Wireshark Komut Satırı Arayüzü “tshark” Kılavuzu

Wireshark için daha önceki eğitimlerde, temelden ileri seviyeye kadar konuları ele aldık. Bu yazıda Wireshark için bir komut satırı arayüzünü anlayacağız ve ele alacağız.e., köpekbalığı. Wireshark'ın terminal versiyonu benzer seçenekleri destekler ve bir Grafik Kullanıcı Arayüzü (GUI) mevcut olmadığında çok kullanışlıdır.

Bir grafik kullanıcı arayüzü teorik olarak kullanımı çok daha kolay olsa da, tüm ortamlar, özellikle de yalnızca komut satırı seçeneklerine sahip sunucu ortamları bunu desteklemez. Bu nedenle, bir ağ yöneticisi veya bir güvenlik mühendisi olarak, zamanın bir noktasında bir komut satırı arabirimi kullanmanız gerekecektir. tshark'ın bazen tcpdump'ın yerine kullanıldığını unutmamak önemlidir. Her iki araç da trafik yakalama işlevinde neredeyse eşdeğer olsa da, tshark çok daha güçlüdür.

Yapabileceğiniz en iyi şey, sunucunuzda bilgileri sisteminize ileten bir bağlantı noktası kurmak için tshark kullanmaktır, böylece bir GUI kullanarak analiz için trafiği yakalayabilirsiniz. Ancak şimdilik nasıl çalıştığını, niteliklerinin neler olduğunu ve onu yeteneklerinden en iyi şekilde nasıl kullanabileceğinizi öğreneceğiz.

Apt-get kullanarak Ubuntu/Debian'a tshark yüklemek için aşağıdaki komutu yazın:

[e-posta korumalı]:~$ sudo apt-get install tshark -y

Şimdi yazın tshark -yardım bir komuta iletebileceğimiz ilgili bayraklarıyla tüm olası argümanları listelemek için köpekbalığı.

[e-posta korumalı]:~$ tshark --help | kafa -20
TShark (Wireshark) 2.6.10 (Git v2.6.2 olarak paketlenmiş 10.6.10-1~ubuntu18.04.0)
Ağ trafiğini boşaltın ve analiz edin.
https://www'ye bakın.tel köpekbalığı.org daha fazla bilgi için.
Kullanım: tshark [seçenekler]…
Yakalama arayüzü:
-ben arabirimin adı veya kimliği (def: ilk geridönüşsüz)
-f libpcap filtre sözdiziminde paket filtresi
-s paket anlık görüntü uzunluğu (tanım: uygun maksimum)
-p rastgele modda yakalama
-Varsa monitör modunda çekiyorum
-B çekirdek arabelleği boyutu (def: 2MB)
-y bağlantı katmanı türü (def: ilk uygun)
--zaman damgası türü arayüz için zaman damgası yöntemi
-D arayüzlerin listesini yazdırın ve çıkın
-L iface ve çıkış bağlantı katmanı türlerinin listesini yazdır
--list-time-stamp-types iface ve çıkış için zaman damgası türlerinin listesini yazdır
Yakalama durdurma koşulları:

Mevcut tüm seçeneklerin bir listesini görebilirsiniz. Bu yazıda, argümanların çoğunu ayrıntılı olarak ele alacağız ve bu terminal odaklı Wireshark versiyonunun gücünü anlayacaksınız.

Ağ Arayüzünü Seçme:

Bu yardımcı programda canlı yakalama ve analiz yapmak için önce çalışma arayüzümüzü bulmamız gerekiyor. Tür köpekbalığı -D ve tshark mevcut tüm arayüzleri listeleyecektir.

[e-posta korumalı]:~$ tshark -D
1. enp0s3
2. hiç
3. lo (Geri Döngü)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (Cisco uzaktan yakalama)
8. randpkt (Rastgele paket üreteci)
9. sshdump (SSH uzaktan yakalama)
10. udpdump (UDP Dinleyici uzaktan yakalama)

Listelenen tüm arayüzlerin çalışmayacağını unutmayın. Tür ifconfig sisteminizde çalışan arayüzleri bulmak için. Benim durumumda, bu enp0s3.

