Wireshark命令列工具tshark使用小記 【轉】
阿新 • • 發佈:2019-01-25
1、目的
寫這篇部落格的目的主要是為了方便查閱,使用wireshark可以分析資料包,可以通過編輯過濾表示式來達到對資料的分析;但我的需求是,怎麼樣把Data部分匯出來,因為後續的工作主要針對資料包的Data部分,主要是對本地儲存的.pcap檔案進行解析。這時候就會使用到tshark命令列工具,可以通過命令提取自己想要的資料,可以重定向到檔案,也可以結合上層語言比如Java,來呼叫命令列,實現對資料的處理!
下面我會從 相關例項、選項介紹、部分例項執行結果 進行概括!
2、首先我們先來看一下網上的一些例子,我對這些例子進行了整理,並給出了說明。
//列印http協議流相關資訊 tshark-s 512 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l | tr -d '\t' 註釋: -s: 只抓取前512位元組; -i: 捕獲eth0網絡卡; -n: 禁止網路物件名稱解析; -f: 只捕獲協議為tcp,目的埠為80; -R: 過濾出http.host和http.request.uri; -T,-e: 指的是列印這兩個欄位; -I: 輸出到命令列介面; //實時列印當前mysql查詢語句 tshark-s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query 註釋: -R: 過濾出mysql的查詢語句; //匯出smpp協議header和value的例子 tshark -r test.cap -R '(smpp.command_id==0x80000004) and (smpp.command_status==0x0)' -e smpp.message_id -e frame.time -T fields -E header=y >test.txt 註釋: -r: 讀取本地檔案,可以先抓包存下來之後再進行分析; -R: smpp...可以在wireshark的過濾表示式裡面找到,後面會詳細介紹; -E: 當-T欄位指定時,設定輸出選項,header=y意思是頭部要列印; -e: 當-T欄位指定時,設定輸出哪些欄位; >: 重定向; //統計http狀態tshark -n -q -z http,stat, -z http,tree 註釋: -q: 只在結束捕獲時輸出資料,針對於統計類的命令非常有用; -z: 各類統計選項,具體的參考文件,後面會介紹,可以使用tshark -z help命令來檢視所有支援的欄位; http,stat: 計算HTTP統計資訊,顯示的值是HTTP狀態程式碼和HTTP請求方法。 http,tree: 計算HTTP包分佈。 顯示的值是HTTP請求模式和HTTP狀態程式碼。 //抓取500個包提取訪問的網址打印出來 tshark -s 0 -i eth0 -n -f 'tcp dst port 80' -R 'http.host and http.request.uri' -T fields -e http.host -e http.request.uri -l -c 500 註釋: -f: 抓包前過濾; -R: 抓包後過濾; -l: 在列印結果之前清空快取; -c: 在抓500個包之後結束; //顯示ssl data資料 tshark -n -t a -R ssl -T fields -e "ip.src" -e "ssl.app_data" //讀取指定報文,按照ssl過濾顯示內容 tshark -r temp.cap -R "ssl" -V -T text 註釋: -T text: 格式化輸出,預設就是text; -V: 增加包的輸出;//-q 過濾tcp流13,獲取data內容 tshark -r temp.cap -z "follow,tcp,ascii,13" //按照指定格式顯示-e tshark -r temp.cap -R ssl -Tfields -e "ip.src" -e tcp.srcport -e ip.dst -e tcp.dstport //輸出資料 tshark -r vmx.cap -q -n -t ad -z follow,tcp,ascii,10.1.8.130:56087,10.195.4.41:446 | more 註釋: -t ad: 輸出格式化時間戳; //過濾包的時間和rtp.seq tshark -i eth0 -f "udp port 5004" -T fields -e frame.time_epoch -e rtp.seq -o rtp.heuristic_rtp:true 1>test.txt 註釋: -o: 覆蓋屬性檔案設定的一些值; //提取各協議資料部分 tshark -r H:/httpsession.pcap -q -n -t ad -z follow,tcp,ascii,71.6.167.142:27017,101.201.42.120:59381 | more
