Wireshark 命令行功能
统计信息
TShark 是 Wireshark 的命令行版本。除了共享相同的显示过滤器之外,TShark 还可以实现 Wireshark 的几个功能,下文将对此进行详细介绍。
| 参数 | 功能 | 说明 | 示例 |
|---|---|---|---|
--color |
彩色输出 | 使用类似 Wireshark 的彩色高亮显示数据包 | tshark --color |
-z |
统计信息 | 显示各种统计结果(协议、会话、端点等) | tshark -z help |
-q |
静默模式 | 不显示数据包详情,只显示统计结果 | tshark -q -z io,phs |
彩色输出
TShark 可以提供彩色输出,帮助分析人员加快分析速度并快速发现异常情况。颜色选项可通过参数激活 --color,如下所示。
统计数据
协议层级
协议层级结构帮助分析人员以树状视图的形式,根据数据包编号查看所使用的协议、帧编号和数据包大小 。由于它提供了捕获信息的摘要,因此可以帮助分析人员确定关注事件的重点。使用参数-z io,phs -q可以查看协议层级结构。
总体结构表示数据包从二层以太网开始,一层层往上解析eth → ip → tcp / udp → http / dns。
- Ethernet 层(链路层)一共有 43 个数据帧,总大小 25091 字节
- IP 层(网络层)43 个 IP 包,和 eth 一样数量,说明所有帧都成功解析成 IP 包
- 传输层(TCP)41个 TCP 包,总流量 24 KB
- 应用层 (http)4 个 HTTP 相关数据包,约 2KB 数据
- UDP + DNS有 2 次 DNS 查询,访问了某些域名,系统帮你解析 IP
查看完整数据包树后,可以像下面这样专注于特定协议 。udp 在筛选器中添加关键字即可聚焦于该协议。
数据包长度树
数据包长度树(Packet Length Tree)状视图有助于分析人员以树状图的形式概览数据包大小的总体分布情况 。它使分析人员能够一目了然地发现异常大或异常小的数据包!使用参数-z plen,tree -q即可查看数据包长度树状图。
端点
端点统计视图可帮助分析人员概览各个端点 。它还会显示与每个端点关联的数据包数量 。使用这些 -z endpoints,ip -q参数可以查看 IP 端点。
| 字段 | 含义 |
|---|---|
| Packets | 该 IP 参与的总包数(发送+接收) |
| Bytes | 该 IP 参与的总字节数 |
| Tx Packets | 发送的数据包数量 |
| Tx Bytes | 发送的字节数 |
| Rx Packets | 接收的数据包数量 |
| Rx Bytes | 接收的字节数 |
例如,第一行 IP地址:145.254.160.237;总共参与:43个数据包,总流量:25091字节;发送:20个包2323字节;接收:23个包22768字节
最常用的筛选条件
| 过滤器 | 作用 | 说明 | 示例 |
|---|---|---|---|
eth |
Ethernet addresses | 过滤以太网(MAC)地址 | eth.addr == 00:11:22:33:44:55 |
ip |
IPv4 addresses | 过滤 IPv4 地址 | ip.addr == 10.10.10.10 |
ipv6 |
IPv6 addresses | 过滤 IPv6 地址 | ipv6.addr == 2001:db8::1 |
tcp |
TCP addresses | 过滤 TCP 流量(IPv4/IPv6均可) | tcp.port == 80 |
udp |
UDP addresses | 过滤 UDP 流量(IPv4/IPv6均可) | udp.port == 53 |
wlan |
IEEE 802.11 addresses | 过滤 Wi-Fi(802.11)地址 | wlan.addr == aa:bb:cc:dd:ee:ff |
会话
会话视图可帮助分析人员概览两个特定连接点之间的流量 。使用这些-z conv,ip -q参数可以查看 IP 会话。
专家信息
专家信息视图可帮助分析人员查看Wireshark 提供的自动注释 。使用参数 -z expert -q 即可查看专家信息。
特定协议的专用过滤器
IPv4 和 IPv6
此选项提供 IPv4 和 IPv6 数据包的统计信息,如下所示。协议统计信息有助于分析人员根据协议类型概览数据包分布情况 。可以使用参数筛选可用协议类型并查看详细信息-z ptype,tree -q。
markdown
$ tshark -r demo.pcapng -z ptype,tree -q
==================================================================================================================================
IPv4 Statistics/IP Protocol Types:
Topic / Item Count Average Min val Max val Rate (ms) Percent Burst rate Burst start
----------------------------------------------------------------------------------------------------------------------------------
IP Protocol Types 43 0.0014 100% 0.0400 2.554
TCP 41 0.0013 95.35% 0.0300 0.911
UDP 2 0.0001 4.65% 0.0100 2.554
----------------------------------------------------------------------------------------------------------------------------------在单个视图中查看主机摘要也很有用。可以使用以下参数筛选所有 IP 地址。