Trafiği Yakala:

Canlı yakalama sürecini başlatmak için, köpekbalığı " ile komut-ben” seçeneği, çalışma arayüzünden yakalama işlemini başlatmak için.

[e-posta korumalı]:~$ tshark -i enp0s3

kullanın Ctrl+C canlı yakalamayı durdurmak için. Yukarıdaki komutta, yakalanan trafiği Linux komutuna aktardım kafa yakalanan ilk birkaç paketi görüntülemek için. Veya “-c”yi de kullanabilirsiniz ” sözdizimi” yakalamak içinn” paket sayısı.

[e-posta korumalı]:~$ tshark -i enp0s3 -c 5

sadece girerseniz köpekbalığı, varsayılan olarak, mevcut tüm arayüzlerde trafik yakalamaya başlamaz ve çalışma arayüzünüzü dinlemez. Bunun yerine, listelenen ilk arabirimdeki paketleri yakalayacaktır.

Birden çok arabirimi kontrol etmek için aşağıdaki komutu da kullanabilirsiniz:

[e-posta korumalı]:~$ tshark -i enp0s3 -i usbmon1 -i lo

Bu arada, trafiği yakalamanın başka bir yolu, numarayı listelenen arayüzlerin yanında kullanmaktır.

[e-posta korumalı]:~$ tshark -i interface_number

Ancak, birden fazla arabirimin varlığında, listelenen numaralarını takip etmek zordur.

Yakalama Filtresi:

Yakalama filtreleri, yakalanan dosya boyutunu önemli ölçüde azaltır. Tshark, Berkeley Paket Filtresi sözdizimini kullanır -f “tcpdump tarafından da kullanılan ”. Yalnızca 80 veya 53 numaralı bağlantı noktalarından paketleri yakalamak için “-f” seçeneğini kullanacağız ve yalnızca ilk 10 paketi görüntülemek için “-c” kullanacağız.

[e-posta korumalı]:~$ tshark -i enp0s3 -f "bağlantı noktası 80 veya bağlantı noktası 53" -c 10

Yakalanan Trafiği Dosyaya Kaydetme:

Yukarıdaki ekran görüntüsünde dikkat edilmesi gereken en önemli şey, görüntülenen bilgilerin kaydedilmediği, dolayısıyla daha az kullanışlı olduğudur. argümanını kullanıyoruz”-w” yakalanan ağ trafiğini kaydetmek için test_capture.pcap içinde /tmp Klasör.

[e-posta korumalı]:~$ tshark -i enp0s3 -w /tmp/test_capture.pcap

Buna karşılık, .pcap Wireshark dosya türü uzantısıdır. Dosyayı kaydederek daha sonra Wireshark GUI ile bir makinedeki trafiği inceleyebilir ve analiz edebilirsiniz.

Dosyayı / dizinine kaydetmek iyi bir uygulamadırtmp bu klasör herhangi bir yürütme ayrıcalığı gerektirmediğinden. Başka bir klasöre kaydederseniz, tshark'ı root ayrıcalıklarıyla çalıştırıyor olsanız bile, program güvenlik nedeniyle izinleri reddedecektir.

Yapabileceğiniz tüm olası yolları inceleyelim:

veri yakalamaya sınırlamalar uygulayın, öyle ki çıkmak köpekbalığı veya yakalama işlemini otomatik olarak durdurma ve
dosyalarının çıktısını al.

Otomatik Durdurma Parametresi:

kullanabilirsiniz”-bir” parametresi, süre dosya boyutu ve dosyalar gibi mevcut bayrakları dahil etmek için. Aşağıdaki komutta, autostop parametresini süre 120 saniye içinde işlemi durdurmak için bayrak.

[e-posta korumalı]:~$ tshark -i enp0s3 -a süre:120 -w /tmp/test_capture.pcap

Benzer şekilde, dosyalarınızın ekstra büyük olmasına ihtiyacınız yoksa, Dosya boyutu bazı KB sınırlarından sonra süreci durdurmak için mükemmel bir bayraktır.

