TShark được thiết kế như một CLI hoặc giao diện dòng lệnh của Wireshark để bắt và phân tích các gói tin ngay từ CLI. Hầu hết mọi người không biết đến TShark trái ngược với Wireshark thường được sử dụng. TShark đi kèm với Wireshark. Điều này đặc biệt hữu ích khi không có GUI. Tất cả các tùy chọn được sử dụng trong Wireshark cũng được hỗ trợ tại đây. Ví dụ: các gói tin đã bắt có thể được lưu trữ trong một tệp và sau đó được truy xuất để phân tích. Định dạng tệp bắt mặc định là pcapng giống như định dạng được Wireshark sử dụng. Lợi ích của việc sử dụng TShark là nó có thể được đưa vào các tập lệnh (có thể được sử dụng bên trong một tập lệnh python) và có thể được sử dụng trên các hệ thống từ xa thông qua SSH. Nhược điểm tất nhiên là nó không có GUI.
Giống như Wireshark, TShark có sẵn cho các hệ điều hành chính: Linux, Mac OS, Windows.
$ sudo apt install tshark
Đối với các bản phân phối khác, hãy sử dụng cách cài đặt mặc định để cài đặt TShark. Để kiểm tra phiên bản TShark trên hệ thống của bạn, hãy mở một thiết bị đầu cuối và nhập:
$ tshark -v
Nếu bạn quan sát kỹ, bạn sẽ thấy rằng đầu ra của TShark dễ đọc hơn so với tcpdump. TShark sử dụng thư viện pcap để bắt các gói tin. Theo mặc định, nó sẽ ghi tệp đầu ra theo định dạng pcapng. Nếu bạn muốn một số định dạng khác, hãy sử dụng tùy chọn '-F' để liệt kê và chọn từ các định dạng có sẵn.
$ tshark –D
$ tshark -i eth0
Theo cách này, TShark sẽ chụp mọi thứ đi qua nó. Nếu muốn, chúng ta có thể giới hạn giới hạn chụp ở một vài gói tin, chẳng hạn như 10 gói tin, bằng cách sử dụng tùy chọn ‘-c’ hoặc số lượng gói tin:
$ tshark -i eth0 -c 10
$ tshark -c 500 -w mycapture.pcap
Để đọc tệp trên, hãy sử dụng lệnh:
Đầu ra của lệnh trên sẽ được hiển thị trên thiết bị đầu cuối.
Chỉ định máy chủ đích
Chúng ta có thể thiết lập TShark để lọc lưu lượng truy cập đến và đi từ một máy chủ cụ thể, ví dụ: google.com. Để chứng minh điều này, chúng ta hãy gửi một yêu cầu ping đến ‘google.com’
$ ping google.com
Bây giờ chúng ta chạy lệnh TShark để nắm bắt lưu lượng truy cập trên:
$ tshark -i eth0 -c 10 host google.com
Lưu ý: Chúng ta cũng có thể sử dụng địa chỉ IP của máy chủ thay vì tên máy chủ.
Lệnh trên chứa tất cả các yêu cầu ping được gửi đến và đi từ máy chủ (google.com). Để lọc lưu lượng truy cập đến, hãy sử dụng lệnh:
$ tshark -i eth0 src host google.com
Tương tự như yêu cầu ping, chúng ta cũng có thể chạy quét Nmap và lưu kết quả vào tệp hoặc phân tích trực tiếp bằng TShark.
Giống như Wireshark, TShark có sẵn cho các hệ điều hành chính: Linux, Mac OS, Windows.
Chúng ta sẽ đề cập đến những gì ở đây?
Trong hướng dẫn này, chúng tôi sẽ giải thích cho bạn về TShark và giới thiệu cho bạn một số trường hợp sử dụng cơ bản. Hãy cùng tìm hiểu về TShark. Đối với hướng dẫn này, chúng tôi sẽ sử dụng Kali Linux được cung cấp sẵn với cả WireShark và TShark.Bạn sẽ cần những gì?
