問題タブ [tshark]

yum install を使用して RHEL マシンに tshark をインストールする方法はありますか?

私がしたとき：yum install tshark

私は戻りました：

私がやったとき: yum list tshark 私は戻ってきました:

通信する2つのサーバー（serv1、serv2）があり、serv1からserv2に転送される特定の基準に一致するパケットを盗聴しようとしています。Tshark は私のデスクトップ (desk1) にインストールされています。次のスクリプトを作成しました。

このスクリプトは、serv1 で実行すると正常に動作するようです (serv1 がパケットを serv2 に送信しているため)。ただし、desk1 でこれを実行しようとすると、パケットをキャプチャできません。それらはすべて同じLAN上にあります。私は何が欠けていますか？

pcap ファイルがあれば、Wireshark が提供する適切なフィルターを使用して、再構築された HTTP 要求と応答から多くの情報を抽出できます。pcap ファイルを各 TCP ストリームに分割することもできました。

私が今直面している問題は、私が で使用できるすべてのクールなフィルタの中でtshark、完全なリクエスト/レスポンス ボディを出力できるフィルタが見つからないことです。私はこのようなものを呼んでいます：

-eリクエスト/レスポンスボディを取得するために渡すことができるフィルタ名はありますか? 私が最も近いのは-Vフラグを使用することですが、必要のない多くの情報も出力し、「ダム」フィルターでこじ開ける必要はありません。

私はtsharkでデータをキャプチャし、パケットヘッダーから特定のデータを保存して処理し、ネットワーク内のいくつかの侵入者を検出します。luaプログラム（コマンド（-Xlua_script :)を使用してtsharkを使用してcmdで実行されている）のテーブルにデータを保存しました。次に、キャプチャの実行中に1分ごとのデータのみを処理したいと思います。これはオンライン処理です。第一に：これを実装できるかどうかは誰でも知っていますか？第二に、タイマーが必要です、これを行う方法がわかりません、そしてテーブル内のデータを取得して処理し、テーブルをリセットして取得する方法が必要ですデータを失うことなく、次の分の新しいデータ。何か提案やアイデアはありますか？

最近、サーバー上の Wireshark を更新したところ、CLI から -R と -w を使用できなくなりました。SIP および RTP 呼び出しをトレースしているので、-f ではなく -R を使用する必要があります。

-V を使用すると非常に便利であることがわかり (画面にパケット ツリーが表示されます)、出力をファイルにリダイレクトできます。残念ながら、Wireshark でそのファイルを開いて適切に表示することはできません (テキストが多すぎて簡単にスクロールできません)。

-xt を使用して 16 進ダンプを追加しようとしましたが (-V を削除しました)、それでもテキスト ファイルを PC にコピーするときに Wireshark で開くことができません。

-R (-V の有無にかかわらず) を使用してトレースし、ファイルを PC にコピーして、Wireshark で読み取ることができる方法はありますか? ファイルを読み取り可能な形式に変換する問題はありません..ファイルを表示して共有するために必要なものだけです:)

皆さんありがとう、

//M

Mac OSX環境でluaスクリプトを正しく処理するためにwireshark用に構成する必要のある初期設定はありますか？

「パケットのHTTPヘッダー長を確認する方法」という質問に対するLuaの回答を移植しようとしました。https://stackoverflow.com/a/5794357/1217670

ソリューションをMacで動作させることができませんでした。

このソリューションは、Wireshark 1.6.7、Lua5.1を搭載したWindowsXPプラットフォームで正常に機能しました。

Wireshark 1.6.5、Lua5.1を搭載したMacOSX10.7.3でhttp_extra.luaスクリプトを実行します。[Header Length（bytes）：917]ヘッダーフィールドは表示されません。
カスタムHTTPヘッダーフィールドにhttp.hdr_lenと入力しました。

http.hdr_lenでフィルタリングしても、何も表示されません。

http_extra.luaスクリプトは/Applications/Wireshark.app/Contents/Resources/lib/wireshark/pluginsディレクトリに配置されます。
スクリプトをPersonalPluginsフォルダーに移動しても同じ結果になります。

これは、WindowsXPシステムで完全に機能している正確なスクリプトファイルです。

[Wiresharkプラグインについて]タブには、http_extra.luaがタイプluaスクリプトとして一覧表示されます。

スクリプトをテストしてエラーを作成すると、wiresharkがスクリプトを認識していることが検証されます。

LUA_PATHをグローバルプラグインディレクトリに設定する必要があるというメモを見ました。これは効果がありませんでした。

提案に感謝します。

マシンの任意のインターフェイスの特定のポートでパッケージをキャプチャしたいと考えています。

特定のインターフェイスを使用して特定のポートでパッケージをキャプチャする方法を知っています。そしてコマンドは

tshark -f "udp ポート 162" -i bond0

インターフェイスが指定されていない場合、TShark はインターフェイスのリストを検索し、非ループバック インターフェイスがある場合は最初の非ループバック インターフェイスを選択します。

しかし、マシンのすべてのインターフェイスでパッケージをキャプチャしたいと考えています。誰かがこれについて私を助けることができますか?

どうもありがとう！

ネットワーク上の VoIP 通話を分析しています

今のところ、生成された .pcap ファイルを使用していますが、後でこれをリアルタイムでリッスンします。

私は tshark を使用しており、重要なデータを .pcap から非常に簡単にフィルター処理できます (「ソース IP アドレスとポート」、「宛先 IP アドレスとポート」、ペイロード pckt の損失、最大デルタ (ミリ秒)、最大ジッター ( ms)、平均ジッター(ms))

tshark -r myfile -q -z rtp,streams

私が知りたいのは、通話の sip アドレスを取得するにはどうすればよいですか? (クライアントとサーバー)

次のようにすべての sip INVITE をフィルタリングすることで、いくつかの sip アドレス (クライアントのみ) を取得できます。

tshark -r myFile -R "sip.Request-Line には INVITE が含まれています"

しかし、サーバーのアドレスを取得できません。

少し明確にするために、私の考えは、「Telephony> VoIP Calls」にアクセスしたときにwiresharkが提供するように、tsharkでこの「統計」を取得することでした（tshark -r myfile -q -z rtp、streamsが統計を返すのと同じ方法） wireshark のテレフォニー > RTP > すべてのストリームを表示)、これを行う方法はありますか? 「統計」（-z）を使用しない場合、wiresharkの「VoIPCall」機能と同様のことを行うためにフィルター（-R）を作成するにはどうすればよいですか

画面上で分析するだけでなく、このデータを操作したいので、tsharkを使用しています

ありがとう

特定の条件が満たされた後、tshark (wireshark のコマンド ライン equi) を停止する必要があります。

tshark のマニュアル ページから、期間、ファイル、ファイル サイズ、複数ファイル モードに関して停止条件を適用できることがわかりました。

tshark がキャプチャを停止するように、キャプチャ フィルタを介して適用できる停止条件はありますか。

例: 特定のポート番号から TCP SYN パケットを受信すると (キャプチャ フィルタで条件が適用されます)、tshark はキャプチャを停止します。

このなぞなぞに答えてください。

かなり大きなサイズの Pcap ファイルがあります。このファイルの 1 つのパケット、たとえば 10 番目のパケットを読み取りたいだけです。

次のような tshark コマンドがあります。

コマンドは、10 番目のパケットが見つかった場合でも、ファイル全体を検索し続けます。それには長い時間がかかります。

パケットが見つかったときにコマンドを停止したいのですが、どうすればよいですか?

ご提案ありがとうございます。