[e-posta korumalı]:~$ tshark -i enp0s3 -a dosya boyutu:50 -w /tmp/test_capture.pcap

En önemlisi, Dosyalar flag, bir dizi dosyadan sonra yakalama işlemini durdurmanıza izin verir. Ancak bu, yalnızca başka bir yararlı parametrenin yürütülmesini gerektiren birden çok dosya oluşturulduktan sonra mümkün olabilir, çıktı yakalama.

Çıkış Parametresini Yakala:

Çıktıyı yakalayın, diğer adıyla ringbuffer argümanı "-b“, autostop ile aynı bayraklarla birlikte gelir. Ancak, kullanım/çıktı biraz farklıdır, ben.e., bayraklar süre ve Dosya boyutu, saniye veya dosya boyutu olarak belirli bir zaman sınırına ulaştıktan sonra paketleri başka bir dosyaya değiştirmenize veya kaydetmenize izin verdiği için.

Aşağıdaki komut, trafiği ağ arayüzümüz üzerinden yakaladığımızı gösterir enp0s3, ve yakalama filtresini kullanarak trafiği yakalayın "-ftcp ve dns için. Ringbuffer seçeneğini “-b” ile bir Dosya boyutu her boyuttaki dosyayı kaydetmek için bayrak 15 Kb, ve ayrıca dosya sayısını belirtmek için autostop argümanını kullanın Dosyalar üç dosya oluşturduktan sonra yakalama işlemini durduracak şekilde seçenek.

[e-posta korumalı]:~$ tshark -i enp0s3 -f "53 numaralı bağlantı noktası veya 21 numaralı bağlantı noktası" -b dosya boyutu:15 -a files:2 -w /tmp/test_capture.pcap

Üç ekranın oluşturulmasını aktif olarak izlemek için terminalimi iki ekrana böldüm .pcap dosyaları.

senin yanına git /tmp klasörünü açın ve her saniyeden sonra güncellemeleri izlemek için ikinci terminalde aşağıdaki komutu kullanın.

[e-posta korumalı]:~$ izle -n 1 "ls -lt"

Artık tüm bu bayrakları ezberlemenize gerek yok. Bunun yerine, bir komut yazın tshark -i enp0s3 -f “53 numaralı bağlantı noktası veya 21 numaralı bağlantı noktası” -b boyutu:15 -a terminalinizde ve tuşuna basın Sekme. Mevcut tüm bayrakların listesi ekranınızda mevcut olacaktır.

[e-posta korumalı]:~$ tshark -i enp0s3 -f "53 numaralı bağlantı noktası veya 21 numaralı bağlantı noktası" -b dosya boyutu:15 -a
süre: dosyalar: dosya boyutu:
[e-posta korumalı]:~$ tshark -i enp0s3 -f "bağlantı noktası 53 veya bağlantı noktası 21" -b dosya boyutu:15 -a

Okuma .pcap Dosyaları:

En önemlisi, bir “kullanabilirsiniz-r” parametresini test_capture okumak için.pcap dosyalarına aktarın ve kafa komut.

[e-posta korumalı]:~$ tshark -r /tmp/test_capture.bilgisayar | kafa

Çıktı dosyasında görüntülenen bilgiler biraz bunaltıcı olabilir. Gereksiz ayrıntılardan kaçınmak ve belirli bir hedef IP adresini daha iyi anlamak için, -r paket yakalanan dosyayı okuma ve bir ip.adres çıktıyı “ ile yeni bir dosyaya yönlendirmek için filtre-w” seçeneği. Bu, dosyayı incelememize ve daha fazla filtre uygulayarak analizimizi iyileştirmemize olanak tanır.

