Průvodce po rozhraní příkazového řádku Wireshark „tshark“

V dřívějších tutoriálech pro Wireshark jsme se zabývali tématy základní až pokročilé úrovně. V tomto článku pochopíme a pokryjeme rozhraní příkazového řádku pro Wireshark, i.E., žralok. Terminálová verze Wireshark podporuje podobné možnosti a je velmi užitečná, když není k dispozici grafické uživatelské rozhraní (GUI).

I když je grafické uživatelské rozhraní teoreticky mnohem jednodušší, ne všechna prostředí jej podporují, zejména serverová prostředí s pouze možnostmi příkazového řádku. Proto v určitém okamžiku budete jako správce sítě nebo bezpečnostní technik muset použít rozhraní příkazového řádku. Je důležité si uvědomit, že tshark se někdy používá jako náhrada za tcpdump. I když jsou oba nástroje v oblasti zachycování provozu téměř rovnocenné, tshark je mnohem výkonnější.

Nejlepší, co můžete udělat, je použít tshark k nastavení portu na vašem serveru, který předává informace do vašeho systému, takže můžete zachytit provoz pro analýzu pomocí grafického uživatelského rozhraní. Prozatím se však naučíme, jak to funguje, jaké jsou jeho atributy a jak jej můžete využít v rámci svých nejlepších schopností.

Zadejte následující příkaz pro instalaci tshark v Ubuntu / Debian pomocí apt-get:

[chráněno e-mailem]: ~ $ sudo apt-get install tshark -y

Nyní zadejte tshark -help vypsat všechny možné argumenty s jejich příslušnými příznaky, které můžeme předat příkazu žralok.

[chráněno e-mailem]: ~ $ tshark --help | hlava -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 zabaleno jako 2.6.10-1 ~ ubuntu18.04.0)
Vypisujte a analyzujte síťový provoz.
Viz https: // www.Wireshark.org pro více informací.
Použití: tshark [možnosti]…
Rozhraní snímání:
-i název nebo IDX rozhraní (def: první bez smyčky)
-F paketový filtr v syntaxi filtru libpcap
-s délka snímku paketu (def: vhodné maximum)
-p nezachycujte v promiskuitním režimu
-Fotografuji v režimu monitoru, pokud je k dispozici
-B velikost vyrovnávací paměti jádra (def: 2 MB)
-y typ vrstvy odkazu (def: první vhodné)
--typ časové značky metoda časové značky pro rozhraní
-D vytisknout seznam rozhraní a ukončit
-L vytiskne seznam typů linkové vrstvy iface a exit
--list-time-stamp-types vytiskne seznam typů časových razítek pro iface a exit
Podmínky zastavení snímání:

Můžete si všimnout seznamu všech dostupných možností. V tomto článku se budeme podrobně věnovat většině argumentů a pochopíte sílu této verze Wireshark orientované na terminál.

Výběr síťového rozhraní:

Abychom mohli v tomto nástroji provádět živé zachycení a analýzu, musíme nejprve zjistit naše pracovní rozhraní. Typ tshark -D a tshark vypíše všechna dostupná rozhraní.

[chráněno e-mailem]: ~ $ tshark -D
1. enp0s3
2. žádný
3. lo (Loopback)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (vzdálené zachycení Cisco)
8. randpkt (generátor náhodných paketů)
9. sshdump (vzdálené zachycení SSH)
10. udpdump (vzdálené zachycení posluchače UDP)

Upozorňujeme, že ne všechna uvedená rozhraní budou fungovat. Typ ifconfig najít pracovní rozhraní ve vašem systému. V mém případě ano enp0s3.

Zachycení provozu:

K zahájení procesu živého zachycení použijeme žralok příkaz s „-i”Možnost zahájit proces snímání z pracovního rozhraní.