上面的例子已經涵蓋了大部分的選項,下面我針對每一個選項進行簡要解釋,並給出這個選項常用的值;
3、選項介紹
捕獲介面: -i: -i <interface> 指定捕獲介面,預設是第一個非本地迴圈介面; -f: -f <capture filter> 設定抓包過濾表示式,遵循libpcap過濾語法,這個實在抓包的過程中過濾,如果是分析本地檔案則用不到。 -s: -s <snaplen> 設定快照長度,用來讀取完整的資料包,因為網路中傳輸有65535的限制,值0代表快照長度65535,預設也是這個值; -p: 以非混合模式工作,即只關心和本機有關的流量。 -B: -B <buffer size> 設定緩衝區的大小,只對windows生效,預設是2M; -y: -y<link type> 設定抓包的資料鏈路層協議,不設定則預設為-L找到的第一個協議,區域網一般是EN10MB等; -D: 列印介面的列表並退出; -L 列出本機支援的資料鏈路層協議,供-y引數使用。 捕獲停止選項: -c: -c <packet count> 捕獲n個包之後結束,預設捕獲無限個; -a: -a <autostop cond.> ... duration:NUM,在num秒之後停止捕獲; filesize:NUM,在numKB之後停止捕獲; files:NUM,在捕獲num個檔案之後停止捕獲; 捕獲輸出選項: -b <ringbuffer opt.> ... ring buffer的檔名由-w引數決定,-b引數採用test:value的形式書寫; duration:NUM - 在NUM秒之後切換到下一個檔案; filesize:NUM - 在NUM KB之後切換到下一個檔案; files:NUM - 形成環形緩衝,在NUM檔案達到之後; RPCAP選項: remote packet capture protocol,遠端抓包協議進行抓包; -A: -A <user>:<password>,使用RPCAP密碼進行認證; 輸入檔案: -r: -r <infile> 設定讀取本地檔案 處理選項: -2: 執行兩次分析 -R: -R <read filter>,包的讀取過濾器,可以在wireshark的filter語法上檢視;在wireshark的檢視->過濾器檢視,在這一欄點選表示式,就會列出來對所有協議的支援。 -Y: -Y <display filter>,使用讀取過濾器的語法,在單次分析中可以代替-R選項; -n: 禁止所有地址名字解析(預設為允許所有) -N: 啟用某一層的地址名字解析。“m”代表MAC層,“n”代表網路層,“t”代表傳輸層,“C”代表當前非同步DNS查詢。如果-n和-N引數同時存在,-n將被忽略。如果-n和-N引數都不寫,則預設開啟所有地址名字解析。 -d: 將指定的資料按有關協議解包輸出,如要將tcp 8888埠的流量按http解包,應該寫為“-d tcp.port==8888,http”;tshark -d. 可以列出所有支援的有效選擇器。 輸出選項: -w: -w <outfile|-> 設定raw資料的輸出檔案。這個引數不設定,tshark將會把解碼結果輸出到stdout,“-w -”表示把raw輸出到stdout。如果要把解碼結果輸出到檔案,使用重定向“>”而不要-w引數。 -F: -F <output file type>,設定輸出的檔案格式,預設是.pcapng,使用tshark -F可列出所有支援的輸出檔案型別。 -V: 增加細節輸出; -O: -O <protocols>,只顯示此選項指定的協議的詳細資訊。 -P: 即使將解碼結果寫入檔案中,也列印包的概要資訊; -S: -S <separator> 行分割符 -x: 設定在解碼輸出結果中,每個packet後面以HEX dump的方式顯示具體資料。 -T: -T pdml|ps|text|fields|psml,設定解碼結果輸出的格式,包括text,ps,psml和pdml,預設為text -e: 如果-T fields選項指定,-e用來指定輸出哪些欄位; -E: -E <fieldsoption>=<value>如果-T fields選項指定,使用-E來設定一些屬性,比如 header=y|n separator=/t|/s|<char> occurrence=f|l|a aggregator=,|/s|<char> -t: -t a|ad|d|dd|e|r|u|ud 設定解碼結果的時間格式。