Введение
В этом практическом занятии (лабораторной работе) вы научитесь анализировать сетевой трафик с помощью командной строки инструмента Wireshark - tshark, генерируя статистику по протоколам из файла с захваченными пакетами. Вы изучите важные параметры, такие как -r для чтения файлов, -q для тихого режима и -z io,phs для получения статистики по иерархии протоколов.
В ходе упражнения вас будут сопровождать по шагам проверка файлов с захваченными пакетами, просмотр сводок пакетов и интерпретация распределения протоколов. Этот практический опыт повысит ваши навыки сетевого анализа с использованием статистических возможностей tshark.
Чтение файла с помощью -r capture.pcap
На этом этапе вы научитесь открывать и анализировать файл с захваченными пакетами с использованием командной строки инструмента Wireshark - tshark. Опция -r является основополагающей, так как она указывает, какой файл с захваченными пакетами нужно прочитать. Представьте себе, что это как открытие документа в текстовом редакторе - вам нужно сказать программе, с каким файлом работать.
Сначала убедитесь, что вы находитесь в правильной директории. Откройте терминал и выполните следующую команду:
cd ~/projectЭта команда позволяет перейти в директорию проекта, где хранится наш пример файла с захваченными пакетами. Это похоже на то, чтобы открыть правильную папку перед доступом к файлу.
В лабораторной среде предоставлен пример файла с захваченными пакетами с именем
capture.pcap. Проверьте его наличие:ls -l capture.pcapОжидаемый вывод должен показать детали файла, например:
-rw-r--r-- 1 labex labex 12345 Jan 1 00:00 capture.pcapКоманда
ls -lпоказывает разрешения файла, его размер и время последнего изменения. Это подтверждает, что файл существует и доступен для нас, прежде чем мы попытаемся его проанализировать.Чтобы прочитать файл с захваченными пакетами с помощью
tshark, выполните следующую команду:tshark -r capture.pcapЭта команда читает файл
capture.pcapи отображает сводную информацию о каждом сетевом пакете. Вы увидите столбцы, показывающие:- Номер пакета (последовательность в захвате)
- Метка времени (когда пакет был захвачен)
- IP - адреса источника и назначения
- Используемый протокол (TCP, UDP и т.д.)
- Основную информацию о пакете
Чтобы получить более чистый вывод, содержащий только номера пакетов и протоколы, добавьте опцию
-q(тихий режим):tshark -r capture.pcap -qФлаг
-qупрощает вывод, подавляя некоторые детали. Это полезно, когда вы просто хотите быстро просмотреть типы трафика в захвате, не видя всех деталей пакетов.Чтобы выйти из списка пакетов, нажмите
Ctrl+C, когда вы увидите достаточно вывода. Эта комбинация клавиш останавливает выполнение команды и возвращает вас в командную строку терминала.
Помните, эти команды только отображают захваченные пакеты - мы не вносим никаких изменений в файл. В следующих шагах вы узнаете, как более детально проанализировать этот трафик.
Вычисление статистики иерархии с помощью -z io,phs
На этом этапе мы узнаем, как анализировать сетевой трафик, генерируя статистику по иерархии протоколов с использованием командной строки инструмента Wireshark - tshark. Опция -z io,phs создает структурированное обзоры, показывающее, как различные сетевые протоколы связаны друг с другом в захваченном трафике.
Сначала убедимся, что мы находимся в правильной рабочей директории, где хранится наш файл с захваченными пакетами:
cd ~/projectЭта команда позволяет перейти в директорию проекта, где мы будем работать с файлом с захваченными пакетами.
Теперь проанализируем файл
capture.pcap, чтобы увидеть распределение протоколов. Выполните следующую команду:tshark -r capture.pcap -z io,phsВот что делает каждая часть команды:
-r capture.pcapчитает наш файл с захваченными пакетами-z io,phsгенерирует статистику по иерархии протоколов
Команда генерирует вывод, показывающий, как протоколы организованы в слои в вашем сетевом трафике. Вот пример структуры:
====================================================== Protocol Hierarchy Statistics Filter: eth frames:100 bytes:10000 ip frames:90 bytes:9000 tcp frames:80 bytes:8000 http frames:70 bytes:7000 udp frames:10 bytes:1000 arp frames:10 bytes:1000 ======================================================Эта древовидная структура показывает:
- Ethernet (eth) как базовый слой, несущий весь трафик
- IP - пакеты, составляющие 90% кадров Ethernet
- TCP как доминирующий транспортный протокол в рамках IP
- HTTP - трафик, составляющий большую часть TCP - пакетов
Статистика предоставляет три важных параметра для каждого протокола:
- Процент общего трафика (выводится по количеству кадров)
- Абсолютные числа кадров и переданных байтов
- Отношение инкапсуляции между протоколами
Чтобы получить более чистый вид без дополнительной информации о захвате, добавьте опцию
-q(тихий режим):tshark -r capture.pcap -z io,phs -qФлаг
-qподавляет дополнительные детали, предоставляя только статистику по иерархии протоколов. Это особенно полезно, когда вам нужна только развертка по протоколам.
