Panduan untuk Wireshark Command Line Interface tshark

Dalam tutorial sebelumnya untuk Wireshark, kami telah membahas topik asas hingga tahap lanjutan. Dalam artikel ini, kita akan memahami dan merangkumi antara muka baris perintah untuk Wireshark, i.e., tshark. Versi terminal Wireshark menyokong pilihan yang serupa dan sangat berguna apabila Antaramuka Pengguna Grafik (GUI) tidak tersedia.

Walaupun antara muka pengguna grafik, secara teorinya, jauh lebih mudah digunakan, tidak semua persekitaran menyokongnya, terutama persekitaran pelayan dengan hanya pilihan baris perintah. Oleh itu, pada suatu ketika, sebagai pentadbir rangkaian atau jurutera keselamatan, anda harus menggunakan antara muka baris perintah. Penting untuk diperhatikan bahawa tshark kadang-kadang digunakan sebagai pengganti tcpdump. Walaupun kedua-dua alat ini hampir sama dalam fungsi menangkap lalu lintas, tshark jauh lebih hebat.

Yang terbaik yang boleh anda lakukan adalah menggunakan tshark untuk menyiapkan port di pelayan anda yang meneruskan maklumat ke sistem anda, sehingga anda dapat menangkap lalu lintas untuk analisis menggunakan GUI. Namun, buat masa ini, kami akan belajar cara kerjanya, apa sifatnya, dan bagaimana anda dapat memanfaatkannya dengan sebaik mungkin.

Ketik perintah berikut untuk memasang tshark di Ubuntu / Debian menggunakan apt-get:

[dilindungi e-mel]: ~ $ sudo apt-get install tshark -y

Sekarang taip tshark -help untuk menyenaraikan semua kemungkinan argumen dengan bendera masing-masing yang boleh kita sampaikan kepada perintah tshark.

[dilindungi e-mel]: ~ $ tshark --help | kepala -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 dibungkus sebagai 2.6.10-1 ~ ubuntu18.04.0)
Buangkan dan analisis lalu lintas rangkaian.
Lihat https: // www.wireshark.org untuk maklumat lebih lanjut.
Penggunaan: tshark [pilihan]…
Tangkap antara muka:
-i nama atau idx antara muka (def: pertama bukan gelung balik)
-f penapis paket dalam sintaks penapis libpcap
-s panjang tangkapan paket (def: maksimum yang sesuai)
-p jangan menangkap dalam mod mudah rancak
-Saya menangkap dalam mod monitor, jika ada
-B saiz penyangga kernel (def: 2MB)
-y jenis lapisan pautan (def: pertama sesuai)
--jenis setem masa kaedah cap masa untuk antara muka
-D mencetak senarai antara muka dan jalan keluar
-L mencetak senarai jenis lapisan pautan iface dan exit
--list-time-stamp-types senarai senarai cap waktu untuk iface dan keluar
Tangkap keadaan berhenti:

Anda dapat melihat senarai semua pilihan yang ada. Dalam artikel ini, kami akan membahas sebahagian besar hujah secara terperinci, dan anda akan memahami kehebatan versi Wireshark yang berorientasikan terminal ini.

Memilih Antaramuka Rangkaian:

Untuk melakukan tangkapan dan analisis langsung dalam utiliti ini, pertama-tama kita perlu mengetahui antara muka kerja kita. Jenis tshark -D dan tshark akan menyenaraikan semua antara muka yang ada.

[dilindungi e-mel]: ~ $ tshark -D
1. enp0s3
2. ada
3. lo (Balik balik)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (tangkapan jauh Cisco)
8. randpkt (Penjana paket rawak)
9. sshdump (tangkapan jauh SSH)
10. udpdump (tangkapan jauh Pendengar UDP)

Perhatikan bahawa tidak semua antara muka yang disenaraikan akan berfungsi. Jenis ifconfig untuk mencari antara muka yang berfungsi pada sistem anda. Dalam kes saya, ia enp0s3.

Tangkap Lalu Lintas:

Untuk memulakan proses tangkapan langsung, kami akan menggunakan tshark perintah dengan "-iPilihan untuk memulakan proses penangkapan dari antara muka kerja.

