[1. Qu'est-ce que la commande tshark](Qu'est-ce que la commande #tshark) 2. Préférences [3. Exécuter](# Exécuter) [4. Comment filtrer les fichiers pcap](# Comment filtrer les fichiers pcap) [5. Option](# Option) [6. Référence](# Référence)
Vous pouvez exécuter Wireshark avec CLI. Puisqu'il s'agit d'une CLI, il sera assez facile pour les artisans de la CLI de gérer les données pcap telles que le traitement parallèle, l'écriture dans des scripts shell, cron, grep, etc.!
Dans cet article, je l'essaye sur MacOS. Tout d'abord, rendez tshark disponible sur votre Mac. Cela peut être fait à partir de l'interface graphique ou de la CLI.
** Lors de l'installation avec GUI (à partir du Web) ** Vous pouvez l'installer à partir de ce qui suit. https://www.wireshark.org/download.html
** Lors de l'installation avec CLI (terminal) **
Installation
brew install wireshark
Faisons-le tout de suite! Cette fois, nous examinerons les données appelées test.pcap.
Courir
tshark -r test.pcap
Vous devriez maintenant être en mesure de confirmer le contenu des données. À propos, l'ordre des données et les éléments affichés sont dans l'état par défaut, mais vous pouvez spécifier les données que vous souhaitez vérifier et l'ordre d'affichage. Même si vous modifiez l'affichage des colonnes avec Wireshark dans l'interface graphique, il sera affecté par le résultat de la commande tshark.
Cette fois, filtrez selon les conditions suivantes et réessayez.
conditions
() Filtres utilisables avec WireShark normal (GUI)
・ Focus sur la communication du protocole smb2
smb2.tree && tcp.dstport==445
-Supprimer les communications supplémentaires où le nom de fichier et le nom du compte d'utilisateur sont manquants.
smb2.filename != "" && smb2.acct != ""
afficher
() Comment écrire des colonnes utilisables avec WireShark normal (GUI)
·nom du compte
smb2.acct
・ Chemin du dossier (chemin partagé)
smb2.tree
-Nom du fichier d'opération
smb2.filename
・ Le nom du terminal auquel vous accédez
smb2.host
Courir
tshark -r test.pcap -T fields -e smb2.acct -e smb2.tree -e smb2.filename -e smb2.host -Y 'smb2.tree && tcp.dstport==445 && smb2.filename != "" && smb2.acct != ""'
Bien sûr, il est également possible de les convertir en données qui peuvent être facilement traitées à l'aide de tuyaux et de redirections comme indiqué ci-dessous.
référence
tshark -r test.pcap <système optionnel>| grep -i test
tshark -r test.pcap <système optionnel>> test.csv
| option | Contenu |
|---|---|
| -i <interface> | Spécifiez l'interface à capturer |
| -f <capture filter> | filtre libpcap Spécifier un filtre par syntaxe |
| -s <snaplen> | Spécifiez la longueur de l'instantané (par défaut: 65535) |
| -p | N'utilisez pas le mode Promise Cass |
| -y <link type> | Spécifiez le type de couche de lien (par défaut: le premier approprié) |
| -D | Afficher la liste des interfaces |
| -L | Afficher la liste des types de couches de liens d'interface |
| -c <packet count> | Arrêtez-vous au nombre spécifié de paquets (par défaut:infini) |
| -a <autostop cond.> | ・ Durée:NUM S'arrête une fois le nombre de secondes spécifié par NUM écoulé · Taille du fichier:NUM Taille spécifiée par NUM(KB)Arrêtez lorsque le fichier enregistré atteint · Des dossiers:NUM Arrêter lorsque le nombre de fichiers enregistrés spécifié par NUM est atteint |
| -b <ringbuffer opt.> | ・ Durée:NUM Enregistrer dans le fichier suivant une fois le nombre de secondes spécifié par NUM écoulé · Taille du fichier:NUM Taille spécifiée par NUM(KB)Enregistrer dans le fichier suivant lorsque le fichier de sauvegarde est atteint · Des dossiers:NUM Remplacer les fichiers lorsque le nombre de fichiers enregistrés spécifié par NUM est atteint |
| -r <infile> | Lire à partir du fichier de paquet |
| R <read filter> | Spécifier le filtre d'affichage Wireshark |
| -n | Désactiver toute résolution de nom(Défaut:Efficacité) |
| -N <name resolve flags> | Activer la résolution de nom spécifique |
| -d <layer_type>==<selector>,<decode_as_protocol> | Associer un port spécifique à un protocole spécifique tcp.port==8888,Pour http "Le port Tcp 8888 est http" |
| -C <config profile> | Spécifiez le fichier de paramètres |
| -F <output file type> | Spécifiez le type de fichier de sortie |
| -V | Ajouter une arborescence de paquets à afficher |
| -S | [-w]Afficher les paquets même si l'option est activée |
| -x | Ajout de l'affichage de vidage hexadécimal et ASCII |
| -e <field> | Spécifiez le champ que vous souhaitez afficher |
Comment installer Homebrew mémo option tshark
Recommended Posts