Panduan untuk Antarmuka Baris Perintah Wireshark tshark

Dalam tutorial sebelumnya untuk Wireshark, kami telah membahas topik dasar hingga tingkat lanjut. Pada artikel ini, kita akan memahami dan membahas antarmuka baris perintah untuk Wireshark, yaitu:.e., tshark. Versi terminal Wireshark mendukung opsi serupa dan sangat berguna ketika Graphical User Interface (GUI) tidak tersedia.

Meskipun antarmuka pengguna grafis, secara teoritis, jauh lebih mudah digunakan, tidak semua lingkungan mendukungnya, terutama lingkungan server dengan hanya opsi baris perintah. Oleh karena itu, pada suatu saat, sebagai administrator jaringan atau insinyur keamanan, Anda harus menggunakan antarmuka baris perintah. Penting untuk dicatat bahwa tshark terkadang digunakan sebagai pengganti tcpdump. Meskipun kedua alat tersebut hampir setara dalam fungsi penangkapan lalu lintas, tshark jauh lebih kuat.

Yang terbaik yang dapat Anda lakukan adalah menggunakan tshark untuk mengatur port di server Anda yang meneruskan informasi ke sistem Anda, sehingga Anda dapat menangkap lalu lintas untuk analisis menggunakan GUI. Namun, untuk saat ini, kita akan mempelajari cara kerjanya, apa atributnya, dan bagaimana Anda dapat memanfaatkannya sebaik mungkin.

Ketik perintah berikut untuk menginstal tshark di Ubuntu/Debian menggunakan apt-get:

[dilindungi email]:~$ sudo apt-get install tshark -y

Sekarang ketik tshark -bantuan untuk membuat daftar semua argumen yang mungkin dengan flag masing-masing yang dapat kita berikan ke perintah tshark.

[dilindungi email]:~$ tshark --help | kepala -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 dikemas sebagai 2.6.10-1~ubuntu18.04.0)
Buang dan analisis lalu lintas jaringan.
Lihat https://www.wireshark.org untuk informasi lebih lanjut.
Penggunaan: tshark [opsi]…
Menangkap antarmuka:
-saya nama atau idx antarmuka (def: non-loopback pertama)
-f filter paket dalam sintaks filter libpcap
-s panjang snapshot paket (def: maksimum yang sesuai)
-p jangan tangkap dalam mode promiscuous
-Saya menangkap dalam mode monitor, jika tersedia
-B ukuran buffer kernel (def: 2MB)
-kamu jenis lapisan tautan (def: sesuai pertama)
--tipe stempel waktu metode stempel waktu untuk antarmuka
-D cetak daftar antarmuka dan keluar
-L print list tipe link-layer iface dan exit
--list-time-stamp-types daftar cetak tipe timestamp untuk iface dan exit
Tangkap kondisi berhenti:

Anda dapat melihat daftar semua opsi yang tersedia. Pada artikel ini, kami akan membahas sebagian besar argumen secara rinci, dan Anda akan memahami kekuatan versi Wireshark berorientasi terminal ini.

Memilih Antarmuka Jaringan:

Untuk melakukan penangkapan dan analisis langsung dalam utilitas ini, pertama-tama kita perlu mencari tahu antarmuka kerja kita. Tipe tshark -D dan tshark akan mencantumkan semua antarmuka yang tersedia.

[dilindungi email]:~$ tshark -D
1. enp0s3
2. apa saja
3. lo (putar balik)
4. nflog
5. antrean
6. usbmon1
7. ciscodump (pengambilan jarak jauh Cisco)
8. randpkt (Pembuat paket acak)
9. sshdump (pengambilan jarak jauh SSH)
10. udpdump (pengambilan jarak jauh Pendengar UDP)

Perhatikan bahwa tidak semua antarmuka yang terdaftar akan berfungsi. Tipe ifconfig untuk menemukan antarmuka yang berfungsi di sistem Anda. Dalam kasus saya, itu enp0s3.

Tangkap Lalu Lintas:

Untuk memulai proses penangkapan langsung, kami akan menggunakan tshark perintah dengan “-saya” opsi untuk memulai proses pengambilan dari antarmuka kerja.

[dilindungi email]:~$ tshark -i enp0s3

Menggunakan Ctrl+C untuk menghentikan penangkapan langsung. Pada perintah di atas, saya telah menyalurkan lalu lintas yang ditangkap ke perintah Linux kepala untuk menampilkan beberapa paket pertama yang diambil. Atau Anda juga dapat menggunakan “-c ” sintaks untuk menangkap “n” jumlah paket.