[dilindungi e-mel]: ~ $ tshark -i enp0s3

Gunakan Ctrl + C untuk menghentikan tangkapan langsung. Dalam perintah di atas, saya telah mengalirkan lalu lintas yang ditangkap ke perintah Linux kepala untuk memaparkan beberapa paket pertama yang ditangkap. Atau anda juga boleh menggunakan “-c "Sintaks untuk menangkap"n ” bilangan paket.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -c 5

Sekiranya anda hanya memasukkan tshark, secara lalai, ia tidak akan mula menangkap lalu lintas di semua antara muka yang tersedia dan juga tidak akan mendengar antara muka kerja anda. Sebaliknya, ia akan menangkap paket pada antara muka yang disenaraikan pertama.

Anda juga dapat menggunakan perintah berikut untuk memeriksa beberapa antara muka:

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

Sementara itu, cara lain untuk menangkap trafik langsung adalah menggunakan nombor di samping antara muka yang disenaraikan.

[dilindungi e-mel]: ~ $ tshark -i interface_number

Walau bagaimanapun, dengan adanya pelbagai antara muka, sukar untuk mengesan nombor yang disenaraikan.

Tangkap Penapis:

Penapis tangkapan mengurangkan saiz fail yang ditangkap dengan ketara. Tshark menggunakan sintaks Berkeley Packet Filter -f "", Yang juga digunakan oleh tcpdump. Kami akan menggunakan pilihan "-f" untuk hanya menangkap paket dari port 80 atau 53 dan menggunakan "-c" untuk memaparkan hanya 10 paket pertama.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -f "port 80 atau port 53" -c 10

Menyimpan Trafik yang Ditangkap ke Fail:

Perkara penting yang perlu diperhatikan dalam tangkapan skrin di atas adalah bahawa maklumat yang dipaparkan tidak disimpan, oleh itu ia kurang berguna. Kami menggunakan hujah "-w"Untuk menyelamatkan lalu lintas rangkaian yang ditangkap ke test_capture.pcap dalam / tmp folder.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

Manakala, .pcap adalah sambungan jenis fail Wireshark. Dengan menyimpan fail, anda boleh menyemak dan menganalisis lalu lintas di mesin dengan Wireshark GUI nanti.

Amalan yang baik untuk menyimpan fail di /tmp kerana folder ini tidak memerlukan hak pelaksanaan. Sekiranya anda menyimpannya ke folder lain, walaupun anda menjalankan tshark dengan hak root, program akan menolak kebenaran kerana alasan keselamatan.

Mari kita menggali semua kemungkinan cara yang boleh anda lakukan:

menerapkan had untuk menangkap data, seperti keluar tshark atau menghentikan proses tangkapan secara automatik, dan
keluarkan fail anda.

Parameter Autostop:

Anda boleh menggunakan "-a"Parameter untuk memasukkan bendera yang tersedia seperti ukuran fail dan fail tempoh. Dalam perintah berikut, kami menggunakan parameter autostop dengan jangka masa bendera untuk menghentikan proses dalam 120 saat.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -a tempoh: 120-w / tmp / test_capture.pcap

Begitu juga, jika anda tidak memerlukan fail anda terlalu besar, saiz fail adalah bendera yang sempurna untuk menghentikan proses setelah beberapa had KB.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -saiz fail: 50 -w / tmp / test_capture.pcap

Yang paling penting, fail bendera membolehkan anda menghentikan proses penangkapan setelah sejumlah fail. Tetapi ini hanya dapat dilakukan setelah membuat banyak fail, yang memerlukan pelaksanaan parameter berguna lain, menangkap hasil.

Tangkap Parameter Keluaran:

Tangkap output, aka argumen ringbuffer “-b", Disertakan dengan bendera yang sama dengan autostop. Namun, penggunaan / output sedikit berbeza, i.e., bendera jangka masa dan saiz fail, kerana ia membolehkan anda menukar atau menyimpan paket ke fail lain setelah mencapai had waktu yang ditentukan dalam beberapa saat atau ukuran fail.

