TShark - консольная версия программы Wireshark

В операционной системе Windows с помощью программы Wireshark не получается выполнить захват сетевых пакетов на нагруженном и слабом компьютере, т.к. программа зависает или сохраняет не все пакеты. Как выполнить захват сетевых пакетов на старом или слабом ПК?


В составе программы для захвата и анализа сетевых пакетов Wireshark существует консольная версия этой программы - утилита командной строки TShark и еще несколько полезных консольных утилит.
TShark - это консольная утилита из состава Wireshark, предназначенная для захвата и анализа сетевых пакетов. С помощью этой утилиты можно выполнять захват пакетов в сети, сохранять пакеты в файле, просматривать ранее сохраненные файлы с информацией о сетевых пакетах. Захват пакетов в утилите TShark выполняется в формате libpcap, который используется в tcpdump и в других утилитах для захвата и анализа сетевых пакетов.

Описание и подробный синтаксис утилиты TShark вы найдете на сайте http://www.wireshark.org/docs/man-pages/tshark.html.

Команды нужно выполнять в командной строке Windows. Для вызова командной строки выберите Пуск > Выполнить... , в открывшемся окне в поле Открыть наберите английскими буквами команду cmd и нажмите кнопку OK или клавишу Enter на клавиатуре. Появится командная строка, в которой выполните команду cd c:\Program Files\Wireshark для перехода в папку программы Wireshark.

Для получения информации о сетевых интерфейсах выполните команду tshark.exe –D. Данная информация необходима для того, чтобы запускать утилиту TShark на конкретном сетевом интерфейсе.

В нашем примере показан список, состоящий из трех сетевых интерфейсов. В начале каждой строки указан номер интерфейса, который должен использоваться с ключом -i. Например, для захвата сетевых пакетов с интерфейса 2 (ZyXEL GN650 1000Base-T Adapter) и сохранения их в файле c:\test.pcap нужно выполнить следующую команду:

tshark.exe -i 2 -w c:\test.pcap

-i [номер интерфейса]
-w [файл для сохранения пакетов]

Прервать захват сетевых пакетов можно комбинацией клавиш Crtl + C.

Примечание

Файл (в нашем примере test.pcap), содержащий информацию о сетевых пакетах, рекомендуется просматривать с использованием графической оболочки программы Wireshark. Откройте файл через меню File (Файл) > Open (Открыть).

Для получения справки по всем ключам программы выполните команду tshark.exe –h.

 


Приведем различные примеры захвата сетевых пакетов с помощью утилиты TShark:

1. Выполните команду tshark -i 3 icmp для захвата сетевых пакетов с сетевого интерфейса с номером 3, содержащего только ICMP-трафик (результат работы команды ping).

2. Выполните команду tshark -i 2 "port 53" для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего только TCP/UDP-трафик, использующий 53-й номер порта.

3. Выполните команду tshark -i 2 "tcp port 88" для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего только TCP-трафик, использующий 88-й номер порта.

4. Выполните команду tshark.exe -i 2 "tcp port 110 or tcp port 25" для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего только почтовый трафик, использующий 110 (POP3) и 25 (SMTP) номера портов.

5. Выполните команду tshark -i 3 "host omni.ru" для захвата сетевых пакетов с сетевого интерфейса с номером 3, содержащего трафик только при обращении к omni.ru.

6. Выполните команду tshark -i 3 "host 10.0.0.5" для захвата сетевых пакетов с сетевого интерфейса с номером 3, содержащего трафик только при обращении к IP-адресу 10.0.0.5.

7. Выполните команду tshark -i 3 "not host 172.12.10.3" для захвата сетевых пакетов с сетевого интерфейса с номером 3, содержащего весь сетевой трафик, исключая только трафик при обращении к IP-адресу 172.12.10.3.

8. Выполните команду tshark -i 2 "not broadcast and not multicast" для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего весь сетевой трафик, исключая только broadcast и multicast-пакеты.

9. Выполните команду tshark -i 2 "host 192.168.1.50 or broadcast" для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего только трафик при обращении к IP-адресу 192.168.1.50 или broadcast-пакеты.

10. Выполните команду tshark -i 2 "host 192.168.1.3" -w c:\test.pcap для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего трафик только при обращении к IP-адресу 192.168.1.3 и с сохранением информации о пакетах в файл c:\test.pcap.

11. Выполните команду tshark -i 2 "host 192.168.1.3" -w c:\test.pcap -S для захвата сетевых пакетов с сетевого интерфейса с номером 2, содержащего трафик только при обращении к IP-адресу 192.168.1.3, а также одновременной записи информации о пакетах в файл c:\test.pcap и отображении этих данных в консоль (на экран).

12. Выполните команду tshark -r c:\test.pcap для просмотра на экране ранее записанного файла c:\test.pcap, содержащего информацию о сетевых пакетах.

13. Выполните команду tshark -r c:\test.pcap -V > c:\test.txt - для чтения ранее записанного файла c:\test.pcap, содержащего информацию о сетевых пакетах, но с выдачей результатов в файл c:\test.txt.

14. Выполните команду tshark -r c:\test.pcap -V | more для просмотра на экране ранее записанного файла c:\test.pcap, содержащего информацию о сетевых пакетах, но с выдачей подробной информации и в постраничном режиме.

Примечание

Файл (в нашем примере test.pcap), содержащий информацию о сетевых пакетах, рекомендуется просматривать с использованием графической оболочки программы Wireshark. Откройте файл через меню File (Файл) > Open (Открыть).

Также существует возможность добавления фильтров для захвата только нужных сетевых пакетов, используя ключ -f.

Например, для захвата сетевых пакетов с сетевого интерфейса с номером 2, c установленным фильтром, который будет выполнять захват только SIP/TCP-пакетов, выполните команду:

tshark -i 2 -f "tcp" -R "sip"

Описание дополнительных команд (актуально при использовании фильтров) вы можете найти на сайте http://www.tcpdump.org/.

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 0 из 0
Еще есть вопросы? Отправить запрос

Комментарии

0 комментариев

Войдите в службу, чтобы оставить комментарий.