Tshark: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Line 39: Line 39:
'''-B''' <jälgmispuhvri suurus megabaitides>
'''-B''' <jälgmispuhvri suurus megabaitides>


'''-c''' <jälgitvate akettide arv>
'''-c''' <jälgitavate akettide arv>


'''-C''' <konfiguratsiooni profiil> laetakse vastav profiil
'''-C''' <konfiguratsiooni profiil> laetakse vastav profiil
Line 69: Line 69:
'''Filtri koostamise spikker:'''
'''Filtri koostamise spikker:'''


“Ethernet address 00:08:15:00:08:15” eth.addr == 00:08:15:00:08:15
“Ethernet address 00:08:15:00:08:15” eth.addr == 00:08:15:00:08:15
“Ethernet type 0×0806 (ARP)” eth.type == 0×0806
“Ethernet type 0×0806 (ARP)” eth.type == 0×0806
“Ethernet broadcast” eth.addr == ff:ff:ff:ff:ff:ff
“Ethernet broadcast” eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” not arp
“No ARP” not arp
“IP only” ip
“IP only” ip
“IP address 192.168.0.1” ip.addr == 192.168.0.1
“IP address 192.168.0.1” ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” !(ip.addr == 192.168.0.1)
“IP address isn't 192.168.0.1, don't use != for this!” !(ip.addr == 192.168.0.1)
“IPX only” ipx
“IPX only” ipx
“TCP only” tcp
“TCP only” tcp
“UDP only” udp
“UDP only” udp
“UDP port isn't 53 (not DNS), don't use != for this!” !(tcp.port == 53)
“UDP port isn't 53 (not DNS), don't use != for this!” !(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” tcp.port == 80 || udp.port == 80
“TCP or UDP port is 80 (HTTP)” tcp.port == 80 || udp.port == 80
“HTTP” http
“HTTP” http
“No ARP and no DNS” not arp and not (udp.port == 53)
“No ARP and no DNS” not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1” not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1
“Non-HTTP and non-SMTP to/from 192.168.0.1” not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1


'''-T''' pdml|psml|ps|text|fields
'''-T''' pdml|psml|ps|text|fields

Revision as of 12:11, 15 April 2011

Sissejuhatus

Tshark on programm on võrguliikluse jälgimiseks ja analüüsimiseks.

Põhimõtteliselt on tegemist Wireshark-i käsurea versiooniga. Jälgitava liikluse

saab salvestada faili ja loomulikult analüüsimiseks failist lugeda. Kasutatavad

failid on Wiresharkiga vastastikku ühilduvad.


Kasutamine

Võtmed

Kuna kasutatavaid võtmeid on väga palju, siis siinkohal peatuks vaid

olulisematel.

-a <jälgimise lõpetamise tingimus>

duration:väärtus(salvestamine lõpetatakse pärast väärtuses määratud sekundeid

filesize:väärtus (salvestamine lõpetatkse kui faili suurus on väärtuses määratud arv kilobaite)

files:väärtus(salvestamine lõpetatakse kui vastav arv fale on kirjutatud)

-b <salvestamise ringpuhvri seaded>

Selle võtmega saab panna faile üle kirjutama, kui eelmine on täis. Kasutatavad tingimused on samad kui eelmisel võtmel.

Näiteks viie ühemegabaidise faili tekitamiseks, mida järgmemööda üle kirjutatakse:

tshark -b filesize:1024 -b files:5 

-B <jälgmispuhvri suurus megabaitides>

-c <jälgitavate akettide arv>

-C <konfiguratsiooni profiil> laetakse vastav profiil

-d <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud pakette dekodeeritakse näiteks kõikide TCP port 8888 pakettide dekodeerimiseks kui HTTP

tshark -d tcp.port==8888,http 

-D kuvab nimekirja võrguseadmeist, mille liiklust on võimalik jälgida

-e <väli> lisab vastava välja kuvatavate väljade hulka kui -T väljad on valitud näiteks

tshark -e frame.number -e ip.addr -e udp

-f <jälgimise filter> -F <faili vorming>

-i <jälgitav seade> Näiteks

tshark -i eth0

-r <fail> loeb info vastavast failist

-R <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist näiteks

tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap

Filtri koostamise spikker:

“Ethernet address 00:08:15:00:08:15” 	eth.addr == 00:08:15:00:08:15
“Ethernet type 0×0806 (ARP)” 	eth.type == 0×0806
“Ethernet broadcast” 	eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” 	not arp
“IP only” 	ip
“IP address 192.168.0.1” 	ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” 	!(ip.addr == 192.168.0.1)
“IPX only” 	ipx
“TCP only” 	tcp
“UDP only” 	udp
“UDP port isn't 53 (not DNS), don't use != for this!” 	!(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” 	tcp.port == 80 || udp.port == 80
“HTTP” 	http
“No ARP and no DNS” 	not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1”	not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1

-T pdml|psml|ps|text|fields Salvestatava faili vormingu valimiseks

pdml Packet Details Markup Language

psml Packet Summary Markup Language

ps PostScript

text tekstifail

fields -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks

-w <failinimi>salvestatav fail

-z <statistika> võimaldab failist lugemisel kuvada erinevat statistikat

näiteks

tshark -z io,stat,1,ip.addr==1.2.3.4 genereerib ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest
tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" kuvab kõikide tcp pakkettide lähtepordi
tshark -R "http.response and http.content_type contains image" -z 

"proto,colinfo,http.content_length,http.content_length" -z

"proto,colinfo,http.content_type,http.content_type"

Kuvab kõikide pilte kandvate http pakettide content_type ja content_length väljad

Seadistamine

Globaalne seaded asuvad installatsioonikataloogis share alamkataloogis. Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis. Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Seaded asuvad järgmistes failides: preferences - üldised seaded disabled_protos - protokollid, mida ei kasutata


Kasutatud materjalid

http://www.wireshark.org/docs/man-pages/tshark.html

http://www.codealias.info/technotes/the_tshark_capture_and_filter_example_page


Autor Priit Lume AK31