Tshark Nedir?
Komut satırı üzerinde çalışan, açık kaynak kodlu bir sniffer aracıdır. Aynı zamanda Wireshark’ın komut satırı versiyonu da diyebiliriz. Tshark bize temel manada bir analiz imkanı tanımaktadır. Wireshark gibi grafik ara yüzüne ihtiyacı olmadığı için performans yönünden avantaj sağlayabilir. Tshark herhangi bir parametre belirtilmemişse tcpdump gibi çalışmaktadır. Ayrıca .PCAP dosyalarını okuyabilir.
Linux kullanıcılar depodan apt-get install tshark komutuyla direkt olarak indirebilir.
PCAP Dosyalarını Okuma
TShark ile bir dosyayı okumak için -r anahtarı kullanacağız . Bu, tcpdump çıktıya benzer şekilde her paketin bir özet satırını görüntüler ve yakalama hakkında üst düzey bilgileri belirlemek için kullanışlıdır.
Örnek:
tshark -r spyhackerz.cap
wc -l ile eşleştirildiğinde, bir yakalamada kaç paket olduğunu hızlı bir şekilde belirleyebiliriz.
tshark -r spyhackerz.cap | wc -l
Hangi paketlerin görüntüleneceğini daraltmak için Wireshark görüntü filtrelerini kullanabiliriz.
Yalnızca DNS A kayıtlarıyla ilgileniyorsak,dns.qry.type == 1 paketlerimizi daraltmak için görüntü filtresini kullanabiliriz.
Anahtar kullanılarak ekran filtreleri eklenir -Y.
tshark -r spyhackerz.cap -Y "dns.qry.type == 1"
komutumuz, yanıtlar dahil, yakalamamızdaki tüm A kayıtlarını gösterecektir.
TShark'ın gücü, geleneksel Wireshark filtrelerini ekstraksiyon ile birleştirerek gelir.
Belirli alan değerlerini doğrudan pcap'tan çıkararak yalnızca ilginç alanların döndürülmesini sağlayabiliriz.
Verileri çıkarmanın bir yolu -T fields ve -e [fieldname] anahtarlarını kullanmaktır.
tshark -r spyhackerz.cap -Y "dns.qry.type == 1" -T fields -e dns.qry.name
Komut satırı üzerinde çalışan, açık kaynak kodlu bir sniffer aracıdır. Aynı zamanda Wireshark’ın komut satırı versiyonu da diyebiliriz. Tshark bize temel manada bir analiz imkanı tanımaktadır. Wireshark gibi grafik ara yüzüne ihtiyacı olmadığı için performans yönünden avantaj sağlayabilir. Tshark herhangi bir parametre belirtilmemişse tcpdump gibi çalışmaktadır. Ayrıca .PCAP dosyalarını okuyabilir.
Linux kullanıcılar depodan apt-get install tshark komutuyla direkt olarak indirebilir.
PCAP Dosyalarını Okuma
TShark ile bir dosyayı okumak için -r anahtarı kullanacağız . Bu, tcpdump çıktıya benzer şekilde her paketin bir özet satırını görüntüler ve yakalama hakkında üst düzey bilgileri belirlemek için kullanışlıdır.
Örnek:
tshark -r spyhackerz.cap
wc -l ile eşleştirildiğinde, bir yakalamada kaç paket olduğunu hızlı bir şekilde belirleyebiliriz.
tshark -r spyhackerz.cap | wc -l
Hangi paketlerin görüntüleneceğini daraltmak için Wireshark görüntü filtrelerini kullanabiliriz.
Yalnızca DNS A kayıtlarıyla ilgileniyorsak,dns.qry.type == 1 paketlerimizi daraltmak için görüntü filtresini kullanabiliriz.
Anahtar kullanılarak ekran filtreleri eklenir -Y.
tshark -r spyhackerz.cap -Y "dns.qry.type == 1"
komutumuz, yanıtlar dahil, yakalamamızdaki tüm A kayıtlarını gösterecektir.
TShark'ın gücü, geleneksel Wireshark filtrelerini ekstraksiyon ile birleştirerek gelir.
Belirli alan değerlerini doğrudan pcap'tan çıkararak yalnızca ilginç alanların döndürülmesini sağlayabiliriz.
Verileri çıkarmanın bir yolu -T fields ve -e [fieldname] anahtarlarını kullanmaktır.
tshark -r spyhackerz.cap -Y "dns.qry.type == 1" -T fields -e dns.qry.name