- IPv4:
-z ip_hosts,tree -q - IPv6:
-z ipv6_hosts,tree -q
sql
$ tshark -r demo.pcapng -z ip_hosts,tree -q
=================================================================================================================================
IPv4 Statistics/All Addresses:
Topic / Item Count Average Min val Max val Rate (ms) Percent Burst rate Burst start
---------------------------------------------------------------------------------------------------------------------------------
All Addresses 43 0.0014 100% 0.0400 2.554
145.254.160.237 43 0.0014 100.00% 0.0400 2.554
65.208.228.223 34 0.0011 79.07% 0.0300 0.911
216.239.59.99 7 0.0002 16.28% 0.0300 3.916
145.253.2.203 2 0.0001 4.65% 0.0100 2.554
---------------------------------------------------------------------------------------------------------------------------------对于复杂案例和深入分析,需要通过关注源地址和目标地址来关联分析结果。可以使用以下参数筛选所有源地址和目标地址。
- IPv4 :
-z ip_srcdst,tree -q - IPv6 :
-z ipv6_srcdst,tree -q
erlang
$ tshark -r demo.pcapng -z ip_srcdst,tree -q
================================================================================================================================================
IPv4 Statistics/Source and Destination Addresses:
Topic / Item Count Average Min val Max val Rate (ms) Percent Burst rate Burst start
------------------------------------------------------------------------------------------------------------------------------------------------
Source IPv4 Addresses 43 0.0014 100% 0.0400 2.554
145.254.160.237 20 0.0007 46.51% 0.0200 0.911
65.208.228.223 18 0.0006 41.86% 0.0200 2.554
216.239.59.99 4 0.0001 9.30% 0.0200 3.916
145.253.2.203 1 0.0000 2.33% 0.0100 2.914
Destination IPv4 Addresses 43 0.0014 100% 0.0400 2.554
145.254.160.237 23 0.0008 53.49% 0.0200 2.554
65.208.228.223 16 0.0005 37.21% 0.0200 0.911
216.239.59.99 3 0.0001 6.98% 0.0100 2.984
145.253.2.203 1 0.0000 2.33% 0.0100 2.554
------------------------------------------------------------------------------------------------------------------------------------------------在某些情况下,需要重点关注出站流量,以发现所使用的服务和端口。可以使用以下参数过滤所有出站流量。
- IPv4 :
-z dests,tree -q - IPv6 :
-z ipv6_dests,tree -q
erlang
$ tshark -r demo.pcapng -z dests,tree -q
=======================================================================================================================================
IPv4 Statistics/Destinations and Ports:
Topic / Item Count Average Min val Max val Rate (ms) Percent Burst rate Burst start
---------------------------------------------------------------------------------------------------------------------------------------
Destinations and Ports 43 0.0014 100% 0.0400 2.554
