tshark 사용법

참조

참조

설치

sudo apt install tshark

디바이스 목록 보기

라즈베리파이4 에서 실행하면 아래와 같은 디바이스가 확인된다.

tshark -D

1. wlan0
2. any
3. lo (Loopback)
4. eth0
5. bluetooth0
6. bluetooth-monitor
7. nflog
8. nfqueue
9. dbus-system
10. dbus-session
11. ciscodump (Cisco remote capture)
12. dpauxmon (DisplayPort AUX channel monitor capture)
13. randpkt (Random packet generator)
14. sdjournal (systemd Journal Export)
15. sshdump (SSH remote capture)
16. udpdump (UDP Listener remote capture)

간단 사용법

디바이스 번호를 사용해도 되고 이름을 사용해도 된다.
-i 는 interface 를 의미한다.

# tshark -i 1
tshark -i wlan0

Capturing on 'wlan0'
 ** (tshark:28293) 10:50:56.852792 [Main MESSAGE] -- Capture started.
 ** (tshark:28293) 10:50:56.853346 [Main MESSAGE] -- File: "/tmp/wireshark_wlan0Z9DWR2.pcapng"
    1 0.000000000 192.168.0.103 → 192.168.0.XXX SSH 198 Server: Encrypted packet (len=144)
    2 0.000210091 192.168.0.103 → 192.168.0.XXX SSH 214 Server: Encrypted packet (len=160)

필터(검색조건 추가)

포트와 아이피를 검색조건에 추가할 수 있다.
검색조건은 &&, ||, ==, != 등을 사용할 수 있다.
또한 괄호를 사용할 수 있다.

필드명은 검색하려는 인터페이스마다 상이하므로 따로 검색을 해야 한다.

tshark -i wlan0 -Y 'tcp.port == 22 && ip.addr == 192.168.0.XXX'
# tshark -i wlan0 -Y '(tcp.port == 22 && ip.addr == 192.168.0.XXX)'

출력필드 지정

-T fields 옵션을 주어서 출력될 필드를 지정해 줄 수 있다.
탭(tab) 문자를 검색조건에 넣고싶으면 Ctrl-V 입력 후 탭키를 눌러주면 된다.

tshark -G fields | grep -E "      tcp\."
tshark -i wlan0 -Y 'tcp.port == 22' -T fields -e tcp.port -e ip.addr

기타 옵션

-t a 는 시간을 표시한다.
--color 는 색상을 부여한다.

tshark -i 1 -Y 'tcp.port == 80 && ip.addr == 192.168.1.10' -t a --color

필터(검색조건) 자세히

비교연산

같다	다르다	크다	크거나 같다	작다	작거나 같다
eq 또는 ==	ne 또는 !=	gt 또는 >	ge 또는 >=	lt 또는 <	le 또는 <=

논리연산

논리곱	논리합	배타적 논리합	논리부정
and 또는 &&	or 또는 ||	xor 또는 ^^	not 또는 !

기타 표현식

contains

http.host contains "google.com"

syn

tcp.flags.syn eq 0x02

get

http.request.method == GET

필터 가능한 필드 목록

그냥 검색하면 엄청나게 많은 필드가 뜬다.
grep 을 걸어서 사용하자.

# tshark -G fields
tshark -G fields | grep "http."
tshark -G fields | grep -E "http[2|3]?\."

탭(tab) 문자를 검색조건에 넣고싶으면 Ctrl-V 입력 후 탭키를 눌러주면 된다.

tshark -G fields | grep -E "      bth"