메뉴 건너뛰기

Hello :0

Tshark이용한 패킷 확인

2016.07.07 09:31

Leekyu 조회 수:2579

https://hackertarget.com/tshark-tutorial-and-filter-examples/


파일용량이 크기 때문에 tshark와 같은 것을 이용

tshark -r "InvestigationExtraction.pcap" -Y "ip.src==213.198.95.149" -T fields -e http.request.uri

tshark -i wlan0 -Y 'http.request.method == POST and tcp contains "password"' | grep pasword

wireshark의 display 필터를 설정할때 필터종류가 많기때문에 햇갈릴 수 있다 이럴때는 gui의 필터 목록을 검색해서 하기도 한다

-T 는 출력 형식 일반적으로 우리는 분석할때 -e 옵션을 사용하고 필드를 지정한다.

그리고 아르고스와 awk 쉘스크립트를 이용하여 분석을 할 수도 있다.

 

-Y "frame.number==52" -x -nqz "follow,tcp,ascii,12"

 

https://www.wireshark.org/docs/man-pages/tshark.html

 

end