145.254.160.237 23 0.0008 53.49% 0.0200 2.554
TCP 22 0.0007 95.65% 0.0200 2.554
3372 18 0.0006 81.82% 0.0200 2.554
3371 4 0.0001 18.18% 0.0200 3.916
UDP 1 0.0000 4.35% 0.0100 2.914
3009 1 0.0000 100.00% 0.0100 2.914
65.208.228.223 16 0.0005 37.21% 0.0200 0.911
TCP 16 0.0005 100.00% 0.0200 0.911
80 16 0.0005 100.00% 0.0200 0.911
216.239.59.99 3 0.0001 6.98% 0.0100 2.984
TCP 3 0.0001 100.00% 0.0100 2.984
80 3 0.0001 100.00% 0.0100 2.984
145.253.2.203 1 0.0000 2.33% 0.0100 2.554
UDP 1 0.0000 100.00% 0.0100 2.554
53 1 0.0000 100.00% 0.0100 2.554
---------------------------------------------------------------------------------------------------------------------------------------DNS
通过汇总可用信息来提供DNS 数据包的统计信息 。可以使用-z dns,tree -q参数筛选数据包并查看详细信息。它告诉你:你查了哪些域名(DNS Query);每个域名解析了多少次;查询类型;DNS 流量整体结构。
erlang
$ tshark -r demo.pcapng -z dns,tree -q
==============================================================================================================================================
DNS:
Topic / Item Count Average Min val Max val Rate (ms) Percent Burst rate Burst start
----------------------------------------------------------------------------------------------------------------------------------------------
Total Packets 2 0.0055 100% 0.0100 2.554
rcode 2 0.0055 100.00% 0.0100 2.554
No error 2 0.0055 100.00% 0.0100 2.554
opcodes 2 0.0055 100.00% 0.0100 2.554
Standard query 2 0.0055 100.00% 0.0100 2.554
Query/Response 2 0.0055 100.00% 0.0100 2.554
Response 1 0.0028 50.00% 0.0100 2.914
Query 1 0.0028 50.00% 0.0100 2.554
Query Type 2 0.0055 100.00% 0.0100 2.554
A (Host Address) 2 0.0055 100.00% 0.0100 2.554 - -
...
----------------------------------------------------------------------------------------------------------------------------------------------HTTP
此选项提供 HTTP 数据包统计信息 ,包括负载分布、请求、数据包和状态信息汇总。可以使用以下参数筛选数据包并查看详细信息。它告诉你:谁在提供网页/HTTP 服务,以及你访问了哪些域名
- HTTP 数据包和状态计数器:
-z http,tree -q - HTTP2 数据包和状态计数器:
-z http2,tree -q - 负载分布:
-z http_srv,tree -q - 请求:
-z http_req,tree -q - 请求和响应:
-z http_seq,tree -q
erlang
$ tshark -r demo.pcapng -z http,tree -q
=======================================================================================================================================
HTTP/Packet Counter:
Topic / Item Count Average Min val Max val Rate (ms) Percent Burst rate Burst start
---------------------------------------------------------------------------------------------------------------------------------------
Total HTTP Packets 4 0.0010 100% 0.0100 0.911
HTTP Response Packets 2 0.0005 50.00% 0.0100 3.956
2xx: Success 2 0.0005 100.00% 0.0100 3.956
200 OK 2 0.0005 100.00% 0.0100 3.956
???: broken 0 0.0000 0.00% - -
...
