Sådan udfører du netværkssnusning med Tshark

Denne gang snakker vi om Tshark, en kraftfuld kommandolinjeanalysator, der følger med den velkendte Wireshark. Det virker som TCPDump, men med kraftige dekodere og filtre, der er i stand til at indhente oplysninger om forskellige netværkslag eller protokoller og vise i forskellige format og layout.

Bruges til at analysere netværkstrafik i realtid eller læse pcap / pcapng-filer for at søge efter oplysninger, grave i detaljer om forbindelser, hjælpe med at identificere netværksanomalier, problemer eller tendenser. At hjælpe netværks- og sikkerhedspersonale med at være foran brugeren og deres behov, forhindre problemer og sikkerhedstrusler eller løse dem, før det er for sent.

prøve Tshark session

prøve Tshark session

Indholdsfortegnelse

  • Intro
  • filtre
    • Capture filtre
    • Vis filtre
  • Produktion
    • formatering
    • statistik

Intro

Hvorfor Tshark

Tshark fungerer som tcpdump, ngrep og andre, men da det giver Wireshark-protokollens dekodningsfunktioner, vil du være meget mere komfortabel at læse dens output, da det gør netværksanalyse på terminal mere menneskeligt.

Tshark er en terminal applikation, der er i stand til at gøre stort set alt hvad du gør med Wireshark, men uden brug for klik eller skærmbilleder. Dette gør det godt, når du skal lave nogle script, som f.eks. Cron planlagte fanger, send dataene til sed, awk, perl, mail, database eller så.

Tshark er en god pasform til fjernpakkefangst, på enheder som gateways, du skal bare logge på ssh og bruge som du ville gøre på localhost.

Capture, læse og skrive pakker

I vores første løb på Tshark forsøger at kalde det uden parametre, vil dette begynde at fange pakker på standard netværksgrænsefladen.

tshark

Der kan være mere end en grænseflade på din maskine, og du skal måske angive, hvilken du vil bruge. For at få en liste over tilgængelige grænseflader skal du bruge -D

tshark -D

Når du har fundet ud af, hvilken grænseflade der skal bruges, ring tsark med -i mulighed og et interface navn eller nummer rapporteret af -D indstillingen.

tshark -i eth1

tshark -i 3

Nu hvor du kan fange pakkerne over netværket, kan du gemme dem til senere inspektion, det kan gøres med -w valgmulighed.

tshark -i wlan0 -w /tmp/traffic.pcap

For at analysere pakkerne fra den tidligere gemte traffic.pcap-fil, skal du bruge -r option, dette vil læse pakker fra stedet for en netværksgrænseflade. Bemærk også, at du ikke har brug for superbrugerrettigheder til at læse fra filer.

tshark -r /tmp/traffic.pcap

Som standard navneopløsning udføres, kan du bruge -n og deaktiver dette for at få det bedste resultat i nogle tilfælde.

tshark -n

filtre

Hvis du er på et travlt netværk, kan du have skærm som på Matrix-filmene, med alle slags oplysninger, der flyder for hurtigt og næsten umuligt at læse. For at løse dette problem leverer Tshark to typer filtre, der vil lade dig se ud over kaoset.

Capture filtre

Du kan bruge det traditionelle pcap / bpf filter til at vælge, hvad du skal fange fra din grænseflade.

Søg efter pakker, der er relateret til 192.168.1.100-værten på port 80 eller 53.

tshark -i 2 -f "vært 192.168.1.100 og (dst port 53 eller 80)"

Ignorer pakker på multicast og broadcast domæner

tshark -i eth3 -f "ikke udsendt og ikke multicast"

Vis filtre

Visningsfiltre er indstillet med -Y og har følgende syntaks

For at se alle forbindelser fra vært 192.168.1.1

tshark -i eth0 -Y "ip.addr == 192.168.1.1"

Vis HTTP-anmodninger på TCP-port 8800

tshark -i eth0 -Y "tcp.port == 8800 og http.request"

Vis alle undtagen ICMP- og ARP-pakker

tshark -i eth0 -Y "ikke arp eller icmp"

Formatering

Nogle gange har du brug for mere eller mindre information fra netværkspakkerne, der skal vises, og du skal måske angive, hvordan / hvor du skal vise disse oplysninger. Følgende muligheder giver dig mulighed for at gøre netop dette.

