[1. Was ist der Befehl tshark](Was ist der Befehl #tshark) 2. Einstellungen [3. Ausführen](# Ausführen) [4. So filtern Sie pcap-Dateien](So filtern Sie # pcap-Dateien) [5. Option](# Option) [6. Referenz](# Referenz)
Sie können Wireshark mit CLI ausführen. Da es sich um eine CLI handelt, ist es für CLI-Handwerker recht einfach, mit PCAP-Daten wie Parallelverarbeitung, Schreiben in Shell-Skripten, Cron, Grep usw. umzugehen!
In diesem Artikel versuche ich es unter MacOS. Stellen Sie tshark zunächst auf Ihrem Mac zur Verfügung. Dies kann entweder über die GUI oder die CLI erfolgen.
** Bei der Installation mit GUI (aus dem Web) ** Sie können es wie folgt installieren. https://www.wireshark.org/download.html
** Bei Installation mit CLI (Terminal) **
Installation
brew install wireshark
Lass es uns sofort tun! Dieses Mal werden wir uns die Daten mit dem Namen test.pcap ansehen.
Lauf
tshark -r test.pcap
Sie sollten nun in der Lage sein, den Inhalt der Daten zu bestätigen. Die Reihenfolge der Daten und der angezeigten Elemente befindet sich übrigens im Standardzustand. Sie können jedoch die zu überprüfenden Daten und die Anzeigereihenfolge angeben. Selbst wenn Sie die Anzeige von Spalten mit Wireshark in der GUI ändern, wird dies vom Ergebnis des Befehls tshark beeinflusst.
Filtern Sie diesmal nach den folgenden Bedingungen und versuchen Sie es erneut.
Bedingungen
(*) Filter, die mit normalem WireShark (GUI) verwendet werden können
・ Konzentrieren Sie sich auf die Kommunikation mit dem smb2-Protokoll
smb2.tree && tcp.dstport==445
smb2.filename != "" && smb2.acct != ""
Anzeige
(*) Wie schreibe ich Spalten, die mit normalem WireShark (GUI) verwendet werden können?
·Kontobezeichnung
smb2.acct
・ Ordnerpfad (gemeinsamer Pfad)
smb2.tree
-Operation Dateiname
smb2.filename
・ Der Name des Terminals, auf das Sie zugreifen
smb2.hostLauf
tshark -r test.pcap -T fields -e smb2.acct -e smb2.tree -e smb2.filename -e smb2.host -Y 'smb2.tree && tcp.dstport==445 && smb2.filename != "" && smb2.acct != ""'
Natürlich ist es auch möglich, es in Daten zu konvertieren, die mithilfe von Pipes und Weiterleitungen, wie unten gezeigt, einfach verarbeitet werden können.
Referenz
tshark -r test.pcap <optionales System>| grep -i test
tshark -r test.pcap <optionales System>> test.csv
| Möglichkeit | Inhalt |
|---|---|
| -i <interface> | Geben Sie die zu erfassende Schnittstelle an |
| -f <capture filter> | libpcap-Filter Geben Sie einen Filter nach Syntax an |
| -s <snaplen> | Geben Sie die Länge des Schnappschusses an (Standard: 65535). |
| -p | Verwenden Sie nicht den Promise Cass-Modus |
| -y <link type> | Geben Sie den Link-Layer-Typ an (Standard: zuerst geeignet). |
| -D | Schnittstellenliste anzeigen |
| -L | Liste der Schnittstellentypen anzeigen |
| -c <packet count> | Stoppen Sie bei der angegebenen Anzahl von Paketen (Standard:unendlich) |
| -a <autostop cond.> | ・ Dauer:NUM Stoppt nach Ablauf der von NUM angegebenen Anzahl von Sekunden · Dateigröße:NUM Größe angegeben durch NUM(KB)Stoppen Sie, wenn die gespeicherte Datei erreicht ist ・ Dateien:NUM Stoppen Sie, wenn die von NUM angegebene Anzahl gespeicherter Dateien erreicht ist |
| -b <ringbuffer opt.> | ・ Dauer:NUM Speichern Sie in der nächsten Datei, nachdem die von NUM angegebene Anzahl von Sekunden verstrichen ist · Dateigröße:NUM Größe angegeben durch NUM(KB)In der nächsten Datei speichern, wenn die Sicherungsdatei erreicht ist ・ Dateien:NUM Ersetzen Sie Dateien, wenn die von NUM angegebene Anzahl gespeicherter Dateien erreicht ist |
| -r <infile> | Aus Paketdatei lesen |
| R <read filter> | Geben Sie den Wireshark-Anzeigefilter an |
| -n | Deaktivieren Sie die Namensauflösung(Standard:Wirksamkeit) |
| -N <name resolve flags> | Aktivieren Sie die spezifische Namensauflösung |
| -d <layer_type>==<selector>,<decode_as_protocol> | Verknüpfen Sie einen bestimmten Port mit einem bestimmten Protokoll tcp.port==8888,Für http "TCP-Port 8888 ist http" |
| -C <config profile> | Geben Sie die Einstellungsdatei an |
| -F <output file type> | Geben Sie den Ausgabedateityp an |
| -V | Paketbaum zur Anzeige hinzufügen |
| -S | [-w]Pakete anzeigen, auch wenn die Option aktiviert ist |
| -x | Hex, ASCII-Dump-Anzeige hinzugefügt |
| -e <field> | Geben Sie das Feld an, das Sie ausgeben möchten |
So installieren Sie Homebrew tshark option memo
Recommended Posts