GNU/Linux >> Belajar Linux >  >> Linux

Gabungkan dan Tshark:Gabungkan Dump Paket dan Analisis Lalu Lintas Jaringan


Foto milik Michael_P

Artikel ini ditulis oleh Balakrishnan M
 
Beberapa waktu lalu kami mengulas 11 contoh tentang cara menggunakan utilitas editcap untuk menangkap dump jaringan. Dalam artikel ini, mari kita tinjau utilitas mergecap dan perintah tshark.
 
Mergecap adalah alat penggabung paket dump, yang akan menggabungkan beberapa dump ke dalam satu file dump. Berdasarkan timestamp, paket-paket ditulis ke dalam file output secara berurutan. Secara default, file output ditulis dalam format libpcap. Namun dengan menggunakan opsi mergecap, kita dapat menghasilkan output dalam berbagai format termasuk yang didukung oleh alat wireshark.

mergecap tersedia dalam paket wireshark. Pastikan paket wireshark/ethereal diinstal untuk menggunakan mergecap.

Gabungkan dua file dump menjadi satu file output_dump

Menggabungkan file input_dump1 dan input_dump2 dan menulis ke file output_dump.

# mergecap -v input_dump1 input_dump2 -w output_dump

 

Dalam contoh ini, input_dump2 berisi paket-paket yang diambil setelah input_dump1. Output_dump akan berisi paket intput_dump2 di awal diikuti oleh paket intput_dump1.

# mergecap input_dump1 input_dump2 -w output_dump -a

Mencetak file dump keluaran ke keluaran standar

Gabungkan dua file dump jaringan dan cetak output ke output standar alih-alih menulis ke file.

# mergecap -v input1_dump input2_dump -w -

Mencetak file keluaran dalam format enkapsulasi tertentu

Gunakan opsi -T, untuk mendapatkan file output dalam format enkapsulasi yang diinginkan seperti yang ditunjukkan di bawah ini.

# mergecap -v -T ether -w merge_cap capture1 capture2 capture3

3. Gabungkan paket dengan panjang tertentu

Dalam contoh ini, output_dump berisi paket dengan panjang maksimum 100 byte. 

# mergecap -v -s 100 dump1 dump2 dump3 -w output_dump

Tshark – Alat pengambilan paket

Tshark adalah alat yang ampuh untuk menangkap paket jaringan, yang dapat digunakan untuk menganalisis lalu lintas jaringan. Muncul dengan distribusi penganalisis jaringan wireshark.
 

Tangkap tangkapan jaringan secara terus-menerus

Contoh berikut akan menangkap paket jaringan secara terus menerus selama 60 detik. Setelah 60 detik penangkapan, itu akan berhenti secara otomatis. capture_out berisi paket-paket, yang diterbangkan dalam jaringan selama 60 detik terakhir.

# tshark -q -w capture_out -a duration:60

 
Pada contoh berikut paket akan dicetak di layar dan secara bersamaan akan ditulis ke dalam file output.

# tshark -S -q -w capture_out -a duration:10

Tangkap statistik jaringan menggunakan tshark

Untuk melihat berapa banyak paket yang mengalir dalam jaringan untuk interval tertentu, gunakan perintah berikut.

# tshark -q -w capture_duration1 -a duration:1 -z io,stat,1

Tangkap paket jaringan untuk host tertentu

Gunakan contoh berikut, untuk menangkap aliran paket untuk host tertentu (paket yang dikirim dan diterima). Dalam contoh ini, kita dapat melihat bahwa untuk setiap detik berapa banyak paket yang diterbangkan dalam jaringan untuk host 192.168.1.185

#  tshark -S -q -w capture_duration6 -a duration:6 -z io,stat,1,ip.addr==192.168.1.150
After capturing all the packets for 6 seconds duration, it will print the statistics as like the following,
145 packets dropped
19749 packets captured
IO Statistics
Interval: 1.000 secs
Column #0: ip.addr==192.168.1.185
|   Column #0
Time       	      |frames|  bytes
000.000-001.000    2733    545242
001.000-002.000    2991    583374
002.000-003.000    3310    650716
003.000-004.000    3236    641896
004.000-005.000    3518    690860
005.000-006.000    3310    654988
006.000-007.000     638    122812

Tangkap paket jaringan pada port tertentu

Contoh ini hanya menangkap paket ssh.

# tshark -f “tcp port 22” -w capture_out

Tangkap paket jaringan untuk durasi tertentu

Contoh berikut akan mengambil paket untuk durasi tertentu (5 detik), beralih ke file berikutnya ketika ukuran file pengambilan mencapai ukuran tertentu (1000KB).

# tshark -a filesize:1000 -a duration:5 -a files:5 -w ethcap1

Contoh nama file tangkapan keluaran dengan ukuran:

ethcap1_00001_20090216174203 -   1000K
ethcap1_00002_20090216174205 -  1000K
ethcap1_00003_20090216174207 -  835K

Perintah penangkapan tshark lainnya

Gunakan opsi -c, untuk menangkap paket hingga jumlah paket tertentu. Contoh berikut membuat file ethcap1 hanya dengan 10 paket.

# tshark -c 10  -w ethcap1

 

Gunakan opsi -r untuk membaca paket jaringan sebagai file terkompresi.

# tshark -r capture_dump.gz

 

Gunakan opsi -r, untuk hanya menampilkan jenis paket tertentu. Contoh berikut membuat file capture_dump hanya dengan paket rtp di penganalisa jaringan.

# tshark -R “rtp” -r capture_dump

 

Gunakan filter di bawah ini untuk menangkap paket tcp yang mengalir di port 1720. 

# tshark -f “tcp port 1720”

 
Contoh berikut akan menangkap paket yang datang baik ke port 1720 atau 1721. 

# tshark -f  “port 1720 or port 1721”	 -w capture_dump

 

Secara default, tshark akan menggunakan perangkat eth0 untuk melakukan pengambilan paket. Anda juga dapat menentukan adaptor ethernet tertentu menggunakan opsi -i seperti yang ditunjukkan di bawah ini.

# tshark -i eth1 -w -a duration:10 capture_dump

 

Artikel ini ditulis oleh Balakrishnan Mariyappan. Dia bekerja di bk Systems (p) Ltd, dan tertarik untuk berkontribusi pada open source. The Geek Stuff menyambut tips dan artikel tamu Anda.


Linux

  1. 6 opsi filter lalu lintas jaringan tcpdump

  2. Cara Memantau dan Mencatat Lalu Lintas Jaringan di Linux Menggunakan vnStat

  3. tcpdump – putar file tangkapan menggunakan -G, -W dan -C

  1. Bisakah saya membatasi pengguna (dan aplikasinya) ke satu antarmuka jaringan?

  2. Bagaimana cara menangkap semua paket yang masuk ke NIC bahkan paket itu bukan milik saya

  3. Meningkatkan kinerja TCP melalui jaringan gigabit dengan banyak koneksi dan lalu lintas paket kecil yang tinggi

  1. Pemecahan Masalah Jaringan Linux Dan Debugging?

  2. Tangkap paket dengan tcpdump

  3. Panduan Editcap:11 Contoh Untuk Menangani Dump Paket Jaringan Secara Efektif