[chráněno e-mailem]: ~ $ tshark -i enp0s3

Použití Ctrl + C zastavit živé zachycení. Ve výše uvedeném příkazu jsem přenesl zachycený provoz na příkaz Linux hlava pro zobrazení prvních několika zachycených paketů. Nebo můžete také použít „-c „Syntaxe pro zachycení“n ” počet paketů.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -c 5

Pokud pouze zadáte žralok, ve výchozím nastavení nezačne zaznamenávat provoz na všech dostupných rozhraních ani nebude poslouchat vaše pracovní rozhraní. Místo toho zachytí pakety na prvním uvedeném rozhraní.

Následující příkaz můžete také použít ke kontrole více rozhraní:

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

Do té doby je dalším způsobem, jak provozovat živé zachycení, použít číslo vedle uvedených rozhraní.

[chráněno e-mailem]: ~ $ tshark -i číslo_ rozhraní

V přítomnosti více rozhraní je však těžké sledovat jejich uvedená čísla.

Zachytit filtr:

Filtry pro zachycení výrazně zmenší velikost zachyceného souboru. Tshark používá syntaxi Berkeley Packet Filter -F "”, Který také používá tcpdump. Možnost „-f“ použijeme pouze k zachycení paketů z portů 80 nebo 53 a použití „-c“ k zobrazení pouze prvních 10 paketů.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -f "port 80 nebo port 53" -c 10

Uložení zachyceného provozu do souboru:

Klíčovou věcí na výše uvedeném snímku obrazovky je, že zobrazené informace nejsou uloženy, a proto jsou méně užitečné. Používáme argument „-w„Uložit zachycený síťový provoz do test_capture.pcap v / tmp složku.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

Zatímco, .pcap je přípona typu souboru Wireshark. Uložením souboru můžete později zkontrolovat a analyzovat provoz ve stroji pomocí grafického uživatelského rozhraní Wireshark.

Je dobrým zvykem ukládat soubor do /tmp protože tato složka nevyžaduje žádná oprávnění ke spuštění. Pokud jej uložíte do jiné složky, i když používáte tshark s oprávněním root, program z bezpečnostních důvodů odepře povolení.

Pojďme se zabývat všemi možnými způsoby, kterými můžete:

aplikovat limity na pořizování dat, jako je opuštění žralok nebo automatické zastavení procesu snímání a
výstup vašich souborů.

Parametr automatického zastavení:

Můžete použít-A”Parametr pro začlenění dostupných příznaků, jako je velikost souboru trvání a soubory. V následujícím příkazu použijeme parametr autostop s doba trvání příznak zastavit proces do 120 sekund.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -a doba trvání: 120 -w / tmp / test_capture.pcap

Podobně, pokud nepotřebujete, aby vaše soubory byly mimořádně velké, velikost souboru je dokonalým příznakem k zastavení procesu po určitých limitech KB.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -a velikost souboru: 50 -w / tmp / test_capture.pcap

A co je nejdůležitější, soubory příznak umožňuje zastavit proces snímání po několika souborech. Ale to je možné pouze po vytvoření více souborů, což vyžaduje provedení dalšího užitečného parametru, výstup zachycení.

Zachycení výstupního parametru:

Zachyťte výstup, alias argument Ringbuffer „-b“, Přichází se stejnými příznaky jako autostop. Využití / výstup je však trochu jiný, tj.E., vlajky doba trvání a velikost souboru, protože umožňuje přepínat nebo ukládat pakety do jiného souboru po dosažení stanoveného časového limitu v sekundách nebo velikosti souboru.

Níže uvedený příkaz ukazuje, že zachycujeme provoz prostřednictvím našeho síťového rozhraní enp0s3, a zachytit provoz pomocí filtru pro zachycení “-F„Pro tcp a dns. Používáme možnost ringbuffer „-b“ s a velikost souboru příznak pro uložení každého souboru o velikosti 15 Kb, a také použijte argument autostop k určení počtu použitých souborů soubory možnost taková, že zastaví proces snímání po vygenerování tří souborů.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -f "port 53 nebo port 21" -b velikost souboru: 15 -a soubory: 2 -w / tmp / test_capture.pcap

Rozdělil jsem terminál na dvě obrazovky, abych aktivně sledoval vytvoření tří .soubory pcap.