Brug -V at gøre Tshark verbose og vise detaljer om pakker, fra rammenummer, protokolfelt, pakkedata eller flag.

Den -O mulighed er meget ligesom -V-indstillingen, men dette vil vise detaljer om en bestemt protokol

tshark -i eth2 -O icmp

Brug -T mulighed for at output data i forskellige formater, kan dette være meget praktisk, når du har brug for et bestemt format til din analyse. f.eks. når du bruger Tshark til at udfylde en database

tshark -i wlan0 -O icmp -T felter -e frame.number -e data

Hvis du vælger felter til -T-indstillingen, skal du indstille -e mulighed mindst en gang, dette vil fortælle Tshark, hvilket informationsfelt der skal vises, du kan bruge denne mulighed flere gange for at vise flere felter

tshark -r nmap_OS_scan_succesful -Y "tcp.ack" -T felter -e frame.number -e ip.src -e tcp.seq -e tcp.ack -e tcp.flags.str -e tcp.flags -e tcp. analysis.acks_frame

Nmap standard scanning

Nmap standard scanning

For at få en komplet liste over de mulige felter, der skal bruges med -e flag-brug -G indstillingen som nedenfor

tshark -G felter | mindre

Yderligere formatering kan gøres med -E flag, du kan vise / skjule overskrifter, angive citat karakter og mere.

Se på følgende kommando, der kombinerer disse muligheder for at producere en CSV-fil.

tshark -r captured.cap -T felter -e frame.number -e frame.encap_type -e frame.protocols -e frame.len -e ip.addr -E separator =, -E quote = d> outfile.csv

Tshark output af udvalgte felter i CSV format

Tshark output af udvalgte felter i CSV format

Statistik

Nogle gange kan du have en analytisk rapport, i dette tilfælde brug -z mulighed efterfulgt af en af ​​de mange tilgængelige rapporttyper.

Rapport om SMB, DNS og IP protokoller.

tshark -i ens1 -z smb, srt -z dns, træ -z http, træ -z værter

Tshark SMB statistik

Tshark SMB statistik

Liste over IP-samtaler

tshark -r cap.pcap -z conv, ip

IP-samtale rapport

IP-samtale rapport

For at få en liste over de tilgængelige rapporter, prøv funktionen -z hjælp.

tshark -z hjælp

Sikre stikkontakter

Du kan også analysere krypterede forbindelser som SSL, det følgende eksempel viser HTTP'en i det sikre sokkelag

Oplysninger om en HTTP-forbindelse over SSL

Oplysninger om en HTTP-forbindelse over SSL

Her viser vi pakker på TCP porten 443 og fortæller Tshark at være verbose med HTTP-protokollen, gøre segmentering på SSL, søg den private nøgle på den PEM formaterede server-x.key-fil og dump debug-information på debug-ssl. logfil.

tshark -r encrypted-packets.pcap -Y "tcp.port == 443" -O http

-o "ssl.desegment_ssl_records: TRUE"

-o "ssl.desegment_ssl_application_data: TRUE"

-o "ssl.keys_list: 127.0.0.1,443, http, server-x.key"

-o "ssl.debug_file: debug-ssl.log"

Konklusion

Sådan begynder du at bruge Tshark til at snyde pakker fra dine netværk, hjælpe dig med at finde ud af, hvor du skal se, når der opstår problemer, fejl dine netværkstjenester, inspicer sikkerhed og analyser det generelle helbred.

For mere information, se linkene herunder

Tak for læsning!

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.