Tshark - анализатор трафика аккуратно расположившийся между Tcpdump и Wireshark. С одной стороны он консольный, как Tcpdump, а с другой много функциональный, как Wireshark, сами посудите, более 300 различный хпротоколов, возможность писать регуляркой, да и в целом более пнятный и человеческий интерфейс в рамках той же библиотеки LibPcap.
Примеры по телефонии:
tshark -ta -ni any -Y "ip.addr==4952231648"
tshark -ta -ni any -Y "sip contains 4952231648"
tshark -ta -Vni any -Y "sip==565$RK070395 and ip.addr==194.87.34.228"
tshark -ta -ni any -Y "sip && ip.addr== 213.208.184.137"
Примеры по СПД:
захват пакетов для конкретного IP-адреса
tshark -i eth0 host 192.168.1.100
информацию только о входящих пакетах или только об исходящих пакетах
tshark -i eth0 src host 192.168.1.100
указываем, что из файла /tmp/capture.cap нужно извлечь пакеты для IP-адреса 192.168.0.1.
tshark -R "ip.addr == 192.168.0.1" -r /tmp/capture.cap
Исключая трафик с определенного IPtshark -i eth0 'not host 212.245.4.23'
Извлекаем пакеты только для определенного мак-адресса:
tshark -R "eth.addr == 00:08:15:00:08:15" -r /tmp/capture.cap
Для создания статистических отчетов используется опция -z, после которой указывается тип отчета.
Отчёт по протоколам SMB, DNS и IP:
tshark -i ens1 -z smb,srt -z dns,tree -z http,tree -z hosts
Непосредсвенно снятие дампа в файл командой:
tshark –i eth0 –w /tmp/eth0.pcap
из файла /tmp/capture.cap нужно извлечь информацию о порте-источнике всех пакетов
tshark -z "proto,colinfo,tcp.srcport,tcp.srcport" -r /tmp/capture.cap
Памятка поключам с сайта
tshark [ -2 ] [ -a <capture autostop condition> ] ... [ -b <capture ring buffer option>] ... [ -B <capture buffer size> ] [ -c <capture packet count> ] [ -C <configuration profile> ] [ -d <layer type>==<selector>,<decode-as protocol> ] [ -D ] [ -e <field> ] [ -E <field print option> ] [ -f <capture filter> ] [ -F <file format> ] [ -g ] [ -h ] [ -H <input hosts file> ] [ -i <capture interface>|- ] [ -I ] [ -j <protocol match filter> ] [ -J <protocol match filter> ] [ -K <keytab> ] [ -l ] [ -L ] [ -n ] [ -N <name resolving flags> ] [ -o <preference setting> ] ... [ -O <protocols> ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r <infile> ] [ -R <Read filter> ] [ -s <capture snaplen> ] [ -S <separator> ] [ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ] [ -T ek|fields|json|jsonraw|pdml|ps|psml|tabs|text ] [ -u <seconds type>] [ -U <tap_name>] [ -v ] [ -V ] [ -w <outfile>|- ] [ -W <file format option>] [ -x ] [ -X <eXtension option>] [ -y <capture link type> ] [ -Y <displaY filter> ] [ -M <auto session reset> ] [ -z <statistics> ] [ --capture-comment <comment> ] [ --list-time-stamp-types ] [ --time-stamp-type <type> ] [ --color ] [ --no-duplicate-keys ] [ --export-objects <protocol>,<destdir> ] [ --enable-protocol <proto_name> ] [ --disable-protocol <proto_name> ] [ --enable-heuristic <short_name> ] [ --disable-heuristic <short_name> ] [ <filter> ]
Конец!
Комментариев нет:
Отправить комментарий