Přejděte do svého / tmp složku a pomocí následujícího příkazu ve druhém terminálu sledujte aktualizace po každé sekundě.

[chráněno e-mailem]: ~ $ watch -n 1 "ls -lt"

Nyní si nemusíte všechny tyto příznaky pamatovat. Místo toho zadejte příkaz tshark -i enp0s3 -f „port 53 nebo port 21“ -b velikost souboru: 15 -a v terminálu a stiskněte Tab. Seznam všech dostupných příznaků bude k dispozici na vaší obrazovce.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -f "port 53 nebo port 21" -b velikost souboru: 15 -a
doba trvání: soubory: velikost souboru:
[chráněno e-mailem]: ~ $ tshark -i enp0s3 -f "port 53 nebo port 21" -b velikost souboru: 15 -a

Čtení .Soubory pcap:

A co je nejdůležitější, můžete použít „-r”Parametr pro čtení test_capture.soubory pcap a poslat je do hlava příkaz.

[chráněno e-mailem]: ~ $ tshark -r / tmp / test_capture.pcap | hlava

Informace zobrazené ve výstupním souboru mohou být trochu ohromující. Abychom se vyhnuli zbytečným podrobnostem a lépe porozuměli jakékoli konkrétní cílové IP adrese, používáme -r možnost číst soubor zachycený paketem a použít soubor ip.adresa filtr pro přesměrování výstupu do nového souboru s “-w“Možnost. To nám umožní zkontrolovat soubor a vylepšit naši analýzu použitím dalších filtrů.

[chráněno e-mailem]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / redirected_file.pcap ip.dst == 216.58.209.142
[chráněno e-mailem]: ~ $ tshark -r / tmp / redirected_file.pcap | hlava
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Údaje o aplikaci
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Údaje o aplikaci
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 údajů o aplikaci
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Údaje o aplikaci
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Údaje o aplikaci
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [TCP segment znovu sestaveného PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 dat aplikace
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Údaje o aplikaci
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Údaje o aplikaci
100.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Údaje o aplikaci

Výběr polí k výstupu:

Výše uvedené příkazy vydávají souhrn každého paketu, který obsahuje různá pole záhlaví. Tshark také umožňuje zobrazit zadaná pole. K určení pole používáme „-T pole„A extrahujte pole podle našeho výběru.

Po "-T pole”, Použijeme volbu“ -e ”k tisku určených polí / filtrů. Zde můžeme použít filtry displeje Wireshark.

[chráněno e-mailem]: ~ $ tshark -r / tmp / test_capture.pcap -T pole -e rámec.číslo -e ip.src -e ip.dst | hlava
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3216.58.209.142 10.0.2.15
4216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15115.186.188.3

Zachyťte šifrovaná data handshake:

Zatím jsme se naučili ukládat a číst výstupní soubory pomocí různých parametrů a filtrů. Nyní se naučíme, jak HTTPS inicializuje relační tshark. Webové stránky přístupné přes HTTPS namísto HTTP zajišťují bezpečný nebo šifrovaný přenos dat po drátu. Pro bezpečný přenos zahajuje šifrování Transport Layer Security proces handshake, který nastartuje komunikaci mezi klientem a serverem.

Pojďme zachytit a pochopit handshake TLS pomocí tshark. Rozdělte terminál na dvě obrazovky a použijte a wget příkaz k načtení html souboru z https: // www.Wireshark.org.