[dilindungi email]:~$ tshark -i enp0s3 -c 5

Jika Anda hanya masuk tshark, secara default, itu tidak akan mulai menangkap lalu lintas di semua antarmuka yang tersedia juga tidak akan mendengarkan antarmuka kerja Anda. Sebaliknya, itu akan menangkap paket pada antarmuka pertama yang terdaftar.

Anda juga dapat menggunakan perintah berikut untuk memeriksa beberapa antarmuka:

[dilindungi email]:~$ tshark -i enp0s3 -i usbmon1 -i lo

Sementara itu, cara lain untuk menangkap lalu lintas secara langsung adalah dengan menggunakan nomor di samping antarmuka yang terdaftar.

[dilindungi email]:~$ tshark -i interface_number

Namun, dengan adanya banyak antarmuka, sulit untuk melacak nomor yang terdaftar.

Filter Tangkapan:

Filter pengambilan secara signifikan mengurangi ukuran file yang diambil. Tshark menggunakan sintaks Filter Paket Berkeley Filter -f “”, yang juga digunakan oleh tcpdump. Kami akan menggunakan opsi "-f" untuk hanya menangkap paket dari port 80 atau 53 dan menggunakan "-c" untuk menampilkan hanya 10 paket pertama.

[dilindungi email]:~$ tshark -i enp0s3 -f "port 80 atau port 53" -c 10

Menyimpan Lalu Lintas yang Ditangkap ke File:

Hal utama yang perlu diperhatikan pada tangkapan layar di atas adalah informasi yang ditampilkan tidak disimpan, sehingga kurang bermanfaat. Kami menggunakan argumen “-w” untuk menyimpan lalu lintas jaringan yang ditangkap ke tes_capture.pcap di /tmp map.

[dilindungi email]:~$ tshark -i enp0s3 -w /tmp/test_capture.pcap

Sedangkan, .pcap adalah ekstensi tipe file Wireshark. Dengan menyimpan file, Anda dapat meninjau dan menganalisis lalu lintas di mesin dengan GUI Wireshark nanti.

Ini adalah praktik yang baik untuk menyimpan file di /tmp karena folder ini tidak memerlukan hak eksekusi apa pun. Jika Anda menyimpannya ke folder lain, bahkan jika Anda menjalankan tshark dengan hak akses root, program akan menolak izin karena alasan keamanan.

Mari gali semua cara yang memungkinkan Anda dapat:

menerapkan batasan untuk menangkap data, sehingga keluar tshark atau otomatis menghentikan proses pengambilan, dan
keluarkan file Anda.

Parameter Berhenti Otomatis:

Anda dapat menggunakan “-Sebuah” parameter untuk memasukkan flag yang tersedia seperti ukuran file durasi dan file. Pada perintah berikut, kami menggunakan parameter autostop dengan durasi tandai untuk menghentikan proses dalam 120 detik.

[dilindungi email]:~$ tshark -i enp0s3 -a durasi:120 -w /tmp/test_capture.pcap

Demikian pula, jika Anda tidak ingin file Anda berukuran ekstra besar, ukuran file adalah tanda yang sempurna untuk menghentikan proses setelah beberapa batasan KB.

[dilindungi email]:~$ tshark -i enp0s3 -ukuran file:50 -w /tmp/test_capture.pcap

Yang paling penting, file flag memungkinkan Anda menghentikan proses pengambilan setelah sejumlah file. Tapi ini hanya bisa dilakukan setelah membuat banyak file, yang memerlukan eksekusi parameter lain yang berguna, ambil output.

Parameter Keluaran Tangkap:

Tangkap output, alias argumen ringbuffer “-b“, hadir dengan tanda yang sama dengan autostop. Namun, penggunaan/outputnya sedikit berbeda, i.e., bendera durasi dan ukuran file, karena memungkinkan Anda untuk beralih atau menyimpan paket ke file lain setelah mencapai batas waktu yang ditentukan dalam hitungan detik atau ukuran file.

Perintah di bawah ini menunjukkan bahwa kami menangkap lalu lintas melalui antarmuka jaringan kami enp0s3, dan tangkap lalu lintas menggunakan filter tangkap “-f” untuk tcp dan dns. Kami menggunakan opsi ringbuffer “-b” dengan a ukuran file tandai untuk menyimpan setiap ukuran file 15 Kb, dan juga menggunakan argumen autostop untuk menentukan jumlah file menggunakan file opsi sedemikian rupa sehingga menghentikan proses pengambilan setelah menghasilkan tiga file.

