Использование tshark в Linux
Конспект в доработке
Использование программы tshark
#справка по командам
tshark --help
#Список интерфейсов для захвата трафика
sudo tshark -D
#Выбор интерфейса
tshark -i eth0 -i wlan0
#Запись в файл
tshark -i enp4s0 -w /tmp/tshark.pcap
#Открыть загруженный файл в wireshark ( графический )
wireshark /tmp/tshark.pcap
#Автостоп захвата при достижении определенного размера(Kb) или времени (опция a)
tshark -i wlan0 -a duration:60
tshark -i wlan0 -a packets:20
#Использовать опцию фильтр
-f "port 80 or port 443 or port 53"
#Создать переход на следующий файл при достижении определенного размера:
-b filesize:5
#Автостоп при достижении 3-х файлов
-a files:3
#Включить заголовки и разделители
-E
#Вывод из файла захвата
# -T фильтровать по типу "поле"
# -e выбрать поле
tshark -r /tmp/UPDATE_00001_20220606145802.pcap
tshark -r /tmp/UPDATE_00001_20220606145802.pcap -T fields -e ip | uniq
#Все вместе, выглядит так
tshark -i wlan0 -f "port 80 or port 443 or port 53" -b filesize:5 -a files:3 -w /tmp/UPDATE.pcap
#Чтобы не писать в одной строке:
tshark -i wlan0 -f "
port 80
or
port 443" -i eth0 -f "port 80"
#Записать вывод в файл exel
> file.csv
tshark -r /tmp/UPLOADE.pcap -T fields -e frame.number -e ip.src -e ip.dst -e tcp.dstport -E header=y -E separator=, -E quote=d -E occurrence=f > ./sample.csv
imap and smtp
Фильтр в wireshark tcp.port == 993 and ( ip.dst == 77.88.21.125 or ip.src == 77.88.21.125 )
#Фильтры в tshark:
#Захват на eth0 993 и 465 порты, результат в файл
tshark -i eth0 -w /tmp/tshark.pcap -f "port 993 or port 465"
Источники
Последнее изменение: 10.10.2024 05:48
Связанные темы
Использование модуля pg_stat_statements в postgresql
Поиск уязвимостей и следов взлома в Linux
Управление планировщиком в Postgresql
Базовые понятие о настройках и безопасности в сети
Системные каталоги в Postgresql
Саздание сертификатов SSL (TLS) для сайта
Мониторинг событий в linux с помощью auditd
Использование fail2ban в Linux
Добавлять комментарии могут только авторизованные пользователи