[e-posta korumalı]:~$ tshark -r /tmp/test_capture.pcap -w /tmp/yönlendirilen_dosya.pcap ip.dst==216.58.209.142
[e-posta korumalı]:~$ tshark -r /tmp/redirected_file.pcap|kafa
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Uygulama Verileri
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Uygulama Verileri
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Uygulama Verileri
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Uygulama Verileri
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Uygulama Verileri
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [yeniden birleştirilmiş bir PDU'nun TCP segmenti]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Uygulama Verileri
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Uygulama Verileri
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Uygulama Verileri
100.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Uygulama Verileri

Çıktı Alanları Seçme:

Yukarıdaki komutlar, çeşitli başlık alanları içeren her paketin bir özetini verir. Tshark ayrıca belirtilen alanları görüntülemenizi sağlar. Bir alan belirtmek için “ kullanırız-T alanı” ve seçimimize göre alanları ayıklayın.

Sonra "-T alanı” geçişi, belirtilen alanları/filtreleri yazdırmak için “-e” seçeneğini kullanıyoruz. Burada Wireshark Görüntü Filtrelerini kullanabiliriz.

[e-posta korumalı]:~$ tshark -r /tmp/test_capture.pcap -T alanları -e çerçeve.numara -e ip.kaynak -e ip.dst | kafa
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Şifreli El Sıkışma Verilerini Yakalayın:

Şimdiye kadar çeşitli parametreler ve filtreler kullanarak çıktı dosyalarını kaydetmeyi ve okumayı öğrendik. Şimdi HTTPS'nin tshark oturumunu nasıl başlattığını öğreneceğiz. HTTP yerine HTTPS üzerinden erişilen web siteleri, kablo üzerinden güvenli veya şifreli bir veri iletimi sağlar. Güvenli aktarım için, bir Aktarım Katmanı Güvenliği şifrelemesi, istemci ile sunucu arasındaki iletişimi başlatmak için bir el sıkışma sürecini başlatır.

tshark kullanarak TLS el sıkışmasını yakalayıp anlayalım. Terminalinizi iki ekrana bölün ve bir wget html dosyasını alma komutu https://www.tel köpekbalığı.kuruluş.

[e-posta korumalı]:~$ wget https://www.tel köpekbalığı.kuruluş
--2021-01-09 18:45:14-- https://www.tel köpekbalığı.kuruluş/
www'ye bağlanılıyor.tel köpekbalığı.kuruluş (www.tel köpekbalığı.kuruluş)|104.26.10.240|:443… bağlı.
HTTP isteği gönderildi, yanıt bekleniyor… 206 Kısmi İçerik
Uzunluk: 46892 (46K), 33272 (32K) kalan [metin/html]
Şuraya kaydediliyor: 'dizin.html'
dizin.html %100[++++++++++++++================================ ==>] 45.0'da 79K 154KB/sn.2s
2021-01-09 18:43:27 (154 KB/sn) - 'dizin.html' kaydedildi [46892/46892]

Başka bir ekranda, “kullanarak ilk 11 paketi yakalamak için tshark kullanacağız-c" parametre. Analiz yaparken, olayları yeniden yapılandırmak için zaman damgaları önemlidir, bu nedenle “-reklam”, tshark'ın yakalanan her paketin yanına zaman damgası eklediği şekilde. Son olarak, paylaşılan ana bilgisayardan paketleri yakalamak için host komutunu kullanırız IP adresi.

Bu el sıkışma, TCP el sıkışmasına oldukça benzer. İlk üç pakette TCP üç yollu el sıkışma biter bitmez, dördüncü ila dokuzuncu paketler biraz benzer bir el sıkışma ritüelini takip eder ve her iki taraf arasında şifreli iletişim sağlamak için TLS dizileri içerir.