[dilindungi email]:~$ tshark -i enp0s3 -f "port 53 atau port 21" -b ukuran file:15 -a file:2 -w /tmp/test_capture.pcap

Saya telah membagi terminal saya menjadi dua layar untuk secara aktif memantau pembuatan tiga layar .file pcap.

Pergi ke Anda /tmp folder dan gunakan perintah berikut di terminal kedua untuk memantau pembaruan setelah setiap satu detik.

[dilindungi email]:~$ watch -n 1 "ls -lt"

Sekarang, Anda tidak perlu menghafal semua bendera ini. Sebagai gantinya, ketikkan perintah tshark -i enp0s3 -f "port 53 atau port 21" -b ukuran file:15 -a di terminal Anda dan tekan tab. Daftar semua bendera yang tersedia akan tersedia di layar Anda.

[dilindungi email]:~$ tshark -i enp0s3 -f "port 53 atau port 21" -b ukuran file:15 -a
durasi: file: ukuran file:
[dilindungi email]:~$ tshark -i enp0s3 -f "port 53 atau port 21" -b ukuran file:15 -a

Bacaan .File pcap:

Yang terpenting, Anda dapat menggunakan "-r” parameter untuk membaca test_capture.file pcap dan pipa ke kepala perintah.

[dilindungi email]:~$ tshark -r /tmp/test_capture.pcap | kepala

Informasi yang ditampilkan dalam file keluaran bisa sedikit berlebihan. Untuk menghindari detail yang tidak perlu dan mendapatkan pemahaman yang lebih baik tentang alamat IP tujuan tertentu, kami menggunakan -r pilihan untuk membaca file paket yang diambil dan menggunakan aku p.tambahan filter untuk mengarahkan output ke file baru dengan "-w" pilihan. Ini akan memungkinkan kami untuk meninjau file dan menyempurnakan analisis kami dengan menerapkan filter lebih lanjut.

[dilindungi email]:~$ tshark -r /tmp/test_capture.pcap -w /tmp/redirected_file.pcap ip.dst==216.58.209.142
[dilindungi email]:~$ tshark -r /tmp/redirected_file.pcap|kepala
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Data Aplikasi
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Data Aplikasi
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Data Aplikasi
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Data Aplikasi
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Data Aplikasi
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [Segmen TCP dari PDU yang dipasang kembali]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Data Aplikasi
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Data Aplikasi
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Data Aplikasi
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Data Aplikasi

Memilih Bidang untuk Dikeluarkan:

Perintah di atas menampilkan ringkasan setiap paket yang mencakup berbagai bidang header. Tshark juga memungkinkan Anda untuk melihat bidang tertentu. Untuk menentukan bidang, kami menggunakan “-bidang T” dan ekstrak bidang sesuai pilihan kami.

Setelah "-bidang T”, kami menggunakan opsi “-e” untuk mencetak bidang/filter yang ditentukan. Di sini, kita dapat menggunakan Filter Tampilan Wireshark.

[dilindungi email]:~$ tshark -r /tmp/test_capture.pcap -T bidang -e bingkai.nomor -e ip.src -e ip.dst | kepala
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Tangkap Data Jabat Tangan Terenkripsi:

Sejauh ini, kita telah belajar menyimpan dan membaca file keluaran menggunakan berbagai parameter dan filter. Sekarang kita akan belajar bagaimana HTTPS menginisialisasi session tshark. Situs web yang diakses melalui HTTPS alih-alih HTTP memastikan transmisi data yang aman atau terenkripsi melalui kabel. Untuk transmisi yang aman, enkripsi Transport Layer Security memulai proses jabat tangan untuk memulai komunikasi antara klien dan server.

Mari kita tangkap dan pahami jabat tangan TLS menggunakan tshark. Bagi terminal Anda menjadi dua layar dan gunakan a wget perintah untuk mengambil file html dari https://www.wireshark.organisasi.