[chráněno e-mailem]: ~ $ wget https: // www.Wireshark.org
--2021-01-09 18:45:14 - https: // www.Wireshark.org /
Připojování k www.Wireshark.org (www.Wireshark.org) | 104.26.10.240 |: 443… připojeno.
Žádost HTTP odeslána, čeká na odpověď ... 206 Částečný obsah
Délka: 46892 (46 kB), zbývající 33272 (32 kB) [text / html]
Ukládání do: 'index.html '
index.html 100% [++++++++++++++++================================= ==>] 45.79 kB 154 kB / s za 0.2 s
2021-01-09 18:43:27 (154 KB / s) - 'index.html 'uložen [46892/46892]

Na jiné obrazovce použijeme tshark k zachycení prvních 11 paketů pomocí „-C" parametr. Při provádění analýzy jsou časová razítka důležitá pro rekonstrukci událostí, proto používáme „-t reklama”, Způsobem, který tshark přidává ke každému zachycenému paketu časové razítko. Nakonec použijeme příkaz hostitele k zachycení paketů ze sdíleného hostitele IP adresa.

Tento handshake je docela podobný handshake TCP. Jakmile se třícestné handshake TCP uzavře v prvních třech paketech, čtvrtý až devátý paket následuje poněkud podobný handshake rituál a obsahuje řetězce TLS, které zajišťují šifrovanou komunikaci mezi oběma stranami.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -c 11 -t hostitel reklamy 104.26.10.240
Pořizování na 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Potvrdit = 1 Výhra = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Klient Dobrý den
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Potvrdit = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Server Dobrý den, změňte šifrovací specifikace
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Údaje o aplikaci
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Změna šifrovací specifikace, data aplikace
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Potvrdit = 400 Win = 65535 Len = 0
11 zachycených paketů

Prohlížení celého paketu:

Jedinou nevýhodou nástroje příkazového řádku je, že nemá grafické uživatelské rozhraní, protože je velmi užitečné, když potřebujete prohledat velký internetový provoz, a také nabízí panel paketů, který zobrazuje všechny podrobnosti paketu v rámci okamžitý. Stále je však možné zkontrolovat paket a vypsat všechny informace o paketu zobrazené v panelu paketů grafického uživatelského rozhraní.

Abychom zkontrolovali celý paket, použijeme k zachycení jednoho paketu příkaz ping s volbou „-c“.

[chráněno e-mailem]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) bajtů dat.
64 bytů ze 104.26.10.240: icmp_seq = 1 ttl = 55 čas = 105 ms
--- 104.26.10.Statistiky 240 ping ---
1 přenesený paket, 1 přijatý, 0% ztráta paketů, čas 0ms
rtt min / avg / max / mdev = 105.095/105.095/105.095/0.000 ms

V jiném okně použijte příkaz tshark s dalším příznakem k zobrazení podrobností celého paketu. Můžete si všimnout různých sekcí, které zobrazují podrobnosti o rámcích, Ethernetu II, IPV a ICMP.