[e-posta korumalı]:~$ tshark -i enp0s3 -c 11 -t reklam barındırıcısı 104.26.10.240
'enp0s3' üzerinde yakalama
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Sıra=0 Win=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=2488996311 TSecr=0 WS=128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Sıra=0 Ack=1 Win=65535 Len=0 MSS=1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Sıra=1 Onay=1 Kazan=64240 Len=0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Müşteri Merhaba
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Sıra=1 Ack=320 Win=65535 Len=0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Sunucu Merhaba, Şifre Özelliğini Değiştir
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Sıra=320 Ack=1413 Win=63540 Len=0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Uygulama Verileri
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Sıra=320 Ack=2519 Win=63540 Len=0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Şifre Özelliğini Değiştir, Uygulama Verileri
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Sıra=2519 Ack=400 Win=65535 Len=0
11 paket yakalandı

Tüm Paketi Görüntüleme:

Bir komut satırı yardımcı programının tek dezavantajı, çok sayıda internet trafiğini aramanız gerektiğinde çok kullanışlı hale geldiğinden bir GUI'ye sahip olmamasıdır ve ayrıca bir paket içindeki tüm paket ayrıntılarını görüntüleyen bir Paket Paneli sunar. anında. Ancak, paketi incelemek ve GUI Paket Panelinde görüntülenen tüm paket bilgilerini boşaltmak hala mümkündür.

Bir paketin tamamını incelemek için, tek bir paketi yakalamak için “-c” seçeneğiyle bir ping komutu kullanıyoruz.

[e-posta korumalı]:~$ ping -c 1 104.26.10.240
PİN 104.26.10.240 (104.26.10.240) 56(84) bayt veri.
104'ten 64 bayt.26.10.240: icmp_seq=1 ttl=55 süre=105 ms
--- 104.26.10.240 ping istatistikleri ---
1 paket iletildi, 1 paket alındı, %0 paket kaybı, zaman 0ms
rtt min/ort/maks/mdev = 105.095/105.095/105.095/0.000 ms

Başka bir pencerede, tüm paket ayrıntılarını görüntülemek için ek bir bayrakla tshark komutunu kullanın. Çerçeveler, Ethernet II, IPV ve ICMP ayrıntılarını gösteren çeşitli bölümleri fark edebilirsiniz.