Perintah di bawah menunjukkan bahawa kita menangkap lalu lintas melalui antara muka rangkaian kita enp0s3, dan menangkap lalu lintas menggunakan penapis tangkapan "-f"Untuk tcp dan dns. Kami menggunakan pilihan ringbuffer "-b" dengan a saiz fail bendera untuk menyimpan setiap ukuran fail 15 Kb, dan juga menggunakan argumen autostop untuk menentukan jumlah fail yang digunakan fail pilihan sehingga menghentikan proses tangkapan setelah menghasilkan tiga fail.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -f "port 53 atau port 21" -b filesize: 15 -a files: 2 -w / tmp / test_capture.pcap

Saya telah membahagikan terminal saya kepada dua skrin untuk secara aktif memantau penciptaan tiga .fail pcap.

Pergi ke anda / tmp folder dan gunakan arahan berikut di terminal kedua untuk memantau kemas kini selepas setiap saat.

[dilindungi e-mel]: ~ $ tonton -n 1 "ls -lt"

Sekarang, anda tidak perlu menghafal semua bendera ini. Sebaliknya, taipkan arahan tshark -i enp0s3 -f "port 53 atau port 21" -b ukuran fail: 15 -a di terminal anda dan tekan Tab. Senarai semua bendera yang tersedia akan tersedia di skrin anda.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -f "port 53 atau port 21" -b saiz fail: 15 -a
tempoh: fail: saiz fail:
[dilindungi e-mel]: ~ $ tshark -i enp0s3 -f "port 53 atau port 21" -b saiz fail: 15 -a

Membaca .Fail pcap:

Yang paling penting, anda boleh menggunakan "-rParameter untuk membaca test_capture.fail pcap dan paipkan ke kepala perintah.

[dilindungi e-mel]: ~ $ tshark -r / tmp / test_capture.pcap | kepala

Maklumat yang dipaparkan dalam fail output boleh sedikit berlebihan. Untuk mengelakkan butiran yang tidak perlu dan mendapatkan pemahaman yang lebih baik mengenai alamat IP destinasi tertentu, kami menggunakan -r pilihan untuk membaca fail yang ditangkap paket dan menggunakan ip.tambah tapis untuk mengalihkan output ke fail baru dengan "-wPilihan. Ini akan membolehkan kami menyemak fail dan memperhalusi analisis kami dengan menggunakan penapis selanjutnya.

[dilindungi e-mel]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / redirected_file.pcap ip.dst == 216.58.209.142
[dilindungi e-mel]: ~ $ tshark -r / tmp / redirected_file.pcap | kepala
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Data Aplikasi
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Data Aplikasi
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Data Aplikasi
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Data Aplikasi
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Data Aplikasi
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [segmen TCP PDU yang dipasang semula]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Data Aplikasi
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Data Aplikasi
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Data Aplikasi
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Data Aplikasi

Memilih Medan untuk Keluaran:

Perintah di atas menghasilkan ringkasan setiap paket yang merangkumi pelbagai bidang tajuk. Tshark juga membolehkan anda melihat bidang yang ditentukan. Untuk menentukan medan, kami menggunakan "-Medan T"Dan keluarkan bidang mengikut pilihan kami.

Selepas "-Medan T"Switch, kami menggunakan pilihan" -e "untuk mencetak medan / penapis yang ditentukan. Di sini, kita boleh menggunakan Penapis Wireshark.

[dilindungi e-mel]: ~ $ tshark -r / tmp / test_capture.pcap -T bidang -e bingkai.nombor -e ip.src -e ip.dst | kepala
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Tangkap Data Jabat Tangan Yang Dienkripsi:

Sejauh ini, kami telah belajar menyimpan dan membaca fail output menggunakan pelbagai parameter dan penapis. Kami sekarang akan belajar bagaimana HTTPS memulakan sesi tshark. Laman web yang diakses melalui HTTPS dan bukannya HTTP memastikan penghantaran data yang selamat atau disulitkan melalui wayar. Untuk penghantaran yang selamat, enkripsi Keselamatan Lapisan Pengangkutan memulakan proses berjabat tangan untuk memulakan komunikasi antara pelanggan dan pelayan.

Mari tangkap dan fahami jabat tangan TLS menggunakan tshark. Pisahkan terminal anda menjadi dua skrin dan gunakan a wget arahan untuk mengambil fail html dari https: // www.wireshark.org.