Trên thực tế, bạn cần phải hiểu sâu sắc về các khái niệm về mạng máy tính và các giao thức liên quan như TCP/IP, v.v. Ngoài ra, trong một số trường hợp, có thể cần có quyền quản trị.Cài đặt TShark
TShark được cài đặt sẵn trên Kali Linux. Để cài đặt trên hệ thống Ubuntu/Debian, hãy sử dụng lệnh:$ sudo apt install tshark
Đối với các bản phân phối khác, hãy sử dụng cách cài đặt mặc định để cài đặt TShark. Để kiểm tra phiên bản TShark trên hệ thống của bạn, hãy mở một thiết bị đầu cuối và nhập:
$ tshark -v
TShark so với Tcpdump
TShark có cùng khả năng như Wireshark. TShark hoạt động giống như tcpdump khi không sử dụng tùy chọn nào. Ngay cả TShark cũng có khả năng thay thế tcpdump. Chúng ta hãy so sánh hai công cụ này trong giây lát. Hãy xem ảnh chụp màn hình bên dưới, chúng tôi đã chạy cả hai công cụ mà không có bất kỳ tùy chọn nào:Nếu bạn quan sát kỹ, bạn sẽ thấy rằng đầu ra của TShark dễ đọc hơn so với tcpdump. TShark sử dụng thư viện pcap để bắt các gói tin. Theo mặc định, nó sẽ ghi tệp đầu ra theo định dạng pcapng. Nếu bạn muốn một số định dạng khác, hãy sử dụng tùy chọn '-F' để liệt kê và chọn từ các định dạng có sẵn.
Thực hành với TShark
Bây giờ chúng ta hãy chuyển sang xem một số trường hợp sử dụng TShark. Trước tiên, chúng ta bắt đầu bằng cách kiểm tra giao diện có sẵn để TShark ghi lại. Tùy thuộc vào phương pháp cài đặt của bạn, bạn có thể cần có quyền 'sudo'. Chạy lệnh bên dưới để lấy danh sách các giao diện có sẵn:$ tshark –D
Chọn Giao diện để Lắng nghe
Theo mặc định, TShark ghi lại trên giao diện đầu tiên mà nó nhìn thấy. Do đó, từ danh sách trên, TShark sẽ đặt mục tiêu của mình thành 'eth0'. Do đó, nếu chúng ta không chỉ định giao diện, nó sẽ tự động sử dụng giao diện ‘eth0’. Tuy nhiên, chúng ta muốn định nghĩa rõ ràng giao diện, chúng ta sẽ cần sử dụng tùy chọn ‘-i’:$ tshark -i eth0
Theo cách này, TShark sẽ chụp mọi thứ đi qua nó. Nếu muốn, chúng ta có thể giới hạn giới hạn chụp ở một vài gói tin, chẳng hạn như 10 gói tin, bằng cách sử dụng tùy chọn ‘-c’ hoặc số lượng gói tin:
$ tshark -i eth0 -c 10
Lưu trữ các tệp chụp
Một điều tốt mà TShark có là chúng ta có thể lưu các bản chụp vào một tệp để sử dụng sau. Trong lệnh trên, sử dụng tùy chọn ‘-w’ để lưu bản chụp vào một tệp, chẳng hạn như mycapture.pcap:$ tshark -c 500 -w mycapture.pcap
Để đọc tệp trên, hãy sử dụng lệnh:
Mã:
$ tshark -r mycapture.pcapChỉ định máy chủ đích
Chúng ta có thể thiết lập TShark để lọc lưu lượng truy cập đến và đi từ một máy chủ cụ thể, ví dụ: google.com. Để chứng minh điều này, chúng ta hãy gửi một yêu cầu ping đến ‘google.com’$ ping google.com
Bây giờ chúng ta chạy lệnh TShark để nắm bắt lưu lượng truy cập trên:
$ tshark -i eth0 -c 10 host google.com
Lưu ý: Chúng ta cũng có thể sử dụng địa chỉ IP của máy chủ thay vì tên máy chủ.
Lệnh trên chứa tất cả các yêu cầu ping được gửi đến và đi từ máy chủ (google.com). Để lọc lưu lượng truy cập đến, hãy sử dụng lệnh:
$ tshark -i eth0 src host google.com
Tương tự như yêu cầu ping, chúng ta cũng có thể chạy quét Nmap và lưu kết quả vào tệp hoặc phân tích trực tiếp bằng TShark.