[e-posta korumalı]:~$ tshark -i enp0s3 -c 1 -V ana bilgisayar 104.26.10.240
Çerçeve 1: Kablo üzerinde 98 bayt (784 bit), 0 arabiriminde yakalanan 98 bayt (784 bit)
Arayüz kimliği: 0 (enp0s3)
Arayüz adı: enp0s3
Kapsülleme tipi: Ethernet (1)
Varış Zamanı: 9 Ocak 2021 21:23:39.167581606 PKT
[Bu paket için zaman kayması: 0.000000000 saniye]
Dönem Zamanı: 1610209419.167581606 saniye
[Önceki yakalanan kareden zaman deltası: 0.000000000 saniye]
[Önceki görüntülenen kareden zaman farkı: 0.000000000 saniye]
[Referans veya ilk kareden bu yana geçen süre: 0.000000000 saniye]
Çerçeve Numarası: 1
Çerçeve Uzunluğu: 98 bayt (784 bit)
Yakalama Uzunluğu: 98 bayt (784 bit)
[Çerçeve işaretlendi: Yanlış]
[Çerçeve yoksayılır: Yanlış]
[Çerçevedeki protokoller: eth:ethertype:ip:icmp:data]
Ethernet II, Src: AdetCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Hedef: RealtekU_12:35:02 (52:54:00:12:35:02)
Adres: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG biti: Yerel olarak yönetilen adres (bu fabrika varsayılanı DEĞİLDİR)
… 0… = IG biti: Bireysel adres (unicast)
Kaynak: AdetCompu_17:fc:a6 (08:00:27:17:fc:a6)
Adres: AdetCompu_17:fc:a6 (08:00:27:17:fc:a6)
Arayüz kimliği: 0 (enp0s3)
Arayüz adı: enp0s3
Kapsülleme tipi: Ethernet (1)
Varış Zamanı: 9 Ocak 2021 21:23:39.167581606 PKT
[Bu paket için zaman kayması: 0.000000000 saniye]
Dönem Zamanı: 1610209419.167581606 saniye
[Önceki yakalanan kareden zaman deltası: 0.000000000 saniye]
[Önceki görüntülenen kareden zaman farkı: 0.000000000 saniye]
[Referans veya ilk kareden bu yana geçen süre: 0.000000000 saniye]
Çerçeve Numarası: 1
Çerçeve Uzunluğu: 98 bayt (784 bit)
Yakalama Uzunluğu: 98 bayt (784 bit)
[Çerçeve işaretlendi: Yanlış]
[Çerçeve yoksayılır: Yanlış]
[Çerçevedeki protokoller: eth:ethertype:ip:icmp:data]
Ethernet II, Src: AdetCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Hedef: RealtekU_12:35:02 (52:54:00:12:35:02)
Adres: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG biti: Yerel olarak yönetilen adres (bu fabrika varsayılanı DEĞİLDİR)
… 0… = IG biti: Bireysel adres (unicast)
Kaynak: AdetCompu_17:fc:a6 (08:00:27:17:fc:a6)
Adres: AdetCompu_17:fc:a6 (08:00:27:17:fc:a6)
… 0… = LG bit: Global olarak benzersiz adres (fabrika varsayılanı)
… 0… = IG biti: Bireysel adres (unicast)
Tür: IPv4 (0x0800)
İnternet Protokolü Sürüm 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Sürüm: 4
… 0101 = Başlık Uzunluğu: 20 bayt (5)
Farklılaştırılmış Hizmetler Alanı: 0x00 (DSCP: CS0, ECN: ECT Değil)
0000 00… = Farklılaştırılmış Hizmetler Kod Noktası: Varsayılan (0)
… 00 = Açık Tıkanıklık Bildirimi: ECN Uyumlu Değil (0)
Toplam Uzunluk: 84
Tanımlama: 0xcc96 (52374)
Bayraklar: 0x4000, Parçalama
0… = Ayrılmış bit: Ayarlanmadı
.1… = Parçalama: Ayarla
… 0… = Daha fazla parça: Ayarlanmadı
… 0 0000 0000 0000 = Parça ofseti: 0
Yaşama Süresi: 64
Protokol: ICMP (1)
Başlık sağlama toplamı: 0xeef9 [doğrulama devre dışı]
[Başlık sağlama toplamı durumu: Doğrulanmadı]
Kaynak: 10.0.2.15
Hedef: 104.26.10.240
İnternet Kontrol Mesaj Protokolü
Tür: 8 (Yankı (ping) isteği)
Kod: 0
Sağlama toplamı: 0x0cb7 [doğru]
[Sağlama Durumu: İyi]
Tanımlayıcı (BE): 5038 (0x13ae)
Tanımlayıcı (LE): 44563 (0xae13)
Sıra numarası (BE): 1 (0x0001)
Sıra numarası (LE): 256 (0x0100)
icmp verilerinden zaman damgası: 9 Ocak 2021 21:23:39.000000000 PKT
[icmp verilerinden zaman damgası (göreli): 0.167581606 saniye]
Veri (48 bayt)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"#$%&'
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 ()*+,-./01234567
Veri: 918e02000000000010111213141516171891a1b1c1d1e1f…
[Uzunluk: 48]

Sonuç:

Paket analizinin en zorlu yönü, en alakalı bilgiyi bulmak ve işe yaramaz bitleri görmezden gelmektir. Grafik arayüzler kolay olsa da otomatik ağ paket analizine katkıda bulunamazlar. Bu makalede, ağ trafiği dosyalarını yakalamak, görüntülemek, kaydetmek ve okumak için en kullanışlı tshark parametrelerini öğrendiniz.

Tshark, Wireshark tarafından desteklenen yakalama dosyalarını okuyan ve yazan çok kullanışlı bir yardımcı programdır. Görüntüleme ve yakalama filtrelerinin kombinasyonu, ileri düzey kullanım senaryoları üzerinde çalışırken çok katkıda bulunur. Derinlemesine analiz için gereksinimlerimize göre alanları yazdırmak ve verileri işlemek için tshark yeteneğinden yararlanabiliriz. Başka bir deyişle, Wireshark'ın yaptığı hemen hemen her şeyi yapabilir. En önemlisi, başka bir günün konusu olan ssh kullanarak uzaktan paket koklama için mükemmeldir.