---------------------------------------------------------------------------------------------------------------------------------------流、对象和凭据
流
此选项可帮助分析人员像使用 Wireshark 一样跟踪流量。查询结构如下表所示。
| 主要参数 | 协议 | 查看模式 | 流编号 | 附加参数 |
|---|---|---|---|---|
-z follow |
TCP | ASCII | 0 / 1 / 2 / 3 ... | -q |
| UDP | HEX | |||
| HTTP | ||||
| HTTP2 |
注意: 数据流从"0"开始。 可以使用以下参数过滤数据包并跟踪数据流。
- TCP流媒体:
-z follow,tcp,ascii,0 -q - UDP 流:
-z follow,udp,ascii,0 -q - HTTP 流:
-z follow,http,ascii,0 -q
yaml
$ tshark -r demo.pcapng -z follow,tcp,ascii,1 -q
===================================================================
Follow: tcp,ascii
Filter: tcp.stream eq 1
Node 0: 145.254.160.237:3371
Node 1: 216.239.59.99:80
721
GET /pagead/ads?client=ca-pub-2309191948673629&random=1084443430285&lmt=1082467020&format=468x60_as&output=html&url=http%3A%2F%2Fwww.ethereal.com%2Fdownload.html&color_bg=FFFFFF&color_text=333333&color_link=000000&color_url=666633&color_border=666633 HTTP/1.1
Host: pagead2.googlesyndication.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.6) Gecko/20040113
Accept: text/xml,application/xml,application/xhtml+xml,text/html;q=0.9,text/plain;q=0.8,image/png,image/jpeg,image/gif;q=0.2,*/*;q=0.1
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 300
Connection: keep-alive
Referer: http://www.ethereal.com/download.html
1430
HTTP/1.1 200 OK
P3P: policyref="http://www.googleadservices.com/pagead/p3p.xml", CP="NOI DEV PSA PSD IVA PVD OTP OUR OTR IND OTC"
Content-Type: text/html; charset=ISO-8859-1
Content-Encoding: gzip
Server: CAFE/1.0
Cache-control: private, x-gzip-ok=""
Content-length: 1272
Date: Thu, 13 May 2004 10:17:14 GMT
...........W.s.8..~...mI....y..1y..Mz..7.O7.%.....d.M.....p d.....a...v...{...~/...{JO9..~n4~...6....(.,.Tv.e.Sr.mL.8K..-
..m..Y<hF.3.4%....S...C...A..X.....x*.u.k,...1.y...ZK....t.+U.....mv....3.......2.*.,...Fy..i...d..:.......4..B..t%..L..9..-$B.]...m1...X.l.(.AL.f.....dX..KAh....Q......p$u.=1..;D...'.!%...Bw..{.Y/T...<...GY9J....?;.ww...Ywf..... >6..Ye.X..H_@.X.YM.$......#:.....D..~O..STrt..,4....H9W..!E.....&.X.=..P9..a...<...-.O.l.-m....h..p7.(O?.a..:..-knhie...
.q.ZU....#....ps..g...p.u.T...`.bp.d.B.r....H...@........L..T.#!Cj.b.l.l....a..........,drp.4..........:aj.....p.H...=......7z...M.....w...y`....In.p...........'.0hnp'..T*.@/.w..@5<..(..{5@_ ../.......}r.........=K....J...qcbX..}.Q.... .>.R....<.......b...sH.u.R...T.>.x.J.+.tb).L...U.(...>.........bOO.....m..OP.o.F'L..
....m..(:m.0.h..A].eBj.......
160
)...$.P.+-...J.yQ\.v.r..m..j..h...+.%@..yP....o..%
..g.A.x..;.M..6./...{..9....H.W.a.qz...O.....B..
===================================================================导出对象
此选项可帮助分析人员从 DICOM 文件中提取文件。HTTP,IMF、SMB 和 TFTP。查询结构如下表所示。
| 主要参数 | 协议 | 目标文件夹 | 附加参数 |
|---|---|---|---|
--export-objects |
DICOM | 保存文件的目录 | -q |
| HTTP | 指定导出目录 | ||
| IMF | |||
| SMB | |||
| TFTP |
可以使用以下参数过滤数据包并跟踪数据流。
--export-objects http,/home/ubuntu/Desktop/extracted-by-tshark -q
javascript
$ tshark -r demo.pcapng --export-objects http,/home/ubuntu/Desktop/extracted-by-tshark -q证书
此选项可帮助分析人员检测和收集 FTP 中的明文凭据。HTTP支持 IMAP、POP 和 SMTP 协议。可以使用以下参数过滤数据包并查找明文凭据。
