Displaying network traffic using tshark
การแก้ไขปัญหาทางด้าน network มี tools ให้เลือกใช้งานหลากหลายซึ่งแต่ละตัวก็มีข้อดีทั้งนั้น และในบทความนี้จะแนะนำ tool ตัวหนึ่งที่สามารถช่วยวิเคราะห์ traffic ของเครื่องได้ดีตัวหนึ่ง tool ตัวนี้คือ tshark
TShark คือ network protocol analyzer (wireshark แบบ text mode) ที่จะช่วยให้สามารถ capture data packet จาก network แบบ real time ซึ่งจะช่วยให้เราสามารถวิเคราะห็ระบบ network ได้ง่ายขึ้น ซึ่งถ้าหากไม่ได้ set option อะไรลงไป ผลลัพธ์จะคล้าย tcpdump
ทำไมถึงใช้ tshark เพราะ tshark สามารถ decode protocol ได้มากกว่า tcpdump ซึ่งจะช่วยให้สามารถวิเคราะห็ packet ได้รวดเร็ว
วิธีการติดตั้ง tshark
|
1 2 3 |
[root@Ezylinux ~]# yum install wireshark |
ตัวอย่างการใช้งาน tshark
Sniff HTTP requests
|
1 2 3 |
[root@Ezylinux ~]# tshark 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)' -R 'http.request.method == "GET" || http.request.method == "HEAD"' |
Sniff HTTP request headers
|
1 2 3 |
[root@Ezylinux ~]# tshark tcp port 80 or tcp port 443 -V -R "http.request" |
Sniff HTTP response headers
|
1 2 3 |
[root@Ezylinux ~]# tshark tcp port 80 or tcp port 443 -V -R "http.response" |