Вход на сайт
Яндекс.Метрика

Рейтинг@Mail.ru

Tshark

Tshark - анализатор сетевого трафика на сервере

Одним из самых распространенных анализаторов трафика на сегодня является Wireshark. 

Tshark использует для захвата библиотеку libpcap, реализующую API pcap (packet capture). Эту библиотеку использует и стандартная утилита tcpdump. Файлы, созданные tcpdump, можно передавать tshark для последующего анализа.

Преимуществом tshark, по сравнению с tcpdump, является более ясный формат вывода.


Tshark включена в дистрибутивы большинства современных Linux-систем и устанавливается при помощи стандартного менеджера пакетов:

$ sudo apt-get install tshark

$ sudo tshark

 На консоль будет выводиться список пакетов, захватываемых в режиме реального времени:

Capturing on 'eth0'

1 0.000000 Cisco_8d:d1:2e -> Spanning-tree-(for-bridges)_00 STP 60 Conf. Root = 24576/676/00:1e:4a:2c:65:80 Cost = 8 Port = 0x802e

2 0.010943 192.168.17.131 -> 224.0.0.2 HSRP 92 Hello (state Active)

3 0.076150 134.170.24.34 -> 192.168.17.151 TCP 1526 [TCP segment of a reassembled PDU]

4 0.076176 192.168.17.151 -> 134.170.24.34 TCP 66 60914 > https [ACK] Seq=1 Ack=1461 Win=65160 Len=0 TSval=87843921 TSecr=727938564

5 0.076185 134.170.24.34 -> 192.168.17.151 TLSv1 343 Application Data

6 0.076190 192.168.17.151 -> 134.170.24.34 TCP 66 60914 > https [ACK] Seq=1 Ack=1738 Win=65160 Len=0 TSval=87843921 TSecr=727938564

С помощью опций можно сделать так, чтобы на консоль выводилась только та информация, которая нам действительно требуется.

Фильтры

Выбор интерфейса для захвата

Опция -i позволяет захватывать трафик только для конкретного интерфейса. Просмотреть список доступных сетевых интерфейсов можно с помощью команды:

$ sudo tshark -D

1. eth0

2. nflog

3. nfqueue

4. any

5. lo (Loopback)

После опции -i указывается любой из доступных интерфейсов:

$ sudo tshark -i eth0

С помощью дополнительных аргументов можно получать более специализированную информацию. Например, с помощью аргумента host можно осуществить захват пакетов для конкретного IP:

$sudo tshark -i eth0 host 192.168.30.1

В вывод будут включены как входящие, так и исходящие пакеты. Чтобы просмотреть информацию только о входящих пакетах или только об исходящих пакетах, используются dst и src соответственно:

$ sudo tshark -i eth0 src host 192.168.30.1

Аналогичным образом можно захватывать трафик для целой подсети — для этого используется аргумент net:

$ sudo tshark -i eth0 src net 192.168.30.0/24

Можно также указать порт, на котором будут захватываться пакеты:

$ sudo tshark -i eth0 host 192.168.30.1 and port 80

Tshark позволяет захватывать пакеты в течение определенного промежутка времени:

$ sudo tshark -i eth0 -a duration:10 -w traffic.pcap

В приведенном примере была также использована опция -w. После неё указывается путь к файлу, в который будут записаны полученные данные.


Установка размера буфера

Эта опция может быть полезной в случаях, когда приходится иметь дело с отбрасыванием пакетов. По умолчанию размер буфера составляет 1МБ; при помощи опции -B можно установить любой другой размер (в МБ), по достижении которого все данные будут сбрасываться на диск:

$ sudo tshark -B 2


Отображение статистики для выбранного протокола

В tshark имеется также возможность захватывать только пакеты, передаваемые по указанному пользователем протоколу.
Вот так, например, выглядит статистика для протокола HTTP:

$ sudo tshark -q -r a.pcap -R http -z http,tree

===================================================================

HTTP/Packet Counter value rate percent

-------------------------------------------------------------------

Total HTTP Packets 7 0.000375

HTTP Request Packets 4 0.000214 57.14%

GET 4 0.000214 100.00%

HTTP Response Packets 3 0.000161 42.86%

2xx: Success 2 0.000107 66.67%

200 OK 2 0.000107 100.00%

3xx: Redirection 1 0.000054 33.33%

302 Found 1 0.000054 100.00%

5xx: Server Error 0 0.000000 0.00%

Other HTTP Packets 0 0.000000 0.00%

 

 

Обновлено 05.04.2016 07:52

unix-way