Скрытие деталей пакетов с помощью -q
На этом этапе вы узнаете о опции -q в tshark, которая помогает упростить вывод при анализе сетевого трафика. Это особенно полезно, когда вам нужна только статистическая информация, а не подробное содержимое пакетов.
Сначала перейдем в рабочую директорию, где хранится файл с захваченными пакетами:
cd ~/projectЭто гарантирует, что мы находимся в правильном месте для доступа к нашему примеру файла с захваченными пакетами.
Сначала посмотрим, как выглядит обычный вывод
tsharkбез опции-q:tshark -r capture.pcapЭта команда отображает полную информацию о пакетах, включая заголовки протоколов и данные полезной нагрузки. Для новичков такой вывод может показаться перегруженным излишними деталями, если вы заинтересованы только в общей статистике.
Теперь попробуем ту же команду с опцией
-q(тихий режим):tshark -r capture.pcap -qОбратите внимание, как эта опция скрывает детальную информацию о пакетах, давая более чистый вывод. Опция
-qсообщаетtsharkпоказывать только сводную информацию, которая легче читать, когда вам не нужны детали на уровне пакетов.Теперь объединим
-qс статистикой иерархии протоколов, которую мы изучили ранее:tshark -r capture.pcap -z io,phs -qЭто мощное сочетание дает вам только статистику по протоколам без никаких отвлекающих деталей пакетов. Опция
-z io,phsгенерирует статистику, а-qгарантирует, что мы видим только статистический обзор.Основные различия, которые стоит заметить:
- Без
-q: Показывает полный разбор пакетов, включая все слои протоколов - С
-q: Предоставляет более чистый вид, показывая только сводную/статистическую информацию - Особенно полезно при использовании в сочетании с опциями статистики (
-z) для целенаправленного анализа
- Без
Помните, опция -q ваш верный помощник, когда вы хотите сосредоточиться на общем положении дел, а не на индивидуальных деталях пакетов. Она помогает уменьшить визуальный шум, при этом предоставляя важную информацию, необходимую для анализа сети.
Просмотр статистики на консоли
На этом этапе вы узнаете, как использовать мощные статистические функции tshark для анализа моделей сетевого трафика прямо в терминале. Эти команды помогут вам понять распределение трафика, определить наиболее активные участники и обнаружить необычные модели в захваченных сетевых данных.
Сначала убедитесь, что вы находитесь в правильной рабочей директории, где хранится ваш файл с захваченными пакетами. Это важно, так как
tsharkдолжен иметь доступ к файлу:cd ~/projectПросмотрите основную статистику файла с захваченными пакетами с учетом временных интервалов. Флаг
-qскрывает детали пакетов, а-z io,stat,60создает сводные блоки по 60 секунд:tshark -r capture.pcap -q -z io,stat,60Это показывает, как объем трафика меняется во времени с интервалом в одну минуту.
Чтобы увидеть, какие IP - адреса наиболее активны (статистика конечных точек), эта команда подсчитывает трафик для каждого адреса:
tshark -r capture.pcap -q -z endpoints,ipОна перечисляет все общающиеся IP - адреса с количеством отправленных/полученных пакетов и байтов.
Для получения статистики о разговорах, показывающей, какие пары IP - адресов общаются и насколько интенсивно:
tshark -r capture.pcap -q -z conv,ipЭто позволяет выявить модели общения между конкретными парами источник - назначение.
Объедините несколько статистических показателей в одной команде для комплексного анализа:
tshark -r capture.pcap -q -z io,stat,60 -z endpoints,ip -z conv,ipПри изучении статистики обратите внимание на следующие ключевые показатели:
- Общее количество пакетов и байтов: Общий объем трафика
- Распределение трафика во времени: Обнаружение пиков или необычных моделей
- Наиболее активные конечные точки: Определение интенсивных пользователей
- Пары разговоров: Понимание, кто с кем общается и насколько интенсивно
Резюме
В этом практическом занятии вы научились использовать командную строку tshark из пакета Wireshark для анализа сетевого трафика. Вы практиковались в чтении файлов с захваченными пакетами с помощью опции -r и упрощали вывод с помощью флага -q для лучшей читаемости.
Кроме того, вы изучили возможность генерации статистики иерархии протоколов с помощью опции -z io,phs, которая предоставляет ценную информацию о распределении протоколов в сетевом трафике. Эта техника позволяет быстро оценить состав трафика без изучения отдельных пакетов.


