GNU/Linux >> Znalost Linux >  >> Linux

Mergecap a Tshark:Sloučit výpisy paketů a analyzovat síťový provoz


Foto s laskavým svolením Michael_P

Tento článek napsal Balakrishnan M
 
Před chvílí jsme zkontrolovali 11 příkladů, jak používat nástroj editcap k zachycení síťových výpisů. V tomto článku si projdeme nástroj mergecap a příkazy tshark.
 
Mergecap je nástroj pro kombinování výpisu paketů, který spojí více výpisů do jednoho souboru výpisu. Na základě časového razítka se pakety zapisují do výstupního souboru uspořádaným způsobem. Ve výchozím nastavení je výstupní soubor zapsán ve formátu libpcap. Pomocí voleb mergecap však můžeme generovat výstup v různých různých formátech včetně těch, které jsou podporovány nástrojem wireshark.

mergecap je k dispozici v balíčku wireshark. Ujistěte se, že je nainstalován balíček wireshark/ethereal pro použití mergecap.

Zkombinujte dva soubory výpisu do jednoho souboru output_dump

Kombinuje zachycovací soubory input_dump1 a input_dump2 a zapisuje je do souboru output_dump.

# mergecap -v input_dump1 input_dump2 -w output_dump

 

V tomto příkladu input_dump2 obsahuje pakety, které jsou zachyceny po input_dump1. Výstup output_dump bude na začátku obsahovat pakety intput_dump2 následované pakety intput_dump1.

# mergecap input_dump1 input_dump2 -w output_dump -a

Vytisknout výstupní soubor výpisu na standardní výstup

Zkombinujte dva soubory síťového výpisu a vytiskněte výstup na standardní výstup namísto zápisu do souboru.

# mergecap -v input1_dump input2_dump -w -

Vytiskněte výstupní soubor ve specifickém formátu zapouzdření

Použijte volbu -T, abyste získali výstupní soubor v požadovaném formátu zapouzdření, jak je ukázáno níže.

# mergecap -v -T ether -w merge_cap capture1 capture2 capture3

3. Sloučit pakety určité délky

V tomto příkladu obsahuje output_dump pakety o maximální délce 100 bajtů. 

# mergecap -v -s 100 dump1 dump2 dump3 -w output_dump

Tshark – nástroj pro zachytávání paketů

Tshark je výkonný nástroj pro zachycení síťových paketů, který lze použít k analýze síťového provozu. Dodává se s distribucí analyzátoru sítě wireshark.
 

Nepřetržité snímání sítě

Následující příklad zachytí síťové pakety nepřetržitě po dobu 60 sekund. Po 60 sekundách snímání se automaticky zastaví. capture_out obsahuje pakety, které jsou přenášeny sítí během posledních 60 sekund.

# tshark -q -w capture_out -a duration:60

 
V následujícím příkladu budou pakety vytištěny na obrazovce a současně budou zapsány do výstupního souboru.

# tshark -S -q -w capture_out -a duration:10

Zachyťte statistiky sítě pomocí nástroje tshark

Chcete-li zjistit, kolik paketů proudí v síti za určitý interval, použijte následující příkaz.

# tshark -q -w capture_duration1 -a duration:1 -z io,stat,1

Zachytávání síťových paketů pro konkrétního hostitele

Následující příklad použijte k zachycení toku paketů pro konkrétního hostitele (vyslané a přijaté pakety). V tomto příkladu jsme mohli vidět, kolik paketů je každou sekundu přeneseno v síti pro hostitele 192.168.1.185

#  tshark -S -q -w capture_duration6 -a duration:6 -z io,stat,1,ip.addr==192.168.1.150
After capturing all the packets for 6 seconds duration, it will print the statistics as like the following,
145 packets dropped
19749 packets captured
IO Statistics
Interval: 1.000 secs
Column #0: ip.addr==192.168.1.185
|   Column #0
Time       	      |frames|  bytes
000.000-001.000    2733    545242
001.000-002.000    2991    583374
002.000-003.000    3310    650716
003.000-004.000    3236    641896
004.000-005.000    3518    690860
005.000-006.000    3310    654988
006.000-007.000     638    122812

Zachytávání síťových paketů na konkrétním portu

Tento příklad zachycuje pouze pakety ssh.

# tshark -f “tcp port 22” -w capture_out

Zachyťte síťové pakety po určitou dobu

Následující příklad zachytí pakety po určitou dobu (5 sekund), přepne se na další soubor, když velikost zachyceného souboru dosáhne určité velikosti (1000 kB).

# tshark -a filesize:1000 -a duration:5 -a files:5 -w ethcap1

Ukázkový výstup zachyceného souboru s velikostí:

ethcap1_00001_20090216174203 -   1000K
ethcap1_00002_20090216174205 -  1000K
ethcap1_00003_20090216174207 -  835K

Další příkazy pro zachycení tshark

Použijte volbu -c k zachycení paketů až do určitého počtu paketů. Následující příklad vytvoří soubor ethcap1 pouze s 10 pakety.

# tshark -c 10  -w ethcap1

 

Použijte volbu -r ke čtení síťových paketů z komprimovaného souboru.

# tshark -r capture_dump.gz

 

Použijte volbu -r pro zobrazení pouze určitých typů paketů. Následující příklad vytvoří soubor capture_dump pouze s pakety rtp v síťovém analyzátoru.

# tshark -R “rtp” -r capture_dump

 

Použijte níže uvedený filtr k zachycení tcp paketů, které proudí na portu 1720. 

# tshark -f “tcp port 1720”

 
Následující příklad zachytí pakety, které přicházejí buď na port 1720 nebo 1721. 

# tshark -f  “port 1720 or port 1721”	 -w capture_dump

 

Ve výchozím nastavení použije tshark zařízení eth0 k zachycení paketů. Můžete také určit konkrétní ethernetový adaptér pomocí volby -i, jak je uvedeno níže.

# tshark -i eth1 -w -a duration:10 capture_dump

 

Tento článek napsal Balakrishnan Mariyappan. Pracuje ve společnosti bk Systems (p) Ltd a má zájem přispívat do open source. The Geek Stuff uvítá vaše tipy a články hostů.


Linux

  1. Odstraňování problémů se sítí Linux a ladění?

  2. Průvodce Editcap:11 příkladů efektivního zpracování výpisů síťových paketů

  3. Mohu omezit uživatele (a jejich aplikace) na jedno síťové rozhraní?

  1. 6 možností filtrování síťového provozu tcpdump

  2. Jak zachytit všechny příchozí pakety do NIC, dokonce i ty, které mi nepatří

  3. Zlepšení výkonu TCP v gigabitové síti se spoustou připojení a vysokým provozem malých paketů

  1. Zachyťte pakety pomocí tcpdump

  2. Jak monitorovat a protokolovat síťový provoz v systému Linux pomocí vnStat

  3. tcpdump – rotace zachycených souborů pomocí -G, -W a -C