02 Ago 2019

tshark 예제

-G 옵션을 사용하면 Tshark가 여러 유형의 용어집 중 하나를 덤프한 다음 종료됩니다. 특정 용어집 유형을 지정하지 않으면 필드 보고서가 기본적으로 생성됩니다. 도움말의 보고서 유형을 사용하면 모든 현재 보고서 유형이 나열됩니다. Tshark의 향후 버전은 필요에 따라 캡처 형식을 pcapng로 자동으로 변경할 수 있습니다. -G 옵션은 Tshark가 여러 유형의 내부 용어집 중 하나를 덤프한 다음 종료하도록 하는 특수 모드입니다. 디스플레이 필터를 검사하기 전에 Tshark가 지원하는 두 가지 유형의 필터를 이해하는 것이 중요합니다. 첫째, Tshark는 Tcpdump에 공통적인 BPF(버클리 패킷 필터) 구문을 사용하는 캡처 필터를 제공합니다. 둘째, Tshark는 고유한 디스플레이 필터를 제공합니다. 두 필터 유형 모두 기본 또는 영어 바로 가기를 지원하므로 필터를 쉽게 작성할 수 있습니다. 그러나 Tshark 디스플레이 필터는 훨씬 풍부합니다. -V를 사용하여 Tshark를 자세히 만들고 프레임 번호, 프로토콜 필드, 패킷 데이터 또는 플래그에 이르기까지 패킷에 대한 세부 정보를 표시합니다. Tshark 2.4의 최신 버전에는 여러 가지 유용한 새로운 기능이 포함되어 있습니다. 우분투 16.04 또는 17.04에 최신 버전을 설치하려면 다음 명령을 사용하여 패키지 리포지토리를 추가합니다.

이것은 Tshark를 사용하여 네트워크에서 패킷을 스니핑하고, 문제가 발생할 때 위치를 파악하고, 네트워크 서비스를 디버깅하고, 보안을 검사하고, 일반적인 상태를 분석하는 데 도움이 되는 방법입니다. -T 옵션을 사용하여 다양한 형식으로 데이터를 출력할 수 있으며 분석에 특정 형식이 필요할 때 매우 편리할 수 있습니다. Tshark를 사용하여 일부 데이터베이스를 채우는 경우 -r 옵션을 사용하여 읽을 캡처 파일을 지정할 때 TShark는 다시 tcpdump처럼 작동하고 파일에서 패킷을 읽고 각 패킷 에 대한 표준 출력에 요약 줄을 표시합니다. 광고. TShark는 Wireshark에서 지원하는 동일한 캡처 파일을 감지, 읽고 쓸 수 있습니다. 입력 파일에는 특정 파일 이름 확장명이 필요하지 않습니다. 파일 형식과 선택적 gzip 압축이 자동으로 감지됩니다. wireshark (1) 또는 https://www.wireshark.org/docs/man-pages/wireshark.html 설명 섹션의 시작 부분에 는 Wireshark가 이를 처리하는 방법에 대한 자세한 설명입니다.

TCP덤프보다 Tshark를 사용하는 것이 더 편리합니다. 오픈 스택 하이퍼 바이저와 적운 리눅스 스위치를 문제 해결할 때 가지고 있는 훌륭한 도구. 비교를 위해 다음은 Tcpdump에 적용된 필터와 동일합니다. Tcpdump를 사용할 때 는 snaplen을 명시적으로 지정해야 합니다. 기본적으로 Tshark는 전체 스냅렌을 캡처합니다. Tshark는 게이트웨이와 같은 장치에서 원격 패킷 캡처에 적합하므로 로컬 호스트에서와 마찬가지로 ssh에 로그인하고 사용하기만 하면됩니다. 광범위한 맨 페이지와 wireshark.org 문서 아카이브에서 정보를 반복하는 대신, tshark를 사용하기 시작하고 와이어에서 귀중한 정보를 조각하기 시작하는 실용적인 예제를 제공합니다.