[chráněno e-mailem]: ~ $ tshark -i enp0s3 -c 1 -V hostitel 104.26.10.240
Rám 1: 98 bytů na vodiči (784 bitů), 98 bytů zachycených (784 bitů) na rozhraní 0
ID rozhraní: 0 (enp0s3)
Název rozhraní: enp0s3
Typ zapouzdření: Ethernet (1)
Čas příjezdu: 9. ledna 2021 21:23:39.167581606 PKT
[Časový posun pro tento paket: 0.000000000 sekund]
Epochální čas: 1610209419.167581606 sekund
[Časová delta z předchozího zachyceného snímku: 0.000000000 sekund]
[Časová delta z předchozího zobrazeného rámečku: 0.000000000 sekund]
[Čas od reference nebo prvního snímku: 0.000000000 sekund]
Číslo rámu: 1
Délka rámce: 98 bytů (784 bitů)
Délka záznamu: 98 bytů (784 bitů)
[Rámeček je označen: False]
[Rámec je ignorován: False]
[Protokoly v rámci: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Cíl: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresa: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Lokálně spravovaná adresa (toto NENÍ výchozí nastavení od výrobce)
… 0… = IG bit: individuální adresa (unicast)
Zdroj: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresa: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
ID rozhraní: 0 (enp0s3)
Název rozhraní: enp0s3
Typ zapouzdření: Ethernet (1)
Čas příjezdu: 9. ledna 2021 21:23:39.167581606 PKT
[Časový posun pro tento paket: 0.000000000 sekund]
Epochální čas: 1610209419.167581606 sekund
[Časová delta z předchozího zachyceného snímku: 0.000000000 sekund]
[Časová delta z předchozího zobrazeného rámečku: 0.000000000 sekund]
[Čas od reference nebo prvního snímku: 0.000000000 sekund]
Číslo rámu: 1
Délka rámce: 98 bytů (784 bitů)
Délka záznamu: 98 bytů (784 bitů)
[Rámeček je označen: False]
[Rámec je ignorován: False]
[Protokoly v rámci: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Cíl: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresa: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Lokálně spravovaná adresa (toto NENÍ výchozí nastavení od výrobce)
… 0… = IG bit: individuální adresa (unicast)
Zdroj: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresa: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bit: Globálně jedinečná adresa (tovární nastavení)
… 0… = IG bit: individuální adresa (unicast)
Typ: IPv4 (0x0800)
Internetový protokol verze 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Verze: 4
… 0101 = Délka záhlaví: 20 bajtů (5)
Pole Diferencované služby: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = Kódový bod pro diferencované služby: výchozí (0)
… 00 = Oznámení o výslovném přetížení: Není možný přenos ECN (0)
Celková délka: 84
Identifikace: 0xcc96 (52374)
Příznaky: 0x4000, nefragmentovat
0… = Vyhrazený bit: Nenastaveno
.1… = Nefragmentovat: Nastavit
… 0… = Více fragmentů: Není nastaveno
… 0 0000 0000 0000 = Posun fragmentu: 0
Čas života: 64
Protokol: ICMP (1)
Kontrolní součet záhlaví: 0xeef9 [ověření zakázáno]
[Stav kontrolního součtu záhlaví: Neověřeno]
Zdroj: 10.0.2.15
Cíl: 104.26.10.240
Internet Control Message Protocol
Typ: 8 (požadavek Echo (ping))
Kód: 0
Kontrolní součet: 0x0cb7 [správné]
[Stav kontrolního součtu: dobrý]
Identifikátor (BE): 5038 (0x13ae)
Identifikátor (LE): 44563 (0xae13)
Pořadové číslo (BE): 1 (0x0001)
Pořadové číslo (LE): 256 (0x0100)
Časové razítko z údajů ICMP: 9. ledna 2021 21:23:39.000000000 PKT
[Časové razítko z icmp dat (relativní): 0.167581606 sekund]
Data (48 bajtů)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Data: 918e020000000000101112131415161718191a1b1c1d1e1f…
[Délka: 48]

Závěr:

Nejnáročnějším aspektem analýzy paketů je nalezení nejrelevantnějších informací a ignorování zbytečných bitů. I když jsou grafická rozhraní snadná, nemohou přispět k automatizované analýze síťových paketů. V tomto článku jste se naučili nejužitečnější parametry tshark pro zachycení, zobrazení, ukládání a čtení souborů síťového provozu.

Tshark je velmi užitečný nástroj, který čte a zapisuje zachytávací soubory podporované Wiresharkem. Kombinace filtrů zobrazení a snímání hodně přispívá při práci na případech použití pokročilé úrovně. Můžeme využít schopnost tsharku tisknout pole a manipulovat s daty podle našich požadavků na hloubkovou analýzu. Jinými slovy, je schopen dělat prakticky vše, co dělá Wireshark. A co je nejdůležitější, je ideální pro vzdálené čichání paketů pomocí ssh, což je téma pro další den.