Tshark: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Plume (talk | contribs)
No edit summary
Plume (talk | contribs)
 
(75 intermediate revisions by the same user not shown)
Line 1: Line 1:
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]


== Sissejuhatus ==
== Sissejuhatus ==




Tshark on programm on võrguliikluse jälgimiseks ja analüüsimiseks.  
'''Tshark''' on rakendus võrguliikluse jälgimiseks ja analüüsiks.
 
Oma olemuselt on tshark käsurealt kasutatav [[Wireshark]], ka kasutatavad failitüübid on samad.
 
Tsharki levitatakse koos Wiresharkiga GNU GPL litsentsi alusel.
 
== Eeldused ==


Põhimõtteliselt on tegemist Wireshark-i käsurea versiooniga. Jälgitava liikluse


saab salvestada faili ja loomulikult analüüsimiseks failist lugeda. Kasutatavad
Tshark on kasutatav nii Windowsi kui Unixi keskkonnas


failid on Wiresharkiga vastastikku ühilduvad.
Paigaldamiseks on vaja administraatori õiguseid.


Soovitatav on varasem kogemus käsurea tööriistadega ja elementaarsed teadmised tcp/ip võrgust.


== Paigaldamine ==


== Kasutamine ==


Linuxi keskkonnas tsharki paigaldamine


'''Võtmed'''
(Debian, Ubuntu)
sudo apt-get install tshark 


Kuna kasutatavaid võtmeid on väga palju, siis siinkohal peatuks vaid
(RedHat/Fedora)
sudo yum install tshark 


olulisematel.
Windowsi keskkonnas tsharki kasutamiseks tuleb paigaldada hoopis Wireshark, kuna tsharki levitatakse viimasega koos.  
Paigaldamiseks tuleb käivitada operatsioonisüsteemile vastav installatsioonifail, näiteks ''wireshark-win64-1.4.6.exe''


'''-a <jälgimise lõpetamise tingimus>'''
= Kasutatavad võtmed =


'''duration:väärtus''' (salvestamine lõpetatakse pärast väärtuses määratud sekundeid


'''filesize:väärtus''' (salvestamine lõpetatkse kui faili suurus on väärtuses määratud arv kilobaite)
Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad.


'''files:väärtus''' (salvestamine lõpetatakse kui vastav arv fale on kirjutatud)
'''-a''' <jälgimise lõpetamise tingimus>


'''-b <salvestamise ringpuhvri seaded>'''
''duration:<sekundeid>''  


Selle võtmega saab panna faile üle kirjutama, kui eelmine on täis. Kasutatavad tingimused on samad kui eelmisel võtmel.
''filesize:<kilobaiti>'' 


Näiteks 5 ühe megabaidise faili tekitamiseks, mida järgmemööda üle kirjutatakse:
''files:<failide arv>''
 
'''-b'''  <salvestamise ringpuhvri seaded>
 
Faile kirjutatakse järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel.
 
Näiteks teha viis ühemegabaidist faili, mida siis järgemööda üle kirjutatada:
  tshark -b filesize:1024 -b files:5  
  tshark -b filesize:1024 -b files:5  


'''-B <jälgmispuhvri suurus megabaitides>'''
'''-B'''  <jälgmispuhvri suurus megabaitides>


'''-c <jälgitvate akettide arv>'''
'''-c'''  <jälgitavate pakettide arv>


'''-C <konfiguratsiooni profiil>''' laetakse vastav profiil
'''-C'''  <konfiguratsiooni profiil> laetakse vastav profiil


'''-d <layer type>==<selector>,<decode-as protocol>''' Võimaldab määrata, kuidas valitud pakette dekodeeritakse  
'''-d'''  <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse  
näiteks kõikide TCP port 8888 pakettide dekodeerimiseks kui HTTP
Näiteks dekodeeri kõik TCP port 8888 paketid kui HTTP
  tshark -d tcp.port==8888,http  
  tshark -d tcp.port==8888,http  


'''-D''' kuvab nimekirja võrguseadmeist, mille liiklust on võimalik jälgida
'''-D''' kuvab võrguadapterid, mille liiklust saab jälgida. NB! Tavakasutaja õigused ei pruugi olla piisavad korrektse vastuse saamiseks.


'''-e <väli>''' lisab vastava välja kuvatavate väljade hulka kui -T väljad on valitud
'''-e'''  <väli> lisab välja kuvatavate väljade hulka , kasutatakse koos võtmega -T  
näiteks
näiteks


  tshark -e frame.number -e ip.addr -e udp
  tshark -e frame.number -e ip.addr -e udp


'''-f <jälgimise filter>'''
'''
-F <faili vorming>'''


'''-i <jälgitav seade>'''
'''-T pdml|psml|ps|text|fields''' salvestatava faili vormingu valimiseks
Näiteks
tshark -i eth0


'''-r <fail>''' loeb info vastavast failist
''pdml'' Packet Details Markup Language


