1. tshark 메뉴얼
안녕하세요. 언제나 휴일, 언휴예요.
네트워크 및 네트워크 보안에서 네트워크 프로토콜 이해 및 네트워크 트래픽 분석은 매우 기본적인 지식입니다.
pcap 라이브러리를 이용한 다양한 유틸리티 중에 네트워크 트래픽 수집과 분석에 사용하는 많은 도구들 중에 tshark와 wireshark는 인지도가 높고 충성심이 높은 유틸리티 중에 하나죠.
언제나 휴일 티스토리에서는 네트워크 프로토콜과 보안 및 소켓 통신에 관한 글들을 게시할 계획입니다.
wireshark처럼 네트워크 트래픽을 수집하고 분석하는 도구는 강력한 기능과 사용자 편의성을 강화하였지만 그래픽 처리 등에 들어가는 비용이 있어 특정 목적에 맞게 수집을 하고 분석하는 데 효율이 떨어질 수도 있습니다. 반면 tshark는 콘솔 모드에서 다양한 옵션으로 네트워크 트래픽을 수집할 수 있으며 그래픽 처리 등의 시각화 비용을 줄일 수 있기 때문에 목적에 따라서 효율이 높을 수도 있습니다.
각자의 목적에 따라 적당한 도구를 사용하는 문제이지 어느 것이 더 좋다고 말하기는 힘들다는 것이죠.
언제나 휴일에서는 두 가지 도구의 사용을 모두 다르고 다양한 언어와 환경에서 비슷한 유형의 유틸을 흉내내는 프로그래밍도 하나씩 다룰 거예요.
이번 게시글은 tshark 메뉴얼입니다.
앞으로의 게시글에서 하나 하나 사용 방법을 익혀 보기로 합시다.
참고로 와이어샤크는 www.wireshark.org 에서 무료로 다운로드 받을 수 있으면 설치 과정에서 tshark는 물론 winpcap 도 함께 설치합니다.
다음은 tshark 메뉴얼입니다.
TShark (Wireshark) 2.0.1 (v2.0.1-0-g59ea380 from master-2.0)
Dump and analyze network traffic.
See https://www.wireshark.org for more information.
Usage: tshark [options] ...
Capture interface:
-i <interface> name or idx of interface (def: first non-loopback)
-f <capture filter> packet filter in libpcap filter syntax
-s <snaplen> packet snapshot length (def: 65535)
-p don't capture in promiscuous mode
-B <buffer size> size of kernel buffer (def: 2MB)
-y <link type> link layer type (def: first appropriate)
-D print list of interfaces and exit
-L print list of link-layer types of iface and exit
Capture stop conditions:
-c <packet count> stop after n packets (def: infinite)
-a <autostop cond.> ... duration:NUM - stop after NUM seconds
filesize:NUM - stop this file after NUM KB
files:NUM - stop after NUM files
Capture output:
-b <ringbuffer opt.> ... duration:NUM - switch to next file after NUM secs
filesize:NUM - switch to next file after NUM KB
files:NUM - ringbuffer: replace after NUM files
RPCAP options:
-A <user>:<password> use RPCAP password authentication
Input file:
-r <infile> set the filename to read from (- to read from stdin)
Processing:
-2 perform a two-pass analysis
-R <read filter> packet Read filter in Wireshark display filter syntax
-Y <display filter> packet displaY filter in Wireshark display filter
syntax
-n disable all name resolutions (def: all enabled)
-N <name resolve flags> enable specific name resolution(s): "mnNtCd"
-d <layer_type>==<selector>,<decode_as_protocol> ...
"Decode As", see the man page for details
Example: tcp.port==8888,http
-H <hosts file> read a list of entries from a hosts file, which will
then be written to a capture file. (Implies -W n)
--disable-protocol <proto_name>
disable dissection of proto_name
--enable-heuristic <short_name>
enable dissection of heuristic protocol
--disable-heuristic <short_name>
disable dissection of heuristic protocol
Output:
-w <outfile|-> write packets to a pcap-format file named "outfile"
(or to the standard output for "-")
-C <config profile> start with specified configuration profile
-F <output file type> set the output file type, default is pcapng
an empty "-F" option will list the file types
-V add output of packet tree (Packet Details)
-O <protocols> Only show packet details of these protocols, comma
separated
-P print packet summary even when writing to a file
-S <separator> the line separator to print between packets
-x add output of hex and ASCII dump (Packet Bytes)
-T pdml|ps|psml|text|fields
format of text output (def: text)
-e <field> field to print if -Tfields selected (e.g. tcp.port,
_ws.col.Info)
this option can be repeated to print multiple fields
-E<fieldsoption>=<value> set options for output when -Tfields selected:
header=y|n switch headers on and off
separator=/t|/s|<char> select tab, space, printable character as separator
occurrence=f|l|a print first, last or all occurrences of each field
aggregator=,|/s|<char> select comma, space, printable character as
aggregator
quote=d|s|n select double, single, no quotes for values
-t a|ad|d|dd|e|r|u|ud output format of time stamps (def: r: rel. to first)
-u s|hms output format of seconds (def: s: seconds)
-l flush standard output after each packet
-q be more quiet on stdout (e.g. when using statistics)
-Q only log true errors to stderr (quieter than -q)
-g enable group read access on the output file(s)
-W n Save extra information in the file, if supported.
n = write network address resolution information
-X <key>:<value> eXtension options, see the man page for details
-z <statistics> various statistics, see the man page for details
--capture-comment <comment>
add a capture comment to the newly created
output file (only for pcapng)
Miscellaneous:
-h display this help and exit
-v display version info and exit
-o <name>:<value> ... override preference setting
-K <keytab> keytab file to use for kerberos decryption
-G [report] dump one of several available reports and exit
default report="fields"
use "-G ?" for more help
tshark 메뉴얼은 "tshark -h" 명령(-h는 도움말 옵션)으로 확인할 수 있어요. 참고로 tshark.exe는 wireshark 설치 폴더에 있습니다.
'네트워크 및 보안 > tshark 사용법' 카테고리의 다른 글
| [네트워크 트래픽 수집 도구 tshark 사용법] 2. 네트워크 트래픽 캡쳐할 네트워크 장치 목록 확인 후에 선택하기 (0) | 2016.05.20 |
|---|