[dilindungi email]:~$ wget https://www.wireshark.organisasi
--2021-01-09 18:45:14-- https://www.wireshark.organisasi/
Menghubungkan ke www.wireshark.org (www.wireshark.org)|104.26.10.240|:443… terhubung.
Permintaan HTTP terkirim, menunggu tanggapan… 206 Konten Sebagian
Panjang: 46892 (46K), 33272 (32K) tersisa [teks/html]
Menyimpan ke: 'indeks.html'
indeks.html 100%[++++++++++++++================================ ==>] 45.79K 154KB/dtk dalam 0.2 detik
2021-01-09 18:43:27 (154 KB/dtk) - 'indeks.html' disimpan [46892/46892]

Di layar lain, kita akan menggunakan tshark untuk menangkap 11 paket pertama dengan menggunakan tombol “-c"parameter". Saat melakukan analisis, stempel waktu penting untuk merekonstruksi peristiwa, oleh karena itu kami menggunakan “-t iklan”, sedemikian rupa sehingga tshark menambahkan stempel waktu di samping setiap paket yang diambil. Terakhir, kami menggunakan perintah host untuk menangkap paket dari host bersama alamat IP.

Jabat tangan ini sangat mirip dengan jabat tangan TCP. Segera setelah jabat tangan tiga arah TCP berakhir dalam tiga paket pertama, paket keempat hingga kesembilan mengikuti ritual jabat tangan yang agak mirip dan menyertakan string TLS untuk memastikan komunikasi terenkripsi antara kedua belah pihak.

[dilindungi email]:~$ tshark -i enp0s3 -c 11 -t ad host 104.26.10.240
Menangkap di 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq=0 Menang=64240 Len=0 MSS=1460 SACK_PERM=1 TSval=2488996311 TSecr=0 WS=128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq=0 Ack=1 Menang=65535 Len=0 MSS=1460
3 2021-01-09 18:45:14.28020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=1 Ack=1 Menang=64240 Len=0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Klien Halo
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq=1 Ack=320 Menang=65535 Len=0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Server Halo, Ubah Spesifik Cipher
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=320 Ack=1413 Menang=63540 Len=0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Data Aplikasi
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq=320 Ack=2519 Menang=63540 Len=0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Ubah Spesifik Cipher, Data Aplikasi
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq=2519 Ack=400 Menang=65535 Len=0
11 paket ditangkap

Melihat Seluruh Paket:

Satu-satunya kelemahan dari utilitas baris perintah adalah tidak memiliki GUI, karena menjadi sangat berguna ketika Anda perlu mencari banyak lalu lintas internet, dan juga menawarkan Panel Paket yang menampilkan semua detail paket dalam sebuah instan. Namun, masih mungkin untuk memeriksa paket dan membuang seluruh informasi paket yang ditampilkan di Panel Paket GUI.

Untuk memeriksa seluruh paket, kami menggunakan perintah ping dengan opsi "-c" untuk menangkap satu paket.

[dilindungi email]:~$ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56(84) byte data.
64 byte dari 104.26.10.240: icmp_seq=1 ttl=55 waktu=105 ms
--- 104.26.10.240 statistik ping ---
1 paket terkirim, 1 diterima, 0% paket hilang, waktu 0 ms
rtt min/rata-rata/maks/mdev = 105.095/105.095/105.095/0.000 ms

Di jendela lain, gunakan perintah tshark dengan flag tambahan untuk menampilkan seluruh detail paket. Anda dapat melihat berbagai bagian, menampilkan rincian Frames, Ethernet II, IPV, dan ICMP.