'''-R <kuvamisfilter>''' kuvatakse ainult filtri tingimustele vastav sisu failist
''psml'' Packet Summary Markup Language
näiteks
 
  tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap
''ps'' PostScript
 
''text'' tekstifail
 
''fields''  -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks
 
 
'''-f'''  <jälgimise filter>
 
'''-F''' < faili vorming>
 
'''-i''' <jälgitav adapter>
Näiteks -i eth0


'''Filtri koostamise spikker:'''
'''-r''' <fail> faili lugemiseks


“Ethernet address 00:08:15:00:08:15” eth.addr == 00:08:15:00:08:15
'''-w'''  <failinimi> salvestatav fail
“Ethernet type 0×0806 (ARP)” eth.type == 0×0806
“Ethernet broadcast” eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” not arp
“IP only” ip
“IP address 192.168.0.1” ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” !(ip.addr == 192.168.0.1)
“IPX only” ipx
“TCP only” tcp
“UDP only” udp
“UDP port isn't 53 (not DNS), don't use != for this!” !(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” tcp.port == 80 || udp.port == 80
“HTTP” http
“No ARP and no DNS” not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1” not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1


'''-T pdml|psml|ps|text|fields'''
'''-R''' <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist
Salvestatava faili vormingu valimiseks
näiteks
tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap


'''pdml''' Packet Details Markup Language
== Filtri koostamise spikker ==


'''psml''' Packet Summary Markup Language
“Ethernet address 00:08:15:00:08:15” eth.addr == 00:08:15:00:08:15
“Ethernet type 0×0806 (ARP)” eth.type == 0×0806
“Ethernet broadcast” eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” not arp
“IP only” ip
“IP address 192.168.0.1” ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” !(ip.addr == 192.168.0.1)
“IPX only” ipx
“TCP only” tcp
“UDP only” udp
“UDP port isn't 53 (not DNS), don't use != for this!” !(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” tcp.port == 80 || udp.port == 80
“HTTP” http
“No ARP and no DNS” not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1” not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1


'''ps''' PostScript


'''text''' tekstifail


'''fields''' -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks
== Statistika kuvamine ==


'''-w <failinimi>''' salvestatav fail


'''-z <statistika>''' võimaldab failist lugemisel kuvada erinevat statistikat  
'''-z'''  <statistika> võimaldab failist lugemisel kuvada erinevat statistikat  


näiteks
näiteks genereeri ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest
  tshark -z io,stat,1,ip.addr==1.2.3.4 genereerib ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest
  tshark -z io,stat,1,ip.addr==1.2.3.4  


  tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" kuvab kõikide tcp pakkettide lähtepordi
kuva kõikide tcp pakkettide lähtepordid
  tshark -z "proto,colinfo,tcp.srcport,tcp.srcport"  


  tshark -R "http.response and http.content_type contains image" -z  
Kuva kõikide pilte kandvate http pakettide content_type ja content_length väljad
  tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length"
-z "proto,colinfo,http.content_type,http.content_type"


"proto,colinfo,http.content_length,http.content_length" -z
= Seadistamine =


"proto,colinfo,http.content_type,http.content_type"
Kuvab kõikide pilte kandvate http pakettide content_type ja content_length väljad


Globaalsed seaded asuvad installatsioonikataloogis /share alamkataloogis.
Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis, Windwsi keskkonnas %USERPROFILE%\Application Data\Wireshark\preferences\


== Seadistamine ==
Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad).
Käiku lähevad viimasena loetud seadeid või '''-o''' võtmega määratud seaded


Konfiguratsioonifaili seaded on kujul


Globaalne seaded asuvad installatsioonikataloogis share alamkataloogis.
''seade:<väärtus>''
Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis.
Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Seaded asuvad järgmistes failides:
'''preferences''' - üldised seaded
'''disabled_protos''' - protokollid, mida ei kasutata


= Kokkuvõte =


Tsharki näol on tegemist paljude võimalustega võimsa tööriistaga, mis ühildub hästi erinevate operatsioonisüsteemide ning tarkvaraga. Kui graafilise kasutajaliidese kasutamine pole võimalik, on tshark vääriline alternatiiv võrguliikluse analüüsimiseks. Samas võtab selline võimalusterohkus lõivu kasutusmugavuselt. Kasutatavaid võtmeid on rohkem kui tähestikus tähti ja seetõttu peab käsku sisestades väga tähelepanelik olema, eriti kui see käsk koos kõigi oma võtmete ja parameetritega ulatub üle mitme rea.
Seega, kui vaja käsurea tingimustes võrguliiklust analüüsida, on tshark igati sobilik tööriist.
Aga kui on vaja vaid jälgida, mis võrgus liigub, siis kõlbab selleks ka lihtsamini kasutatav [[tcpdump]], mille tekitatud faile saab vajadusel tsharkiga põhjalikumalt analüüsida.


== Kasutatud materjalid ==
= Kasutatud materjalid =


http://www.wireshark.org/docs/man-pages/tshark.html
http://www.wireshark.org/docs/man-pages/tshark.html

Latest revision as of 15:30, 7 May 2011


Sissejuhatus

Tshark on rakendus võrguliikluse jälgimiseks ja analüüsiks.

