Tshark
Pooleli
Sissejuhatus
Tshark on programm on võrguliikluse jälgimiseks ja analüüsimiseks.
Põhimõtteliselt on tegemist Wireshark-i käsurea versiooniga. Jälgitava liikluse
saab salvestada faili ja loomulikult analüüsimiseks failist lugeda. Kasutatavad
failid on Wiresharkiga vastastikku ühilduvad.
Kasutamine
Võtmed
Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad.
-a <jälgimise lõpetamise tingimus>
duration:väärtus (salvestamine lõpetatakse pärast väärtuses määratud sekundeid)
filesize:väärtus (salvestamine lõpetatkse, kui faili suurus on väärtuses määratud arv kilobaite)
files:väärtus (salvestamine lõpetatakse, kui vastav arv faile on kirjutatud)
-b <salvestamise ringpuhvri seaded>
Selle võtmega kirjutatakse failid järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel.
Näiteks teha viis ühemegabaidist faili, mida siis järgemööda üle kirjutatada:
tshark -b filesize:1024 -b files:5
-B <jälgmispuhvri suurus megabaitides>
-c <jälgitavate pakettide arv>
-C <konfiguratsiooni profiil> laetakse vastav profiil
-d <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse näiteks dekodeeri kõikid TCP port 8888 paketid kui HTTP
tshark -d tcp.port==8888,http
-D kuvab nimekirja võrguadapteritest, mille liiklust on võimalik jälgida
-e <väli> lisab vastava välja kuvatavate väljade hulka , kasutatakse koos võtmega -T näiteks
tshark -e frame.number -e ip.addr -e udp
-f <jälgimise filter> -F <faili vorming>
-i <jälgitav seade> Näiteks
tshark -i eth0
-r <fail> loeb info vastavast failist
-R <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist näiteks
tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap
Filtri koostamise spikker:
“Ethernet address 00:08:15:00:08:15” eth.addr == 00:08:15:00:08:15 “Ethernet type 0×0806 (ARP)” eth.type == 0×0806 “Ethernet broadcast” eth.addr == ff:ff:ff:ff:ff:ff “No ARP” not arp “IP only” ip “IP address 192.168.0.1” ip.addr == 192.168.0.1 “IP address isn't 192.168.0.1, don't use != for this!” !(ip.addr == 192.168.0.1) “IPX only” ipx “TCP only” tcp “UDP only” udp “UDP port isn't 53 (not DNS), don't use != for this!” !(tcp.port == 53) “TCP or UDP port is 80 (HTTP)” tcp.port == 80 || udp.port == 80 “HTTP” http “No ARP and no DNS” not arp and not (udp.port == 53) “Non-HTTP and non-SMTP to/from 192.168.0.1” not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1
-T pdml|psml|ps|text|fields salvestatava faili vormingu valimiseks
pdml Packet Details Markup Language
psml Packet Summary Markup Language
ps PostScript
text tekstifail
fields -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks
-w <failinimi> salvestatav fail
-z <statistika> võimaldab failist lugemisel kuvada erinevat statistikat
näiteks genereeri ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest
tshark -z io,stat,1,ip.addr==1.2.3.4
kuva kõikide tcp pakkettide lähtepordid
tshark -z "proto,colinfo,tcp.srcport,tcp.srcport"
Kuva kõikide pilte kandvate http pakettide content_type ja content_length väljad
tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" -z "proto,colinfo,http.content_type,http.content_type"
Seadistamine
Globaalsed seaded asuvad installatsioonikataloogis /share alamkataloogis. Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis. Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Kasutatakse viimasena loetud seadeid. Seaded asuvad järgmistes failides:
preferences - üldised seaded
disabled_protos - protokollid, mida ei kasutata
Kasutatud materjalid
http://www.wireshark.org/docs/man-pages/tshark.html
http://www.codealias.info/technotes/the_tshark_capture_and_filter_example_page
Autor Priit Lume AK31