tshark

- tshark

ngrep CMD

tshark CMD

GUI 가 wireshark 였다면 TUI 로는 tshark가 있다. 

확실히 GUI가 보기 편하고 설정하고 찾아보기가 편하지만 정말 많은 패킷 파일을 분석요청으로 받게 되면 텍스트 방식이 속도면에서 훨씬 유리하기 때문에 TUI로 지원하는 tshark는 여전히 사용중이다. 

- 사용법

# tshark

# tshark -v     /* version */

# tshark -i eth0 -c 10     /* NIC 카드 지정 10개의 패킷만 확인 */

# tshark -w test.pkt    /* test.pkt 파일로 저장한다. */ /* 확장자 유의 */

# tshark -r test.pkt -c 1 -V     /* Verbose */

# tshark -r test.pkt -c 1 -x     /* Hex */

# tshark -r test.pkt -R '(ip.src==192.168.27.200)'

- 확인

(kali) 192.168.27.50  ping ----------------> 168.126.63.1

-c 옵션으로 10개의 패킷만 분석하고 종료되었다. 

-w 옵션은 출력하지 않고 패킷의 개수만 출력함 -r 옵션으로 파일을 읽어보면 하나의 패킷을 확인할 수 있다. 

-V  옵션은 Wireshark의 Packet Detail 패널과 같은 정보를 출력하는 것을 알 수 있다. 

-x 옵션은 Wireshark의 Packet Bytes 패널과 같은 정보를 출력하는 것을 알 수 있다. 

- Wireshark의 왠만한 기능은 tshark로 구현이 가능하다.