Oma olemuselt on tshark käsurealt kasutatav Wireshark, ka kasutatavad failitüübid on samad.

Tsharki levitatakse koos Wiresharkiga GNU GPL litsentsi alusel.

Eeldused

Tshark on kasutatav nii Windowsi kui Unixi keskkonnas

Paigaldamiseks on vaja administraatori õiguseid.

Soovitatav on varasem kogemus käsurea tööriistadega ja elementaarsed teadmised tcp/ip võrgust.

Paigaldamine

Linuxi keskkonnas tsharki paigaldamine

(Debian, Ubuntu)

sudo apt-get install tshark   

(RedHat/Fedora)

sudo yum install tshark  

Windowsi keskkonnas tsharki kasutamiseks tuleb paigaldada hoopis Wireshark, kuna tsharki levitatakse viimasega koos. Paigaldamiseks tuleb käivitada operatsioonisüsteemile vastav installatsioonifail, näiteks wireshark-win64-1.4.6.exe

Kasutatavad võtmed

Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad.

-a <jälgimise lõpetamise tingimus>

duration:<sekundeid>

filesize:<kilobaiti>

files:<failide arv>

-b <salvestamise ringpuhvri seaded>

Faile kirjutatakse järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel.

Näiteks teha viis ühemegabaidist faili, mida siis järgemööda üle kirjutatada:

tshark -b filesize:1024 -b files:5 

-B <jälgmispuhvri suurus megabaitides>

-c <jälgitavate pakettide arv>

-C <konfiguratsiooni profiil> laetakse vastav profiil

-d <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse Näiteks dekodeeri kõik TCP port 8888 paketid kui HTTP

tshark -d tcp.port==8888,http 

-D kuvab võrguadapterid, mille liiklust saab jälgida. NB! Tavakasutaja õigused ei pruugi olla piisavad korrektse vastuse saamiseks.

-e <väli> lisab välja kuvatavate väljade hulka , kasutatakse koos võtmega -T näiteks

tshark -e frame.number -e ip.addr -e udp


-T pdml|psml|ps|text|fields salvestatava faili vormingu valimiseks

pdml Packet Details Markup Language

psml Packet Summary Markup Language

ps PostScript

text tekstifail

fields -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks


-f <jälgimise filter>

-F < faili vorming>

-i <jälgitav adapter> Näiteks -i eth0

-r <fail> faili lugemiseks

-w <failinimi> salvestatav fail

-R <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist näiteks

tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap

Filtri koostamise spikker

“Ethernet address 00:08:15:00:08:15” 	eth.addr == 00:08:15:00:08:15
“Ethernet type 0×0806 (ARP)” 	eth.type == 0×0806
“Ethernet broadcast” 	eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” 	not arp
“IP only” 	ip
“IP address 192.168.0.1” 	ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” 	!(ip.addr == 192.168.0.1)
“IPX only” 	ipx
“TCP only” 	tcp
“UDP only” 	udp
“UDP port isn't 53 (not DNS), don't use != for this!” 	!(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” 	tcp.port == 80 || udp.port == 80
“HTTP” 	http
“No ARP and no DNS” 	not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1”	not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1


Statistika kuvamine

-z <statistika> võimaldab failist lugemisel kuvada erinevat statistikat

näiteks genereeri ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest

tshark -z io,stat,1,ip.addr==1.2.3.4 

kuva kõikide tcp pakkettide lähtepordid

tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" 

Kuva kõikide pilte kandvate http pakettide content_type ja content_length väljad

tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" 
-z "proto,colinfo,http.content_type,http.content_type"

Seadistamine

Globaalsed seaded asuvad installatsioonikataloogis /share alamkataloogis. Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis, Windwsi keskkonnas %USERPROFILE%\Application Data\Wireshark\preferences\

Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Käiku lähevad viimasena loetud seadeid või -o võtmega määratud seaded

Konfiguratsioonifaili seaded on kujul

seade:<väärtus>

Kokkuvõte

Tsharki näol on tegemist paljude võimalustega võimsa tööriistaga, mis ühildub hästi erinevate operatsioonisüsteemide ning tarkvaraga. Kui graafilise kasutajaliidese kasutamine pole võimalik, on tshark vääriline alternatiiv võrguliikluse analüüsimiseks. Samas võtab selline võimalusterohkus lõivu kasutusmugavuselt. Kasutatavaid võtmeid on rohkem kui tähestikus tähti ja seetõttu peab käsku sisestades väga tähelepanelik olema, eriti kui see käsk koos kõigi oma võtmete ja parameetritega ulatub üle mitme rea. Seega, kui vaja käsurea tingimustes võrguliiklust analüüsida, on tshark igati sobilik tööriist. Aga kui on vaja vaid jälgida, mis võrgus liigub, siis kõlbab selleks ka lihtsamini kasutatav tcpdump, mille tekitatud faile saab vajadusel tsharkiga põhjalikumalt analüüsida.

Kasutatud materjalid

http://www.wireshark.org/docs/man-pages/tshark.html

http://www.codealias.info/technotes/the_tshark_capture_and_filter_example_page


Autor Priit Lume AK31