Tshark: Difference between revisions
| Line 21: | Line 21: | ||
Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad. | Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad. | ||
'''-a''' <jälgimise lõpetamise tingimus> | '''-a''' <jälgimise lõpetamise tingimus> | ||
''duration:<sekundeid>'' | ''duration:<sekundeid>'' | ||
| Line 29: | Line 29: | ||
''files:<failide arv>'' | ''files:<failide arv>'' | ||
'''-b''' <salvestamise ringpuhvri seaded> | '''-b''' <salvestamise ringpuhvri seaded> | ||
Faile kirjutatakse järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel. | Faile kirjutatakse järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel. | ||
| Line 36: | Line 36: | ||
tshark -b filesize:1024 -b files:5 | tshark -b filesize:1024 -b files:5 | ||
'''-B''' <jälgmispuhvri suurus megabaitides> | '''-B''' <jälgmispuhvri suurus megabaitides> | ||
'''-c''' <jälgitavate pakettide arv> | '''-c''' <jälgitavate pakettide arv> | ||
'''-C''' <konfiguratsiooni profiil> laetakse vastav profiil | '''-C''' <konfiguratsiooni profiil> laetakse vastav profiil | ||
'''-d''' <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse | '''-d''' <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse | ||
Näiteks dekodeeri kõik TCP port 8888 paketid kui HTTP | Näiteks dekodeeri kõik TCP port 8888 paketid kui HTTP | ||
tshark -d tcp.port==8888,http | tshark -d tcp.port==8888,http | ||
'''-D''' kuvab võrguadapterid, mille liiklust saab jälgida. NB! Tavakasutaja õigused ei pruugi olla piisavad korrektse vastuse saamiseks. | '''-D''' kuvab võrguadapterid, mille liiklust saab jälgida. NB! Tavakasutaja õigused ei pruugi olla piisavad korrektse vastuse saamiseks. | ||
'''-e''' <väli> lisab | '''-e''' <väli> lisab välja kuvatavate väljade hulka , kasutatakse koos võtmega -T | ||
näiteks | näiteks | ||
tshark -e frame.number -e ip.addr -e udp | tshark -e frame.number -e ip.addr -e udp | ||
'''-f''' <jälgimise filter> | '''-f''' <jälgimise filter> | ||
'''-F''' <faili vorming> | '''-F''' < faili vorming> | ||
'''-i''' <jälgitav adapter> | '''-i''' <jälgitav adapter> | ||
Näiteks | Näiteks -i eth0 | ||
'''-r''' <fail> faili lugemiseks | '''-r''' <fail> faili lugemiseks | ||
Revision as of 21:26, 17 April 2011
Pooleli
Sissejuhatus
Tshark on programm on võrguliikluse jälgimiseks ja analüüsimiseks.
Põhimõtteliselt on tegemist Wireshark-i käsurea versiooniga. Jälgitava liikluse
saab salvestada faili ja loomulikult analüüsimiseks failist lugeda. Kasutatavad
failid on Wiresharkiga vastastikku ühilduvad.
Kasutamine
Võtmed
Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad.
-a <jälgimise lõpetamise tingimus>
duration:<sekundeid>
filesize:<kilobaiti>
files:<failide arv>
-b <salvestamise ringpuhvri seaded>
Faile kirjutatakse järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel.
Näiteks teha viis ühemegabaidist faili, mida siis järgemööda üle kirjutatada:
tshark -b filesize:1024 -b files:5
-B <jälgmispuhvri suurus megabaitides>
-c <jälgitavate pakettide arv>
-C <konfiguratsiooni profiil> laetakse vastav profiil
-d <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse Näiteks dekodeeri kõik TCP port 8888 paketid kui HTTP
tshark -d tcp.port==8888,http
-D kuvab võrguadapterid, mille liiklust saab jälgida. NB! Tavakasutaja õigused ei pruugi olla piisavad korrektse vastuse saamiseks.
-e <väli> lisab välja kuvatavate väljade hulka , kasutatakse koos võtmega -T näiteks
tshark -e frame.number -e ip.addr -e udp
-f <jälgimise filter> -F < faili vorming>
-i <jälgitav adapter> Näiteks -i eth0
-r <fail> faili lugemiseks
-R <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist näiteks
tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap
Filtri koostamise spikker:
“Ethernet address 00:08:15:00:08:15” eth.addr == 00:08:15:00:08:15 “Ethernet type 0×0806 (ARP)” eth.type == 0×0806 “Ethernet broadcast” eth.addr == ff:ff:ff:ff:ff:ff “No ARP” not arp “IP only” ip “IP address 192.168.0.1” ip.addr == 192.168.0.1 “IP address isn't 192.168.0.1, don't use != for this!” !(ip.addr == 192.168.0.1) “IPX only” ipx “TCP only” tcp “UDP only” udp “UDP port isn't 53 (not DNS), don't use != for this!” !(tcp.port == 53) “TCP or UDP port is 80 (HTTP)” tcp.port == 80 || udp.port == 80 “HTTP” http “No ARP and no DNS” not arp and not (udp.port == 53) “Non-HTTP and non-SMTP to/from 192.168.0.1” not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1
-T pdml|psml|ps|text|fields salvestatava faili vormingu valimiseks
pdml Packet Details Markup Language
psml Packet Summary Markup Language
ps PostScript
text tekstifail
fields -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks
-w <failinimi> salvestatav fail
-z <statistika> võimaldab failist lugemisel kuvada erinevat statistikat
näiteks genereeri ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest
tshark -z io,stat,1,ip.addr==1.2.3.4
kuva kõikide tcp pakkettide lähtepordid
tshark -z "proto,colinfo,tcp.srcport,tcp.srcport"
Kuva kõikide pilte kandvate http pakettide content_type ja content_length väljad
tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" -z "proto,colinfo,http.content_type,http.content_type"
Seadistamine
Globaalsed seaded asuvad installatsioonikataloogis /share alamkataloogis. Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis. Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Kasutatakse viimasena loetud seadeid. Seaded asuvad järgmistes failides:
preferences - üldised seaded
disabled_protos - protokollid, mida ei kasutata
Kasutatud materjalid
http://www.wireshark.org/docs/man-pages/tshark.html
http://www.codealias.info/technotes/the_tshark_capture_and_filter_example_page
Autor Priit Lume AK31
