Tshark

Pooleli

Sissejuhatus

Tshark on programm on võrguliikluse jälgimiseks ja analüüsimiseks.

Põhimõtteliselt on tegemist Wireshark-i käsurea versiooniga. Jälgitava liikluse

saab salvestada faili ja loomulikult analüüsimiseks failist lugeda. Kasutatavad

failid on Wiresharkiga vastastikku ühilduvad.

Kasutamine

Võtmed

Kuna kasutatavaid võtmeid on väga palju, siis siinkohal peatuks vaid

olulisematel.

-a <jälgimise lõpetamise tingimus>

duration:väärtus (salvestamine lõpetatakse pärast väärtuses määratud sekundeid)

filesize:väärtus (salvestamine lõpetatkse, kui faili suurus on väärtuses määratud arv kilobaite)

files:väärtus (salvestamine lõpetatakse, kui vastav arv faile on kirjutatud)

-b <salvestamise ringpuhvri seaded>

Selle võtmega saab panna faile üle kirjutama, kui eelmine on täis. Kasutatavad tingimused on samad kui eelmisel võtmel.

Näiteks viie ühemegabaidise faili tekitamiseks, mida järgmemööda üle kirjutatakse:

tshark -b filesize:1024 -b files:5 

-B <jälgmispuhvri suurus megabaitides>

-c <jälgitavate pakettide arv>

-C <konfiguratsiooni profiil> laetakse vastav profiil

-d <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud pakette dekodeeritakse näiteks kõikide TCP port 8888 pakettide dekodeerimiseks kui HTTP

tshark -d tcp.port==8888,http 

-D kuvab nimekirja võrguseadmeist, mille liiklust on võimalik jälgida

-e <väli> lisab vastava välja kuvatavate väljade hulka kui -T väljad on valitud näiteks

tshark -e frame.number -e ip.addr -e udp

-f <jälgimise filter> -F <faili vorming>

-i <jälgitav seade> Näiteks

tshark -i eth0

-r <fail> loeb info vastavast failist

-R <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist näiteks

tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap

Filtri koostamise spikker:

“Ethernet address 00:08:15:00:08:15” 	eth.addr == 00:08:15:00:08:15
“Ethernet type 0×0806 (ARP)” 	eth.type == 0×0806
“Ethernet broadcast” 	eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” 	not arp
“IP only” 	ip
“IP address 192.168.0.1” 	ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” 	!(ip.addr == 192.168.0.1)
“IPX only” 	ipx
“TCP only” 	tcp
“UDP only” 	udp
“UDP port isn't 53 (not DNS), don't use != for this!” 	!(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” 	tcp.port == 80 || udp.port == 80
“HTTP” 	http
“No ARP and no DNS” 	not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1”	not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1

-T pdml|psml|ps|text|fields salvestatava faili vormingu valimiseks

pdml Packet Details Markup Language

psml Packet Summary Markup Language

ps PostScript

text tekstifail

fields -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks

-w <failinimi> salvestatav fail

-z <statistika> võimaldab failist lugemisel kuvada erinevat statistikat

näiteks genereeri ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest

tshark -z io,stat,1,ip.addr==1.2.3.4 

kuva kõikide tcp pakkettide lähtepordid

tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" 

Kuva kõikide pilte kandvate http pakettide content_type ja content_length väljad

tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" 
-z "proto,colinfo,http.content_type,http.content_type"

Seadistamine

Globaalsed seaded asuvad installatsioonikataloogis /share alamkataloogis. Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis. Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Kasutatakse viimasena loetud seadeid. Seaded asuvad järgmistes failides:

preferences - üldised seaded

disabled_protos - protokollid, mida ei kasutata

Kasutatud materjalid

http://www.wireshark.org/docs/man-pages/tshark.html

http://www.codealias.info/technotes/the_tshark_capture_and_filter_example_page

Autor Priit Lume AK31