[dilindungi e-mel]: ~ $ wget https: // www.wireshark.org
--2021-01-09 18: 45: 14-- https: // www.wireshark.org /
Bersambung ke www.wireshark.org (www.wireshark.org) | 104.26.10.240 |: 443… bersambung.
Permintaan HTTP dihantar, menunggu tindak balas ... 206 Kandungan Separa
Panjang: 46892 (46K), 33272 (32K) lagi [teks / html]
Menyimpan ke: 'indeks.html '
indeks.html 100% [++++++++++++++ ================================ ==>] 45.79K 154KB / s dalam 0.2s
2021-01-09 18:43:27 (154 KB / s) - 'indeks.html 'disimpan [46892/46892]

Di skrin lain, kita akan menggunakan tshark untuk menangkap 11 paket pertama dengan menggunakan "-cParameter. Semasa melakukan analisis, cap waktu penting untuk menyusun semula acara, oleh itu kami menggunakan "-t iklan", Dengan cara yang tshark menambah cap waktu di samping setiap paket yang ditangkap. Terakhir, kami menggunakan arahan host untuk menangkap paket dari host bersama alamat IP.

Jabat tangan ini agak serupa dengan jabat tangan TCP. Sebaik sahaja jabat tangan tiga arah TCP berakhir dalam tiga paket pertama, paket keempat hingga kesembilan mengikuti ritual berjabat tangan yang agak serupa dan memasukkan rentetan TLS untuk memastikan komunikasi terenkripsi antara kedua-dua pihak.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -c 11 -t hos iklan 104.26.10.240
Menangkap di 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Ack = 1 Win = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Pelanggan Hello
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Ack = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Pelayan Hello, Tukar Spesifikasi Cipher
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Data Aplikasi
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Ubah Spesifikasi Cipher, Data Aplikasi
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Ack = 400 Win = 65535 Len = 0
11 paket ditangkap

Melihat Keseluruhan Pakej:

Satu-satunya kelemahan utiliti baris perintah ialah ia tidak mempunyai GUI, kerana menjadi sangat berguna apabila anda perlu mencari banyak lalu lintas internet, dan juga menawarkan Panel Paket yang memaparkan semua butiran paket dalam sekejap. Walau bagaimanapun, masih mungkin untuk memeriksa paket dan membuang keseluruhan maklumat paket yang dipaparkan di Panel Paket GUI.

Untuk memeriksa keseluruhan paket, kami menggunakan perintah ping dengan opsi "-c" untuk menangkap satu paket.

[dilindungi e-mel]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) bait data.
64 bait dari 104.26.10.240: icmp_seq = 1 ttl = 55 masa = 105 ms
--- 104.26.10.240 statistik ping ---
1 paket dihantar, 1 diterima, 0% kehilangan paket, masa 0ms
rtt min / avg / max / mdev = 105.095/105.095/105.095/0.000 ms

Di tetingkap lain, gunakan perintah tshark dengan bendera tambahan untuk memaparkan keseluruhan butiran paket. Anda dapat melihat pelbagai bahagian, memaparkan butiran Frames, Ethernet II, IPV, dan ICMP.