“ad”表示帶日期的絕對時間,“a”表示不帶日期的絕對時間,“r”表示從第一個包到現在的相對時間,“d”表示兩個相鄰包之間的增量時間(delta)。 -u: s|hms 格式化輸出秒; -l: 在輸出每個包之後flush標準輸出 -q: 結合-z選項進行使用,來進行統計分析; -X: <key>:<value> 擴充套件項,lua_script、read_format,具體參見 man pages; -z:統計選項,具體的參考文件;tshark -z help,可以列出,-z選項支援的統計方式。 其他選項: -h: 顯示命令列幫助; -v: 顯示tshark 的版本資訊;
4、部分命令測試
在第三節我簡要介紹了tshark相關的命令,在這一節我們主要測試幾個選項的輸出結果,來對命令加深理解。對於第三節的命令選項,比較重要的已經用藍色標出,方便查閱。
使用tshark對資料包進行分析,主要是對過濾器的學習,根據自己的需求寫出響應的過濾器,來得到相應的資料。
針對於我的需求,先抓包在分析,還想將命令列整合進java語言中,然後進行面向物件的分析,那麼就需要一些特別的命令來獲取一些資料:
//1. 示例1,分析報文封裝的協議
C:\Users\sdut>tshark -r H:\httpsession.pcap -T fields -e frame.number -e frame.protocols -E header=y
--輸出
frame.number frame.protocols
1 eth:ethertype:ip:tcp
2 eth:ethertype:ip:tcp
3 eth:ethertype:ip:tcp
4 eth:ethertype:ip:tcp:http
5 eth:ethertype:ip:tcp
6 eth:ethertype:ip:tcp:http:data-text-lines
7 eth:ethertype:ip:tcp
8 eth:ethertype:ip:tcp
9 eth:ethertype:ip:tcp
-e frame.number:顯示幀序號
-e frame.time: 顯示時間,時間格式為 Sep 21, 2016 17:20:02.233249000 中國標準時間
-e frame.protocols: 顯示此資料包使用的協議
-e ip.src: 顯示源ip,但是不能跟frame一起用
-e ip.dst: 顯示目的ip地址;
-e tcp.port: 顯示埠號。
......還有很多,針對需求,一方面可以自己通過wireshark軟體顯示的頭部欄位來猜測,另一方面可以查閱文件,https://www.wireshark.org/docs/dfref/,這裡面列出了所有支援的-e欄位寫法,可以在裡面搜尋ip、frame上面我們使用的這幾個就會搜到。
//2.示例2
C:\Users\sdut>tshark -2 -r H:\httpsession.pcap -R "http.request.line || http.file_data || http.response.line" -T fields -e http.request.line -e http.file_data -e http.response.line -E header=y
輸出:該例子輸出http協議的請求頭,響應頭,和響應資料;
http.request.line http.file_data http.response.line
...... ...... ......
具體的這個-R過濾寫法,可以檢視文件,根據自己的需求來。https://wiki.wireshark.org/DisplayFilters
//3.示例3
使用windows版本的tshark,抓包儲存到本地。每個包只讀取1024位元組。
tshark -w E:/1015.pcap -s 1024 -i 本地連線 -q -F pcap
......
5、參考文獻
顯示過濾器,用於display過濾的欄位可以通過https://wiki.wireshark.org/DisplayFilters 查詢。如果不過濾-e指定的欄位資料都會輸出,通過-R過濾之後,只有滿足規則的才會輸出,會因此-R和-T、-e通常會一起使用。