tshark

tsharkを使用してタイムシフト機能を実装するには?
tshark

tsharkを使用してタイムシフト機能を実装するには?

tsharkを使用してキャプチャされたパケットを印刷したいです。しかし、tsharkの「time Shift」機能を使いたい(wireshark GUIで簡単に利用可能)。 --help メニューに関連情報が見つかりません。可能なすべてのガイドラインを歓迎します。よろしくお願いします。 ...

Admin

Wiresharkとtsharkのローディング速度の違い
tshark

Wiresharkとtsharkのローディング速度の違い

メタデータを抽出したいいくつかのPCAPファイルがあります。私はtsharkを使ってこれを行い、ファイルを開き、何十ものフィールドを抽出し、テーブルをディスクに書き込みます。このプロセスは非常に時間がかかり、単一のPCAPファイルの場合は最大30分かかることがあることを確認しました。デフォルト設定()を使用してデータに対して逆方向DNSを実行しており、-N dmNWiresharkにも同じ逆方向DNS設定があります。私が知る限り、リバースDNSはtshark / Wiresharkで実行されている他のプロセスと比較してかなり時間がかかるプロセスです。ただし、...

Admin

pcapファイルのTCPセッションを新しいpcapファイルに混在させる
tshark

pcapファイルのTCPセッションを新しいpcapファイルに混在させる

pcapファイルから新しいファイルへのTCPセッションを混在させる必要があります。どうすればいいですか?次のスクリプトは私には機能しません。 Tshark または Wireshark 混合ファイルのセッションを使用するには、pcap次の手順に従います。 元のpcapファイルの名前を別の名前に変更する(オプション):この手順は必須ではありませんが、元のpcapファイルを追跡するのに役立ちます。次のコマンドを使用してファイル名を変更できます。 mv original.pcap original_original.pcap Tsharkを使用して、元のpc...

Admin

tshark / wireshark tcpセッション - ldap.attributesで一意の値を持つフィルタを見つける
tshark

tshark / wireshark tcpセッション - ldap.attributesで一意の値を持つフィルタを見つける

tshark / wireshark tcpセッション - ldap.attributesで一意の値を持つフィルターを見つける必要があります。 たとえば、写真では 赤 - フィルタの値 - ldap.attributes。ダンプの一部のフィルタは同じにすることができます。価値のような適切な名前。 tshark / wireshark tcpセッションのフィルタで一意の値を持つldap.attributesを見つけて、そのセッションを新しいpcapファイルにエクスポートする必要があります。 BashまたはPythonを使用してこれをどのように実行できますか?...

Admin

2台のPCにpingを送信し、3台目のPCでICMPキャプチャを試みます。
tshark

2台のPCにpingを送信し、3台目のPCでICMPキャプチャを試みます。

3台のコンピュータがセットアップされ、すべてが同じサブネットにあり、スイッチに接続されています。すべてのサービスが利用可能です。 PC(1)からPC(2)にpingを送信します。 PC(3)でtsharkを開いたが、PC(3)用ではない(またはソースを含む)パッケージを見ることはできません。 Wireshark、tcpdump、tsharkなどのさまざまなパケットキャプチャソフトウェアは、無差別モードでもパケットキャプチャホストに送信されないトラフィックを表示できません。 ...

Admin

Dockerオーバーレイネットワーク上のデータパケットの外部IP TOSの修正
tshark

Dockerオーバーレイネットワーク上のデータパケットの外部IP TOSの修正

TOS 0x08を使用してカスタムオーバーレイネットワークのコンテナからパケットを送信しましたdocker create network --driver=overlay。ただし、Dockerオーバーレイは、外部UDP、IP、およびイーサネットと共にVXLANヘッダーを使用してこのL2パケットをラップします。したがって、外部IPパケットのTOSは内部IPパケットのTOSと一致しなくなるため、物理NICに移動すると、そのパケットは元のフロー制御規則に従って処理できなくなります(制御トラフィックは別のIPパケットに移動します)。待ち行列)。例えば。 tshark...

Admin

pcapファイルで、16進値を同じ長さの任意の16進値に置き換えます。
tshark

pcapファイルで、16進値を同じ長さの任意の16進値に置き換えます。

pcapファイルでは、16進値を同じ長さの任意の16進値に置き換える必要があります。 私はbashでDebian 10を使用しています。 たとえば、一部のパケットにはこのtcpペイロードを含むpcapファイルがあります。 deltapcapファイル値のすべてのパケットを任意の値ですが、長さは同じ値に置き換えたいと思います。 だからこのコマンドを試してみました。 sed -Ei 's/\x64\x65\x6c\x74\x61/'$(openssl rand -hex 5)'/g' test.pcap ただし、このコマンドを実行するとpcapファイルが削除...