[dilindungi email]:~$ tshark -i enp0s3 -c 1 -V host 104.26.10.240
Bingkai 1: 98 byte pada kabel (784 bit), 98 byte ditangkap (784 bit) pada antarmuka 0
Id antarmuka: 0 (enp0s3)
Nama antarmuka: enp0s3
Jenis enkapsulasi: Ethernet (1)
Waktu Kedatangan: 9 Jan 2021 21:23:39.167581606 PKT
[Pergeseran waktu untuk paket ini: 0.00000000 detik]
Waktu Zaman: 1610209419.167581606 detik
[Delta waktu dari bingkai yang diambil sebelumnya: 0.00000000 detik]
[Waktu delta dari bingkai yang ditampilkan sebelumnya: 0.00000000 detik]
[Waktu sejak referensi atau bingkai pertama: 0.00000000 detik]
Nomor Bingkai: 1
Panjang Bingkai: 98 byte (784 bit)
Panjang Tangkapan: 98 byte (784 bit)
[Bingkai ditandai: Salah]
[Bingkai diabaikan: Salah]
[Protokol dalam bingkai: eth:ethertype:ip:icmp:data]
Ethernet II, Src: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Tujuan: RealtekU_12:35:02 (52:54:00:12:35:02)
Alamat: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG bit: Alamat yang dikelola secara lokal (ini BUKAN default pabrik)
… 0… = IG bit: Alamat individu (unicast)
Sumber: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Alamat: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Id antarmuka: 0 (enp0s3)
Nama antarmuka: enp0s3
Jenis enkapsulasi: Ethernet (1)
Waktu Kedatangan: 9 Jan 2021 21:23:39.167581606 PKT
[Pergeseran waktu untuk paket ini: 0.00000000 detik]
Waktu Zaman: 1610209419.167581606 detik
[Delta waktu dari bingkai yang diambil sebelumnya: 0.00000000 detik]
[Waktu delta dari bingkai yang ditampilkan sebelumnya: 0.00000000 detik]
[Waktu sejak referensi atau bingkai pertama: 0.00000000 detik]
Nomor Bingkai: 1
Panjang Bingkai: 98 byte (784 bit)
Panjang Tangkapan: 98 byte (784 bit)
[Bingkai ditandai: Salah]
[Bingkai diabaikan: Salah]
[Protokol dalam bingkai: eth:ethertype:ip:icmp:data]
Ethernet II, Src: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6), Dst: RealtekU_12:35:02 (52:54:00:12:35:02)
Tujuan: RealtekU_12:35:02 (52:54:00:12:35:02)
Alamat: RealtekU_12:35:02 (52:54:00:12:35:02)
… 1… = LG bit: Alamat yang dikelola secara lokal (ini BUKAN default pabrik)
… 0… = IG bit: Alamat individu (unicast)
Sumber: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
Alamat: PcsCompu_17:fc:a6 (08:00:27:17:fc:a6)
… 0… = LG bit: Alamat unik global (default pabrik)
… 0… = IG bit: Alamat individu (unicast)
Jenis: IPv4 (0x0800)
Protokol Internet Versi 4, Src: 10.0.2.15, Hst: 104.26.10.240
0100… = Versi: 4
… 0101 = Panjang Tajuk: 20 byte (5)
Bidang Layanan Diferensiasi: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = Titik Kode Layanan yang Dibedakan: Default (0)
… 00 = Pemberitahuan Kemacetan Eksplisit: Transportasi Tidak Berkemampuan ECN (0)
Panjang Total: 84
Identifikasi: 0xcc96 (52374)
Bendera: 0x4000, Jangan dipecah
0… = Bit yang dicadangkan: Tidak disetel
.1… = Jangan terpecah: Tetapkan
… 0… = Lebih banyak fragmen: Tidak disetel
… 0 0000 0000 0000 = Fragmen offset: 0
Waktu untuk hidup: 64
Protokol: ICMP (1)
Checksum header: 0xeef9 [validasi dinonaktifkan]
[Status checksum tajuk: Belum diverifikasi]
Sumber: 10.0.2.15
Tujuan: 104.26.10.240
Protokol Pesan Kontrol Internet
Jenis: 8 (Permintaan gema (ping))
Kode: 0
Checksum: 0x0cb7 [benar]
[Status Checksum: Baik]
Pengenal (BE): 5038 (0x13ae)
Pengenal (LE): 44563 (0xae13)
Nomor urut (BE): 1 (0x0001)
Nomor urut (LE): 256 (0x0100)
Stempel waktu dari data icmp: 9 Jan 2021 21:23:39.000000000 PKT
[Stempel waktu dari data icmp (relatif): 0.167581606 detik]
Data (48 byte)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"#$%&'
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 ()*+,-./01234567
Data: 918e020000000000010111213141516171891a1b1c1d1e1f…
[Panjang: 48]

Kesimpulan:

Aspek yang paling menantang dari analisis paket adalah menemukan informasi yang paling relevan dan mengabaikan bit yang tidak berguna. Meskipun antarmuka grafis mudah, mereka tidak dapat berkontribusi pada analisis paket jaringan otomatis. Dalam artikel ini, Anda telah mempelajari parameter tshark yang paling berguna untuk menangkap, menampilkan, menyimpan, dan membaca file lalu lintas jaringan.

Tshark adalah utilitas yang sangat berguna yang membaca dan menulis file tangkapan yang didukung oleh Wireshark. Kombinasi filter tampilan dan tangkapan banyak berkontribusi saat mengerjakan kasus penggunaan tingkat lanjut. Kami dapat memanfaatkan kemampuan tshark untuk mencetak bidang dan memanipulasi data sesuai kebutuhan kami untuk analisis mendalam. Dengan kata lain, ia mampu melakukan hampir semua yang dilakukan Wiresharkark. Yang terpenting, ini sempurna untuk mengendus paket dari jarak jauh menggunakan ssh, yang merupakan topik untuk hari lain.