ping z opcją „-C”, aby przechwycić pojedynczy pakiet.

Ubuntu@ubuntu: ~ $ ping -c 1 104.26.10.240
Ping 104.26.10.240 (104.26.10.240) 56 (84) bajty danych.
64 bajtów od 104.26.10.240: ICMP_SEQ = 1 TTL = 55 Czas = 105 ms
--- 104.26.10.240 Statystyki ping ---
1 przesłane pakiety, 1 otrzymane, 0% utrata pakietu, czas 0ms
RTT min/avg/max/mDev = 105.095/105.095/105.095/0.000 ms

W innym oknie użyj polecenia TSHARK z dodatkową flagą, aby wyświetlić całe szczegóły pakietu. Możesz zauważyć różne sekcje, wyświetlanie ramek, Ethernet II, IPV i ICMP.

Ubuntu@ubuntu: ~ $ tshark -i ENP0S3 -C 1 -V host 104.26.10.240
Rama 1: 98 bajtów na drucie (784 bity), 98 bajtów przechwyconych (784 bitów) na interfejsie 0
Identyfikator interfejsu: 0 (ENP0S3)
Nazwa interfejsu: ENP0S3
Rodzaj enkapsulacji: Ethernet (1)
Czas przyjazdu: 9 stycznia 2021 21:23:39.167581606 Pkt
[Zmiana czasu dla tego pakietu: 0.000000000 sekund]
Czas epoki: 1610209419.167581606 sekundy
[Delta czasowa z poprzedniej przechwyconej ramki: 0.000000000 sekund]
[Delta czasowa z poprzednich wyświetlonej ramki: 0.000000000 sekund]
[Czas od referencji lub pierwszej ramy: 0.000000000 sekund]
Numer ramki: 1
Długość ramy: 98 bajtów (784 bity)
Długość przechwytywania: 98 bajtów (784 bitów)
[Ramka jest oznaczona: false]
[Rama jest ignorowana: Fałsz]
[Protokoły w ramce: ETH: EtherType: IP: ICMP: Data]
Ethernet II, SRC: PCSCOPU_17: FC: A6 (08: 00: 27: 17: FC: A6), DST: RealTeku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Miejsce docelowe: RealTeku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adres: RealTeku_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG Bit: Administrowany lokalnie adres (to nie jest domyślne fabryczne)
… 0… = IG Bit: Indywidualny adres (emisja pojedyncza)
Źródło: PCSCOPU_17: FC: A6 (08: 00: 27: 17: FC: A6)
Adres: PCSCOPU_17: FC: A6 (08: 00: 27: 17: FC: A6)
Identyfikator interfejsu: 0 (ENP0S3)
Nazwa interfejsu: ENP0S3
Rodzaj enkapsulacji: Ethernet (1)
Czas przyjazdu: 9 stycznia 2021 21:23:39.167581606 Pkt
[Zmiana czasu dla tego pakietu: 0.000000000 sekund]
Czas epoki: 1610209419.167581606 sekundy
[Delta czasowa z poprzedniej przechwyconej ramki: 0.000000000 sekund]
[Delta czasowa z poprzednich wyświetlonej ramki: 0.000000000 sekund]
[Czas od referencji lub pierwszej ramy: 0.000000000 sekund]
Numer ramki: 1
Długość ramy: 98 bajtów (784 bity)
Długość przechwytywania: 98 bajtów (784 bitów)
[Ramka jest oznaczona: false]
[Rama jest ignorowana: Fałsz]
[Protokoły w ramce: ETH: EtherType: IP: ICMP: Data]
Ethernet II, SRC: PCSCOPU_17: FC: A6 (08: 00: 27: 17: FC: A6), DST: RealTeku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Miejsce docelowe: RealTeku_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adres: RealTeku_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG Bit: Administrowany lokalnie adres (to nie jest domyślne fabryczne)
… 0… = IG Bit: Indywidualny adres (emisja pojedyncza)
Źródło: PCSCOPU_17: FC: A6 (08: 00: 27: 17: FC: A6)
Adres: PCSCOPU_17: FC: A6 (08: 00: 27: 17: FC: A6)
… 0… = LG bit: globalnie unikalny adres (domyślnie fabrycznie)
… 0… = IG Bit: Indywidualny adres (emisja pojedyncza)
Typ: IPv4 (0x0800)
Protokół internetowy Wersja 4, SRC: 10.0.2.15, DST: 104.26.10.240
0100… = wersja: 4
… 0101 = długość nagłówka: 20 bajtów (5)
Zróżnicowane usługi Pole: 0x00 (DSCP: CS0, ECN: not-ect)
0000 00… = CodePoint usług zróżnicowanych: domyślnie (0)
… 00 = wyraźne powiadomienie o zatłoczeniu: nie transport w obsłudze ECN (0)
Całkowita długość: 84
Identyfikacja: 0xcc96 (52374)
Flagi: 0x4000, nie fragmentuj
0… = zarezerwowany bit: nie ustawiony
.1… = nie fragmentu: ustaw
… 0… = więcej fragmentów: nie ustawione
… 0 0000 0000 0000 = przesunięcie fragmentu: 0
Czas na życie: 64
Protokół: ICMP (1)
Suma kontrolna nagłówka: 0xeeF9 [Walidacja wyłączona]
[Status sumy kontrolnej nagłówka: niezweryfikowany]
Źródło: 10.0.2.15
Miejsce docelowe: 104.26.10.240
Protokół komunikatu kontroli Internetu
Typ: 8 (żądanie Echo (Ping))
Kod: 0
Suma kontrolna: 0x0cb7 [poprawne]
[Status suma kontrolnego: Dobry]
Identyfikator (be): 5038 (0x13AE)
Identyfikator (LE): 44563 (0xae13)
Numer sekwencji (BE): 1 (0x0001)
Numer sekwencji (LE): 256 (0x0100)
Znacznik czasu z ICMP Dane: 9 stycznia 2021 21:23:39.000000000 Pkt
[Znacznik czasu z danych ICMP (względny): 0.167581606 sekundy]
Dane (48 bajtów)
0000 91 8e 02 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1A 1B 1C 1D 1E 1F 20 21 22 23 24 25 26 27… !"#$%& '
0020 28 29 2A 2B 2C 2D 2E 2F 30 31 32 33 34 35 36 37 ()*+,-./01234567
Dane: 918E020000000000101112131415161718191A1B1C1D1E1F…
[Długość: 48]

Wniosek:

Najtrudniejszym aspektem analizy pakietów jest znalezienie najbardziej istotnych informacji i ignorowanie bezużytecznych fragmentów. Mimo że interfejsy graficzne są łatwe, nie mogą przyczynić się do zautomatyzowanej analizy pakietów sieciowych. W tym artykule nauczyłeś się najbardziej przydatnych parametrów TSHARK do przechwytywania, wyświetlania, zapisywania i odczytania plików ruchu sieciowego.

TSHark to bardzo przydatne narzędzie, które odczytuje i zapisuje pliki przechwytywania obsługiwane przez Wireshark. Połączenie filtrów wyświetlania i przechwytywania wiele przyczynia się podczas pracy nad przypadkami użycia na poziomie zaawansowanym. Możemy wykorzystać możliwość drukowania pól i manipulowanie danymi zgodnie z naszymi wymaganiami dotyczącymi dogłębnej analizy. Innymi słowy, jest w stanie zrobić praktycznie wszystko, co robi Wireshark. Co najważniejsze, jest idealny do zdalnego wąchania pakietu, który jest tematem na kolejny dzień.