Admin

Linuxでのワイヤレスキャプチャ/フィルタのデコード
tshark

Linuxでのワイヤレスキャプチャ/フィルタのデコード

リモートAPからキャプチャしたキャプチャファイルをフィルタリングしようとしています。ファイルをラップトップにインポートしたら、Wiresharkでファイルを開き、peekremoteにデコードし、ディスプレイフィルタEAPOLを作成して目的のパケットを取得できます。 しかし、キャプチャサーバーには約100 Gbsのデータがありますが、Tsharkまたは他のツールを使用してLinuxサーバーで直接これを実行できるかどうか疑問に思います。 これと似ていますが、これはファイルをコピーするだけですので、ファイルをEAPトラフィックとして出力したいと思います。私がts...

Admin

PCAPを処理するためにtsharkをsuとして使用すると、GeoIPは機能しません。
tshark

PCAPを処理するためにtsharkをsuとして使用すると、GeoIPは機能しません。

私は多数のPCAPファイルを扱っており、テーブル形式の分析のためにそのファイルを.tsvファイルに変換しようとしています。そのため、Ubuntu 22 VirtualBoxシステムでtsharkを使用して各パケットをプロファイルしました。for各PCAPファイルを処理するためにループで使用されるbashコマンドがあります。 tshark -r "${pcapFile}" -2 \ -T fields \ -E separator=/t \ -E header=y \ -E quote=d \ ...

Admin

システムクロックが systemd-timesyncd を使用して NTP サーバーと同期していません。
tshark

システムクロックが systemd-timesyncd を使用して NTP サーバーと同期していません。

フォローするこの回答はここにありますしかし、私のシステムクロックはNTPサーバーと同期していないようです。 $ cat /etc/debian_version 10.9 $ egrep -v "^$|^#" /etc/systemd/timesyncd.conf [Time] NTP=x.y.z.t1 FallbackNTP=x.y.z.t2 $ sudo timedatectl set-ntp true $ sudo systemctl restart systemd-timesyncd $ systemctl status systemd-timesyn...

Admin

tsharkを使用してネットワークネームスペースとのDNSトラフィックをキャプチャする
tshark

tsharkを使用してネットワークネームスペースとのDNSトラフィックをキャプチャする

ネットワークネームスペース内のネットワークインターフェイスからトラフィックを具体的にキャプチャする方法はtshark?私の場合、ネットワークインターフェースはtun0という名前の名前空間に移動されましたvpn。 通常、これを実行すると、tshark -f "port 53"ネットワーク名前空間が最終的に使用するプライマリインターフェイスのDNSクエリが含まれているため、出力が複雑になります。 私のネットワークネームスペースの設定は次のとおりです(価値あるものはここのopenvpn netns-upスクリプトです)。http://www.naju.se/art...

Admin

-Y と {src,dst} ポートと tshark を読み込む
tshark

-Y と {src,dst} ポートと tshark を読み込む

tsharkインターフェイスまたはpcapファイルからデータをインポートします。インターフェースからデータを読み取るときは、ユーザーは-f(ベースpcap-filter(7))を使用してフィルターを作成し、ファイルから読み取るときは-Y(ベース)を使用してwireshark-filter(4)フィルターを作成する必要があります。 私のシナリオ: pcapファイルを読む必要があるため、wireshark-filter構文を使用する必要があります。 送信元アドレス、宛先アドレス、送信元ポート、宛先ポートがあります。ただし、セッションの種類(TCPまたはUDP)が...

Admin

ワイヤレスアクセスポイントからノード間のトラフィックをキャプチャできません。
tshark

ワイヤレスアクセスポイントからノード間のトラフィックをキャプチャできません。

Ubuntuでワイヤレスアクセスポイントを作成し、tsharkを介して取得したネットワークトラフィックを解析し、それを読みやすい形式に圧縮するプログラムを作成しました。インターネットに入って来るトラフィックをキャプチャできました。これで、ネットワークに3つのノードがあります。 ノードA: tsharkを実行するワイヤレスアクセスポイント ノードB:コンピュータ1台 ノードC: コンピュータ 2 ネットワーク上でTCPトラフィックを生成するために、ノードAでnmapを使用してノードBをスキャンしますが、トラフィックをキャプチャすることはできません。これを行う方...

Admin

TShark pcapフィルタコマンドを単純化できますか?
tshark

TShark pcapフィルタコマンドを単純化できますか?

オブジェクト:特定のヘッダー文字列を含むpcapファイルでHTTPサーバーのIPアドレスを見つけます。-lフラッシュオプションは有効または使用する必要がありますか? 1つのアプローチ:次のようにしましたが、短縮できるかどうか疑問に思います。質問が広すぎる場合はアドバイスしてください。 tshark-r文書.pcap -T フィールド -e ip.src -e http.server >名前。 TXT && 猫名前.txt | uniq-c | grep "xxx_xxx" ...

Admin