Tshark - это программа командной строки для мониторинга сетевого трафика. Вместе с TShark она входит в состав пакета Wireshark. Как и ее аналог с графическим интерфейсом, она может захватывать пакеты и затем показывать их описание в окне терминала или сохранять их в файл в двоичном формате.
Установка Tshark
Вы можете установить tshark, введя следующую команду в окне терминала:
1 2 | sudo apt update sudo apt install tshark -y |
Использование tshark
Выполните команду tshark --help, чтобы увидеть различные опции, которые предлагает tshark.
1 | tshark --help |
Выполните команду tshark -D, чтобы проверить, что ваши сетевые интерфейсы распознаются tshark.
1 | sudo tshark -D |
Вы получите список ваших сетевых интерфейсов. Обратите внимание, что некоторые сетевые интерфейсы могут находиться в состоянии "отключено". Не все сетевые интерфейсы активны по умолчанию. Вам придется найти активные интерфейсы.
Вы можете узнать, какой интерфейс активен, набрав ifconfig в терминале.
1 | ifconfig |
Определив нужный интерфейс захвата, выполните команду tshark -i <интерфейс>, чтобы начать захват пакетов. Где <интерфейс> - это имя нужного интерфейса захвата.
1 | sudo tshark -i ens1 |
После завершения захвата данных нажмите Ctrl-C в окне терминала. Это остановит процесс захвата и закроет tshark. Вы увидите захваченные данные, отображенные в окне терминала ниже.
Цветной вывод текста аналогично графическому интерфейсу Wireshark
1 | sudo tshark --color |
Запись пакетов в файл формата pcapng
1 | sudo tshark -w <filename> |