Instalação + introdução ao Tshark no Ubuntu 20.04
Nesse artigo será apresentado o sniffer de rede chamado Tshark.
O tshark é uma ferramenta de interface de linha de comando (CLI) usada para capturar e analisar o tráfego de rede.
Pra efetuar a instalação:
$ sudo apt install tshark
Para uma visão geral sobre o Tshark:
$ sudo tshark -h
Capturar o tráfego de rede especificando uma interface:
$ sudo ip a
$ tshark -i enp0s3# Onde enp0s3 será minha interface de rede.
Exportar a saída do sniffer para o formato .pcap:
$ tshark -i enp0s3 -w teste.pcap
Para efetuar uma análise dos arquivos .pcap via CLI no Tshark:
$ tshark -i enp0s3 -r teste.pcap
Especificar um tempo em segundos para o total de captura:
$ tshark -i enp0s3 -a duration:1
Capturar um certo total de pacotes:
$ tshark -c 2 -i enp0s3
Listando as interfaces de rede disponíveis para capturar o tráfego de sua rede:
$ tshark -D
Capture apenas pacotes de um determinado IP:
$ tshark -i enp0s3 -f "host 192.168.1.4"
Agora pra concluir esse artigo, filtrar o sniffer por determinado protocolo de rede (tcp, udp, dns):
$ tshark -i enp0s3 -f “icmp”
Fontes de Referência:
O manual completo do tshark disponível no link: https://www.wireshark.org/docs/man-pages/tshark.html