-z credentials -q
yaml
$ tshark -r credentials.pcap -z credentials -q
===================================================================
Packet Protocol Username Info
------ -------- -------- --------
72 FTP admin Username in packet: 37
80 FTP admin Username in packet: 47
83 FTP admin Username in packet: 54
118 FTP admin Username in packet: 93
123 FTP admin Username in packet: 97
129 FTP admin Username in packet: 101
136 FTP admin Username in packet: 106
150 FTP admin Username in packet: 115
156 FTP admin Username in packet: 120
167 FTP administrator Username in packet: 133
207 FTP administrator Username in packet: 170
220 FTP administrator Username in packet: 184
230 FTP administrator Username in packet: 193
250 FTP administrator Username in packet: 222
264 FTP administrator Username in packet: 235
274 FTP administrator Username in packet: 243
286 FTP administrator Username in packet: 254
288 FTP administrator Username in packet: 258
305 FTP administrator Username in packet: 276
312 FTP administrator Username in packet: 279
349 FTP administrator Username in packet: 314包含、匹配和提取字段
tshark 支持 Wireshark 的高级过滤器(contains / matches ),用于更精细的包分析,当默认过滤条件不够用时,可以用 contains 和 matches 做"高级内容搜索"。
| Filter | 作用 | 匹配方式 | 大小写 | 特点 | 类比 |
|---|---|---|---|---|---|
| Contains | 在数据包中查找某个值 | 字符串包含 | ❗区分大小写 | 简单、快速、精确找字面内容 | 类似 Ctrl+F |
| Matches | 在数据包中查找模式 | 正则表达式(regex) | ❗不区分大小写 | 强大、灵活,可模糊匹配复杂规则 | 类似高级搜索 |
提取字段
tshark 的一个非常重要功能: 字段提取(Field Extraction)------把数据包里的"指定字段"单独拿出来显示
| Main Filter | Target Field | Show Field Name |
|---|---|---|
-T fields |
-e <field name> |
-E header=y |
ini
$ tshark -r demo.pcapng -T fields -e ip.src -e ip.dst -E header=y -c 5
ip.src ip.dst
145.254.160.237 65.208.228.223
65.208.228.223 145.254.160.237
145.254.160.237 65.208.228.223
145.254.160.237 65.208.228.223
65.208.228.223 145.254.160.237HTTP 字段速查表
| 字段 | 说明 |
|---|---|
http.request |
HTTP 请求 |
http.request.method |
GET / POST / PUT |
http.request.uri |
请求路径 |
http.host |
域名 |
http.user_agent |
客户端信息 |
http.cookie |
Cookie |
http.referer |
来源页面 |
http.server |
服务器 |
http.file_data |
数据正文(payload) |
DNS 字段速查表
| 字段 | 说明 |
|---|---|
dns |
所有 DNS 流量 |
dns.qry.name |
查询域名 |
dns.qry.type |
查询类型(A/AAAA/MX) |
dns.qry.class |
查询类别 |
dns.a |
IPv4 解析结果 |
dns.aaaa |
IPv6 解析结果 |
dns.cname |
别名记录 |
FTP 字段速查表
| 字段 | 说明 |
|---|---|
ftp |
所有 FTP 流量 |
ftp.request.command |
FTP 命令(USER/PASS/RETR) |
ftp.request.arg |
命令参数 |
ftp.response.code |
返回码 |
ftp.request.command == "USER" |
用户名 |
ftp.request.command == "PASS" |
密码 |
ICMP 字段速查表
| 字段 | 说明 |
|---|---|
icmp |
所有 ICMP |
icmp.type |
类型 |
icmp.code |
子类型 |
icmp.seq |
序列号 |
筛选条件:"contains"
| Filter | contains |
|---|---|
| 类型 | 比较运算符 |
| 描述 | 在数据包中搜索值。它区分大小写,并通过聚焦于特定字段提供类似于"查找"选项的功能。 |
| 例子 | 查找所有"Apache"服务器。 |
| 工作流程 | 列出所有"server"字段包含"Apache"关键字的HTTP数据包。 |
| 用法 | http.server contains "Apache" |
ruby
$ tshark -r demo.pcapng -Y 'http.server contains Apache'
38 4.846969 65.208.228.223 ? 145.254.160.237 HTTP/XML 478 HTTP/1.1 200 OK 筛选条件:"match"
| Filter | match | |
|---|---|---|
| 类型 | 比较运算符 | |
