zxcx

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: e-Info » Linux » Tcpdump
linux:wireshark

Это старая версия документа!

Содержание

Wireshark

Анализ сетевого трафика.
Обычно пакеты, не предназначенные ПК, фильтруются сетевой картой и не доходят до уровня приложений, для перехвата всех доступных пакетов, необходимо сетевую карту перевести в «неразборчивый режим».

Linux провод:

# ifconfig eth0 promisc - после чего, в выводе команды netstat -i, на против адаптера будет флаг BMPRU, буква P и означает активацию режима.

Linux wifi:

# ifconfig wlan0 down && iwconfig wlan0 mode monitor && ifconfig wlan0 up

tshark - консоль

apt install tshark - установка.
Для использования программы не привилегированными пользователями, нужно добавить его в группу wireshark.
Запуск tshark без аргументов, запустит полный сбор всего что есть, с выводом результатов на экран.

Аргументы

  • -D - список доступных интерфейсов
  • -i - нужный интерфейс (можно номер)
  • -a - условие для остановки захвата
    • duration: - заданное время, сек (-a duration:60)
    • files: - кол-во пакетов
    • filesize: - размер в килобайтах.
  • -b - кольцевое сохранение, к имени файла (-w) добавляется метка, аргументы как и у -a
  • -d - протокол декодирования
  • -f - выражение фильтра захвата
  • -Y - фильтры отображения (ip.addr==1.1.1.1)
  • -n (-N) - отключить разрешение dns (разрешить только определенным)
  • -q - не выводить счетчик захваченных пакетов
  • -w - файл для сохранения
  • -r - просмотр указанного файла

Фильтры захвата

Используется аргумент -f, затем выражение в кавычках, после можно дисплейный фильтр применять.

  • [src|dst] host - хост
  • [src|dst] net - подсеть
  • [src|dst] port - порт

Просмотр

При просмотре runtime, аргументом -Y можно фильтровать вывод данных: 

# tshark -Y "ip.addr==192.168.0.1 and tcp.port==80 and http.request"
# tshark -Y "tcp.anallysis.retransmission"
# tshark -Y "not arp or icmp"

Статистика

Для просмотра статистики указывается аргумент -z
Отчет по протоколам SMB, DNS, IP 

# tshark -z smb,srt -z dns,tree -z http,tree -z hosts

Список IP соединений 

# tshark -r cap.pcap -z conv,ip

Указывает что из файла нужно извлечь инфо о порте-источнике всех пакетов 

# tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" -r cap.pcap

Извлечет из файла инфо обо всех пакетах изображений и выведет поля content_type и content_length 

# tshark -R "http.response and http.content_type contains image" -z "proto,colinfo,http.content_length,http.content_length" -z "proto,colinfo,http.content_type,http.content_type" \ -r cap.pcap

Примеры

# tshark -f "! port 22" -Y "! arp || icmp"
linux/wireshark.1618911649.txt.gz · Последнее изменение: 2021/04/20 09:40 — admin

Инструменты страницы

Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki