[LINUX] Analyser les données pcap avec la commande tshark

[1. Qu'est-ce que la commande tshark](Qu'est-ce que la commande #tshark) 2. Préférences [3. Exécuter](# Exécuter) [4. Comment filtrer les fichiers pcap](# Comment filtrer les fichiers pcap) [5. Option](# Option) [6. Référence](# Référence)

Qu'est-ce que la commande tshark?

Vous pouvez exécuter Wireshark avec CLI. Puisqu'il s'agit d'une CLI, il sera assez facile pour les artisans de la CLI de gérer les données pcap telles que le traitement parallèle, l'écriture dans des scripts shell, cron, grep, etc.!

Cadre environnemental

Dans cet article, je l'essaye sur MacOS. Tout d'abord, rendez tshark disponible sur votre Mac. Cela peut être fait à partir de l'interface graphique ou de la CLI.

** Lors de l'installation avec GUI (à partir du Web) ** Vous pouvez l'installer à partir de ce qui suit.  https://www.wireshark.org/download.html

** Lors de l'installation avec CLI (terminal) **

Installation


 brew install wireshark

Courir

Faisons-le tout de suite! Cette fois, nous examinerons les données appelées test.pcap.

Courir


 tshark -r test.pcap

Vous devriez maintenant être en mesure de confirmer le contenu des données. À propos, l'ordre des données et les éléments affichés sont dans l'état par défaut, mais vous pouvez spécifier les données que vous souhaitez vérifier et l'ordre d'affichage. Même si vous modifiez l'affichage des colonnes avec Wireshark dans l'interface graphique, il sera affecté par le résultat de la commande tshark.

Comment filtrer les fichiers pcap

Cette fois, filtrez selon les conditions suivantes et réessayez. conditions () Filtres utilisables avec WireShark normal (GUI) ・ Focus sur la communication du protocole smb2    smb2.tree && tcp.dstport==445 -Supprimer les communications supplémentaires où le nom de fichier et le nom du compte d'utilisateur sont manquants.    smb2.filename != "" && smb2.acct != "" afficher () Comment écrire des colonnes utilisables avec WireShark normal (GUI) ·nom du compte    smb2.acct ・ Chemin du dossier (chemin partagé)    smb2.tree -Nom du fichier d'opération    smb2.filename ・ Le nom du terminal auquel vous accédez    smb2.host

Courir


 tshark -r test.pcap -T fields -e smb2.acct -e smb2.tree -e smb2.filename -e smb2.host -Y 'smb2.tree && tcp.dstport==445 && smb2.filename != "" && smb2.acct != ""'

Bien sûr, il est également possible de les convertir en données qui peuvent être facilement traitées à l'aide de tuyaux et de redirections comme indiqué ci-dessous.

référence


 tshark -r test.pcap <système optionnel>| grep -i test
 tshark -r test.pcap <système optionnel>> test.csv

option

option Contenu
-i <interface> Spécifiez l'interface à capturer
-f <capture filter> filtre libpcap Spécifier un filtre par syntaxe
-s <snaplen> Spécifiez la longueur de l'instantané (par défaut: 65535)
-p N'utilisez pas le mode Promise Cass
-y <link type> Spécifiez le type de couche de lien (par défaut: le premier approprié)
-D Afficher la liste des interfaces
-L Afficher la liste des types de couches de liens d'interface
-c <packet count> Arrêtez-vous au nombre spécifié de paquets (par défaut:infini)
-a <autostop cond.> ・ Durée:NUM
S'arrête une fois le nombre de secondes spécifié par NUM écoulé
· Taille du fichier:NUM
Taille spécifiée par NUM(KB)Arrêtez lorsque le fichier enregistré atteint
· Des dossiers:NUM
Arrêter lorsque le nombre de fichiers enregistrés spécifié par NUM est atteint
-b <ringbuffer opt.> ・ Durée:NUM
Enregistrer dans le fichier suivant une fois le nombre de secondes spécifié par NUM écoulé
· Taille du fichier:NUM
Taille spécifiée par NUM(KB)Enregistrer dans le fichier suivant lorsque le fichier de sauvegarde est atteint
· Des dossiers:NUM
Remplacer les fichiers lorsque le nombre de fichiers enregistrés spécifié par NUM est atteint
-r <infile> Lire à partir du fichier de paquet
R <read filter> Spécifier le filtre d'affichage Wireshark
-n Désactiver toute résolution de nom(Défaut:Efficacité)
-N <name resolve flags> Activer la résolution de nom spécifique
-d <layer_type>==<selector>,<decode_as_protocol> Associer un port spécifique à un protocole spécifique
tcp.port==8888,Pour http
"Le port Tcp 8888 est http"
-C <config profile> Spécifiez le fichier de paramètres
-F <output file type> Spécifiez le type de fichier de sortie
-V Ajouter une arborescence de paquets à afficher
-S [-w]Afficher les paquets même si l'option est activée
-x Ajout de l'affichage de vidage hexadécimal et ASCII
-e <field> Spécifiez le champ que vous souhaitez afficher

référence

Comment installer Homebrew mémo option tshark

Recommended Posts

Analyser les données pcap avec la commande tshark
[Commande Linux] Analyse des petites données avec la commande grep / awk / sort
Lecture de données avec TensorFlow
analyse json avec gdb
Analyser XML en Python
analyse json avec gdb
Générer du XML (RSS) avec Python
Traitez le XML avec Python.
Analyser les données pcap avec la commande tshark
Traiter les données Pubmed .xml avec python
Visualisation des données avec les pandas
Manipulation des données avec les Pandas!
Mélangez les données avec les pandas
Augmentation des données avec openCV
Normariser les données avec Scipy
Analyse de données avec Python
CHARGER DES DONNÉES avec PyMysql
Exemple de données créées avec python
Incorporer des données audio avec Jupyter
Graphique des données Excel avec matplotlib (1)
Génération artificielle de données avec numpy
Obtenez des données Youtube avec python
Apprenez de nouvelles données avec PaintsChainer
Binariser les données photo avec OpenCV
Graphique des données Excel avec matplotlib (2)
Utilisez Django pour enregistrer les données de tweet
Conseils de traitement des données avec Pandas
Crypter / décrypter avec la commande GPG
Lire des données json avec python