| 描述 | 搜索符合正则表达式模式的内容。它不区分大小写,但复杂的查询会有一定的误差范围。 | |
| 例子 | 查找所有 .php 和 .html 页面。 | |
| 工作流程 | 列出所有 HTTP 请求方法字段与关键字"GET"或"POST"匹配的数据包。 | |
| 用法 | `http.request.method matches "(GET | POST)"`" |
sql
$ tshark -r demo.pcapng -Y 'http.request.method matches "(GET|POST)"'
4 0.911310 145.254.160.237 ? 65.208.228.223 HTTP 533 GET /download.html HTTP/1.1
18 2.984291 145.254.160.237 ? 216.239.59.99 HTTP 775 GET /pagead/ads?client=ca-pub-2309191948673629&random=1084443430285&lmt=1082467020&format=468x60_as&output=html&url=http%3A%2F%2Fwww.ethereal.com%2Fdownload.html&color_bg=FFFFFF&color_text=333333&color_link=000000&color_url=666633&color_border=666633 HTTP/1.1
$ tshark -r demo.pcapng -Y 'http.request.method matches "(GET|POST)"' -T fields -e ip.src -e ip.dst -e http.request.method -E header=y
ip.src ip.dst http.request.method
145.254.160.237 65.208.228.223 GET
145.254.160.237 216.239.59.99 GET提取信息
在调查案件时,安全分析师应该知道如何提取主机名。DNS在查看统计数据并制定调查计划后,可以使用查询和用户代理来快速发现潜在问题。
提取主机名
r
$ shark -r hostnames.pcapng -T fields -e dhcp.option.hostname
92-rkd
92-rkd
T3400
T3400
60-alfb-sec2
60-alfb-sec2当存在多个重复值时,输出难以管理。经验丰富的分析师应该知道如何使用 Linux 原生工具/实用程序来管理和组织命令行输出,如下所示。
shell
$ tshark -r hostnames.pcapng -T fields -e dhcp.option.hostname | awk NF | sort -r | uniq -c | sort -r
26 202-ac
18 92-rkd
14 93-sts-sec
12 prus-pc
10 90-tasd-sec
10 60-alfb-sec2现在输出结果已整理完毕,可以进行处理/使用了。查询逻辑如下所述。
| Query | Purpose |
|---|---|
tshark -r hostnames.pcapng -T fields -e dhcp.option.hostname |
主查询。 提取DHCP主机名值。 |
awk NF |
删除空行。 |
sort -r |
在处理值之前,先递归排序。 |
uniq -c |
显示唯一值,但计算并显示出现次数。 |
sort -r |
最终排序过程。 按出现次数从高到低显示输出/结果。 |
提取 DNS 查询
bash
$ tshark -r dns-queries.pcap -T fields -e dns.qry.name | awk NF | sort -r | uniq -c | sort -r
472 db.rhodes.edu
96 connectivity-check.ubuntu.com.rhodes.edu
94 connectivity-check.ubuntu.com
8 3.57.20.10.in-addr.arpa
4 e.9.d.b.c.9.d.7.1.b.0.f.a.2.0.2.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa
4 6.7.f.8.5.4.e.f.f.f.0.d.4.d.8.8.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa
4 3.4.b.1.3.c.e.f.f.f.4.0.e.e.8.7.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa
4 1.1.a.2.6.2.e.f.f.f.1.9.9.f.8.6.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa
4 1.0.18.172.in-addr.arpa
4 1.0.17.172.in-addr.arpa
4 0.f.2.5.6.b.e.f.f.f.b.7.2.4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.8.e.f.ip6.arpa
2 _ipps._tcp.local,_ipp._tcp.local
2 84.170.224.35.in-addr.arpa
2 22.2.10.10.in-addr.arpa提取用户代理
scss
$ tshark -r user-agents.pcap -T fields -e http.user_agent | awk NF | sort -r | uniq -c | sort -r
9 Wfuzz/2.4
6 Mozilla/5.0 (Windows; U; Windows NT 6.4; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10
5 Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:100.0) Gecko/20100101 Firefox/100.0
5 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.3112.32 Safari/537.36
4 sqlmap/1.4#stable (http://sqlmap.org)
3 Wfuzz/2.7
3 Mozilla/5.0 (compatible; Nmap Scripting Engine; https://nmap.org/book/nse.html)
2 Microsoft-WNS/10.0
1 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.82 Safari/537.36练习
- What is the byte value of the TCP protocol?
