Tshark

From ICO wiki
Jump to navigationJump to search

Pooleli


Sissejuhatus

Tshark on programm on võrguliikluse jälgimiseks ja analüüsimiseks.

Põhimõtteliselt on tegemist Wireshark-i käsurea versiooniga. Jälgitava liikluse

saab salvestada faili ja loomulikult analüüsimiseks failist lugeda. Kasutatavad

failid on Wiresharkiga vastastikku ühilduvad.

Kasutamine

Võtmed

Kuna kasutatavaid võtmeid on väga palju, siis alustuseks olulisemad.

-a <jälgimise lõpetamise tingimus>

duration:väärtus (salvestamine lõpetatakse pärast väärtuses määratud sekundeid)

filesize:väärtus (salvestamine lõpetatkse, kui faili suurus on väärtuses määratud arv kilobaite)

files:väärtus (salvestamine lõpetatakse, kui vastav arv faile on kirjutatud)

-b <salvestamise ringpuhvri seaded>

Selle võtmega kirjutatakse failid järgemööda üle, kui eelmine on täis saanud. Kasutatavad tingimused on samad kui eelmisel võtmel.

Näiteks teha viis ühemegabaidist faili, mida siis järgemööda üle kirjutatada:

tshark -b filesize:1024 -b files:5 

-B <jälgmispuhvri suurus megabaitides>

-c <jälgitavate pakettide arv>

-C <konfiguratsiooni profiil> laetakse vastav profiil

-d <layer type>==<selector>,<decode-as protocol> Võimaldab määrata, kuidas valitud paketid dekodeeritakse Näiteks dekodeeri kõikid TCP port 8888 paketid kui HTTP

tshark -d tcp.port==8888,http 

-D kuvab nimekirja võrguadapteritest, mille liiklust on võimalik jälgida

-e <väli> lisab vastava välja kuvatavate väljade hulka , kasutatakse koos võtmega -T näiteks

tshark -e frame.number -e ip.addr -e udp

-f <jälgimise filter> -F <faili vorming>

-i <jälgitav seade> Näiteks

tshark -i eth0

-r <fail> loeb info vastavast failist

-R <kuvamisfilter> kuvatakse ainult filtri tingimustele vastav sisu failist näiteks

tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap

Filtri koostamise spikker:

“Ethernet address 00:08:15:00:08:15” 	eth.addr == 00:08:15:00:08:15
“Ethernet type 0×0806 (ARP)” 	eth.type == 0×0806
“Ethernet broadcast” 	eth.addr == ff:ff:ff:ff:ff:ff
“No ARP” 	not arp
“IP only” 	ip
“IP address 192.168.0.1” 	ip.addr == 192.168.0.1
“IP address isn't 192.168.0.1, don't use != for this!” 	!(ip.addr == 192.168.0.1)
“IPX only” 	ipx
“TCP only” 	tcp
“UDP only” 	udp
“UDP port isn't 53 (not DNS), don't use != for this!” 	!(tcp.port == 53)
“TCP or UDP port is 80 (HTTP)” 	tcp.port == 80 || udp.port == 80
“HTTP” 	http
“No ARP and no DNS” 	not arp and not (udp.port == 53)
“Non-HTTP and non-SMTP to/from 192.168.0.1”	not (tcp.port == 80) and not (tcp.port == 25) and ip.addr == 192.168.0.1


-T pdml|psml|ps|text|fields salvestatava faili vormingu valimiseks

pdml Packet Details Markup Language

psml Packet Summary Markup Language

ps PostScript

text tekstifail

fields -e võtmega määratud väljad CSV vormingus mõnda teise programmi importimiseks


-w <failinimi> salvestatav fail

-z <statistika> võimaldab failist lugemisel kuvada erinevat statistikat

näiteks genereeri ühe sekundilise intervalliga statistikat aadressil 1.2.3.4 toimuvast liiklusest

tshark -z io,stat,1,ip.addr==1.2.3.4 

kuva kõikide tcp pakkettide lähtepordid

tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" 

Kuva kõikide pilte kandvate http pakettide content_type ja content_length väljad

tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" 
-z "proto,colinfo,http.content_type,http.content_type"

Seadistamine

Globaalsed seaded asuvad installatsioonikataloogis /share alamkataloogis. Personaalsed seaded asuvad $HOME/.wireshark/preferences kataloogis. Kõigepealt loetakse globaalsed seaded ja seejärel personaalsed (juhul kui need eksisteerivad). Kasutatakse viimasena loetud seadeid. Seaded asuvad järgmistes failides:

preferences - üldised seaded

disabled_protos - protokollid, mida ei kasutata

Kasutatud materjalid

http://www.wireshark.org/docs/man-pages/tshark.html

http://www.codealias.info/technotes/the_tshark_capture_and_filter_example_page


Autor Priit Lume AK31