Bilgi Veritabanı → Linux'te Ağ İzleme Araçları ile Komut Satırında tshark Kullanımı

Yayın tarihi: 28.03.2024

Linux Debian 12 işletim sisteminde ağ izleme yapmak için, komut satırında tshark aracını kuracağız - bu, WireShark programının konsol sürümüdür.

1. Kurulum

apt update
apt install tshark

2. Kullanım Örnekleri

2.1 Tüm Arayüzlerin Listelenmesi

tshark -D

1. enp3s0
2. any
3. lo (Loopback)
4. wlp2s0
5. enp1s0
6. bluetooth0
7. bluetooth-monitor
8. nflog
9. nfqueue
10. dbus-system
11. dbus-session
12. ciscodump (Cisco uzaktan yakalama)
13. dpauxmon (DisplayPort AUX kanalı izleme yakalaması)
14. randpkt (Rastgele paket oluşturucu)
15. sdjournal (systemd Günlük Dışa Aktarımı)
16. sshdump (SSH uzaktan yakalama)
17. udpdump (UDP Dinleyici uzaktan yakalama)
18. wifidump (Wi-Fi uzaktan yakalama)

2.2 Ağ Arayüzünü İzleme

tshark -i enp3s0

'enp3s0' arayüzünden yakalama yapılıyor
 ** (tshark:4003) 00:29:16.013682 [Ana MESAJ] -- Yakalama başladı.
 ** (tshark:4003) 00:29:16.013782 [Ana MESAJ] -- Dosya: "/tmp/wireshark_enp3s0RQIBL2.pcapng"
    1 0.000000000 192.zzz.1.zzz → 192.xxx.1.xxx SSH 298 Sunucu: Şifrelenmiş paket (uzunluk=244)
    2 0.002655201 192.zzz.1.zzz → 192.xxx.1.xxx TCP 60 60466 → 22 [ACK] Seq=1 Ack=245 Win=510 Uzunluk=0

2.3 UDP Protokolü ile Ağ Arayüzünü İzleme

tshark -i enp3s0 udp

'enp3s0' arayüzünden yakalama yapılıyor
 ** (tshark:4031) 00:31:45.874197 [Ana MESAJ] -- Yakalama başladı.
 ** (tshark:4031) 00:31:45.874342 [Ana MESAJ] -- Dosya: "/tmp/wireshark_enp3s0S5KIL2.pcapng"
    1 0.000000000 192.xxx.1.xxx → 239.255.255.250 UDP 122 39749 → 51200 Uzunluk=80
    2 0.023937161 192.zzz.1.zzz → 239.255.255.250 SSDP 483 NOTIFY * HTTP/1.1 
    4 0.054497234 192.zzz.1.zzz → 239.255.255.250 SSDP 492 NOTIFY * HTTP/1.1

2.4 Sadece Belirli Bir IP'yi İzleme

tshark -i enp3s0 host 192.zzz.1.zzz

2.5 Sadece Belirli Bir Porta Göre İzleme

tshark -nnSX port 443

2.6 Belirli Bir IP'yi HEX Modunda İzleme

tshark -i enp3s0 -x host 192.zzz.1.zzz

'enp3s0' arayüzünden yakalama yapılıyor
 ** (tshark:4111) 00:35:37.357806 [Ana MESAJ] -- Yakalama başladı.
 ** (tshark:4111) 00:35:37.357914 [Ana MESAJ] -- Dosya: "/tmp/wireshark_enp3s0LOI7K2.pcapng"
0000  08 d2 3e ef 91 24 68 1d ef 3f 0a 0c 08 00 45 10   ..>..$h..?....E.
0010  01 1c ce 7b 40 00 40 06 e6 f0 c0 a8 01 7e c0 a8   ...{@.@......~..
0020  01 91 00 16 ec 32 43 04 e1 79 16 bc f7 ae 50 18   .....2C..y....P.
0030  01 f5 85 6e 00 00 00 00 00 d0 5a f2 ae a9 d0 18   ...n......Z.....

2.7 Kayıt Dosyasına Yazma

tshark -w /tmp/tshark-log.pcap -i enp3s0 -x host 192.zzz.1.zzz

2.8 Kayıt Dosyasını Görüntüleme

tshark -r /tmp/tshark-log.pcap

Konsolda ağ izleme için netstat, tcpdump, iftop, nload gibi birkaç araç daha bulunmaktadır.

No Comments Yet