lua
$ tshark -r write-demo.pcap -z io,phs -q- In which packet lengths row is our packet listed?
arduino
$ tshark -r write-demo.pcap -z plen,tree -q- What is the summary of the expert info?
arduino
$ tshark -r write-demo.pcap -z expert -q- List the communications. What is the IP address that exists in all IPv4 conversations? Enter your answer in defanged format.
arduino
$ tshark -r write-demo.pcap -z conv,ip -q- Which IP address has 7 appearances? Enter your answer in defanged format.
css
$ tshark -r demo.pcapng -z ip_hosts,tree -q- What is the "destination address percentage" of the previous IP address?
css
$ tshark -r demo.pcapng -z ip_srcdst,tree -q- What is the average "Qname Len" value?
css
$ tshark -r demo.pcapng -z dns,tree -q- Follow the "UDP stream 0". What is the "Node 0" value?
python
$ tshark -r demo.pcapng -z follow,udp,hex,0 -q | grep "Node 0"- Follow the "HTTP stream 1". What is the "Referer" value? Enter your answer in defanged format.
python
$ tshark -r demo.pcapng -z follow,http,ascii,1 -q | grep "Referer"- Use the "credentials.pcap" to answer the question. What is the total number of detected credentials?
shell
$ tshark -r credentials.pcap -z credentials -q | nl11.Use the "demo.pcapng" to answer questions. What is the HTTP packet number that contains the keyword "CAFE"?
ruby
$ tshark -r demo.pcapng -Y 'http contains "CAFE"' -T fields -e frame.number- Filter the packets with "GET" and "POST" requests and extract the packet frame time. What is the first time value found?
lua
$ tshark -r demo.pcapng -Y 'http matches "(GET|POST)"' -T fields -e frame.time- Use the "hostnames.pcapng" to answer the questions. What is the total number of unique hostnames?
shell
$ tshark -r hostnames.pcapng -T fields -e dhcp.option.hostname | awk NF | sort -r | uniq -c | sort -r | wc -l- What is the total appearance count of the "prus-pc" hostname?
shell
$ tshark -r hostnames.pcapng -T fields -e dhcp.option.hostname | awk NF | sort -r | uniq -c | sort -r | grep "prus-pc"- Use the "dns-queries.pcap" to answer the question. What is the total number of queries of the most common DNS query?
shell
$ tshark -r dns-queries.pcap -T fields -e dns.qry.name | awk NF | sort -r | uniq -c | sort -r - Use the "user-agents.pcap" to answer questions. What is the total number of the detected "Wfuzz user agents"?
shell
$ tshark -r user-agents.pcap -T fields -e http.user_agent -Y 'http.user_agent matches "wfuzz"' | awk NF | sort -r | uniq -c | sort -r- What is the "HTTP hostname" of the nmap scans? Enter your answer in defanged format.
ruby
$ tshark -r user-agents.pcap -T fields -e http.host -Y 'http.user_agent contains "nmap"' - What is the full URL of the malicious/suspicious domain address?
bash
tshark -r teamwork.pcap -T fields -e http.host | awk NF | sort -r | uniq -c | sort -r- What is the IP address of the malicious domain?
bash
tshark -r teamwork.pcap -T fields -e dns.qry.name -e dns.a | awk NF | sort -r | uniq -c | sort -r- What is the email address that was used?
perl
tshark -r teamwork.pcap -Y 'http.request.method==POST' -T fields -e http.file_data | grep -oE '(user|pass)=[^&]*'