[dilindungi e-mel]: ~ $ tshark -i enp0s3 -c 1 -V hos 104.26.10.240
Bingkai 1: 98 bait pada wayar (784 bit), 98 bait ditangkap (784 bit) pada antara muka 0
Id antara muka: 0 (enp0s3)
Nama antara muka: enp0s3
Jenis enkapsulasi: Ethernet (1)
Waktu Ketibaan: 9 Jan 2021 21:23:39.167581606 PKT
[Peralihan masa untuk paket ini: 0.000000000 saat]
Masa Epoch: 1610209419.167581606 saat
[Delta masa dari bingkai yang ditangkap sebelumnya: 0.000000000 saat]
[Delta masa dari bingkai yang dipaparkan sebelumnya: 0.000000000 saat]
[Masa sejak rujukan atau kerangka pertama: 0.000000000 saat]
Nombor Bingkai: 1
Panjang Bingkai: 98 bait (784 bit)
Panjang tangkapan: 98 bait (784 bit)
[Bingkai ditandai: Salah]
[Bingkai diabaikan: Salah]
[Protokol dalam bingkai: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Destinasi: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Alamat: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Alamat yang ditadbir secara tempatan (ini BUKAN lalai kilang)
… 0… = bit IG: Alamat individu (unicast)
Sumber: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Alamat: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Id antara muka: 0 (enp0s3)
Nama antara muka: enp0s3
Jenis enkapsulasi: Ethernet (1)
Waktu Ketibaan: 9 Jan 2021 21:23:39.167581606 PKT
[Peralihan masa untuk paket ini: 0.000000000 saat]
Masa Epoch: 1610209419.167581606 saat
[Delta masa dari bingkai yang ditangkap sebelumnya: 0.000000000 saat]
[Delta masa dari bingkai yang dipaparkan sebelumnya: 0.000000000 saat]
[Masa sejak rujukan atau kerangka pertama: 0.000000000 saat]
Nombor Bingkai: 1
Panjang Bingkai: 98 bait (784 bit)
Panjang tangkapan: 98 bait (784 bit)
[Bingkai ditandai: Salah]
[Bingkai diabaikan: Salah]
[Protokol dalam bingkai: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Destinasi: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Alamat: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Alamat yang ditadbir secara tempatan (ini BUKAN lalai kilang)
… 0… = bit IG: Alamat individu (unicast)
Sumber: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Alamat: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = Bit LG: Alamat unik global (lalai kilang)
… 0… = bit IG: Alamat individu (unicast)
Jenis: IPv4 (0x0800)
Protokol Internet Versi 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Versi: 4
… 0101 = Panjang Tajuk: 20 bait (5)
Medan Perkhidmatan Berbeza: 0x00 (DSCP: CS0, ECN: Bukan-ECT)
0000 00… = Titik Kod Perkhidmatan Berbeza: Lalai (0)
… 00 = Pemberitahuan Kesesakan Tersurat: Pengangkutan Tidak Berkemampuan ECN (0)
Panjang keseluruhan: 84
Pengenalan: 0xcc96 (52374)
Bendera: 0x4000, Jangan pecahan
0… = Bit terpelihara: Tidak ditetapkan
.1… = Jangan pecahan: Tetapkan
… 0… = Lebih banyak serpihan: Tidak ditetapkan
… 0 0000 0000 0000 = Pengimbangan serpihan: 0
Masa untuk hidup: 64
Protokol: ICMP (1)
Chumum tajuk: 0xeef9 [pengesahan dilumpuhkan]
[Status checksum tajuk: Tidak disahkan]
Sumber: 10.0.2.15
Destinasi: 104.26.10.240
Protokol Mesej Kawalan Internet
Jenis: 8 (Permintaan gema (ping))
Kod: 0
Checksum: 0x0cb7 [betul]
[Status Checksum: Bagus]
Pengecam (BE): 5038 (0x13ae)
Pengecam (LE): 44563 (0xae13)
Nombor urutan (BE): 1 (0x0001)
Nombor urutan (LE): 256 (0x0100)
Cap waktu dari data icmp: 9 Jan 2021 21:23:39.000000000 PKT
[Cap waktu dari data icmp (relatif): 0.167581606 saat]
Data (48 bait)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Data: 918e020000000000101112131415161718191a1b1c1d1e1f…
[Panjang: 48]

Kesimpulan:

Aspek yang paling mencabar dari analisis paket adalah mencari maklumat yang paling relevan dan mengabaikan bit yang tidak berguna. Walaupun antara muka grafik mudah, mereka tidak dapat menyumbang kepada analisis paket rangkaian automatik. Dalam artikel ini, anda telah mempelajari parameter tshark yang paling berguna untuk menangkap, memaparkan, menyimpan, dan membaca fail trafik rangkaian.

Tshark adalah utiliti yang sangat berguna yang membaca dan menulis fail tangkapan yang disokong oleh Wireshark. Gabungan penapis paparan dan tangkapan banyak menyumbang semasa menangani kes penggunaan tahap lanjutan. Kami dapat memanfaatkan kemampuan tshark untuk mencetak bidang dan memanipulasi data mengikut keperluan kami untuk analisis mendalam. Dengan kata lain, ia mampu melakukan hampir semua perkara yang dilakukan oleh Wireshark. Yang paling penting, sangat sesuai untuk mengendus paket dari jauh menggunakan ssh, yang menjadi topik untuk hari yang lain.