Instalação + introdução ao Tshark no Ubuntu 20.04

Nesse artigo será apresentado o sniffer de rede chamado Tshark.

O tshark é uma ferramenta de interface de linha de comando (CLI) usada para capturar e analisar o tráfego de rede.

Pra efetuar a instalação:

$ sudo apt install tshark

Tshark instalado

Para uma visão geral sobre o Tshark:

$ sudo tshark -h

Descrição dos parâmetros

Capturar o tráfego de rede especificando uma interface:

$ sudo ip a

Minha interface de rede enp0s3

$ tshark -i enp0s3
# Onde enp0s3 será minha interface de rede.

Saída do comando tshark -i enp0s3

Exportar a saída do sniffer para o formato .pcap:

$ tshark -i enp0s3 -w teste.pcap

O arquivo teste.pcap será gerado no diretório especificado pelo parâmetro -w, por padrão será gerado no diretório atual.

Para efetuar uma análise dos arquivos .pcap via CLI no Tshark:

$ tshark -i enp0s3 -r teste.pcap

Fazendo a leitura dos pacotes no arquivo teste.pcap

Especificar um tempo em segundos para o total de captura:

$ tshark -i  enp0s3 -a duration:1

Após 1 segundos será interrompido a captura

Capturar um certo total de pacotes:

$ tshark -c 2 -i enp0s3

Pelo parâmetro -c se define a quantia de pacotes

Listando as interfaces de rede disponíveis para capturar o tráfego de sua rede:

$ tshark -D

Interfaces disponíveis

Capture apenas pacotes de um determinado IP:

$ tshark -i enp0s3 -f "host 192.168.1.4"

Pacotes vindo do ip 192.168.1.4

Agora pra concluir esse artigo, filtrar o sniffer por determinado protocolo de rede (tcp, udp, dns):

$ tshark -i enp0s3 -f “icmp”

Filtrando apenas o protocolo ICMP vindo de uma requisição do comando ping

Fontes de Referência:

O manual completo do tshark disponível no link: https://www.wireshark.org/docs/man-pages/tshark.html