tshark

tshark ist ein command-line Interface-Tool, welches die Wireshark-Funktionalitäten nutzt.

Zum Lesen aus einem pcap-File wird folgender Befehl benutzt:

tshark -r capturefile.pcap

Um eine Ausgabe auf der Standardausgabe zu erzeugen, so wird das Flag "-V" hinzugefügt.

Zum Abschalten der Netwerkobjektnamen ist der Befehl wie folgt zu ergänzen:

tshark -n -r capturefile.pcap

Um als gewünschtes Ausgabeformat pdml zu nutzen, so wird der Befehl um folgendes ergänzt:

tshark -r capturefile.pcap -T pdml

Akzeptierte Ausgabeformate sind zum Beispiel

• pdml (Packet Details Markup Language)
• psml (Packet Summary Markup Language)

Um ein bestimmtes Feld zu definieren, wird das Flag "-e" in Verbindung mit der "-T fields"-Option genutzt. In diesem Beispiel zeigt tshark die Ethernet frame number, IP Adresse undInformationen über das UDP Protokoll:

tshark -r capturefile.pcap -T fields -e frame.number -e ip.addr -e udp

Tshark enthält die Option -d, welche Wireshark's "Decode As"-Funktionalität implementiert. Diese Funktion erlaubt die manuelle Konfiguration, den Traffic für ein bestimmtes Protokoll im Packet capture, innerhalb von tshark einzurichten. In diesem Beispiel wird dergesamte Traffic des Packet capture auf dem TCP Port 29008 als http angezeigt:

tshark -r capturefile.pcap -d tcp.port=29008,http

tshark kann die Ausgaben gefiltert zeigen, wie in diesem Beispiel für die IP-Adresse 192.168.1.1

tshark -r capturefile.pcap -R 'ip.addr == 192.168.1.1'

Quellen

• Davidoff, Sherri, Ham, Jonathan; Network Forensics, Prentice Hall, Pearson Education, Seite 81/82