tshark capture interface

tshark -i

캡처할 네트워크 인터페이스의 이름 or 인덱스를 지정.

---

tshark -f

필터링....

아래는 예시....

• 특정 ip주소에서 오는 패킷: -f "src host 117.17.xxx.xxx"
• 특정 ip주소로 가는 패킷만 캡처: -f "dst host xxx.xx.xxx.xxx"
• 특정 port 에서 발생하는 tcp 트래픽: -f "tcp port 80"
• 특정 서브넷에서 오는 트래픽 캡처: -f "net 192.168.1.0/24"
• udp 트래픽만: -f "udp"
• arp만: -f "arp"
• 특정 ip와 특정 포트에서 발생하는 트래픽 캡처: -f "host xxx.xx.xxx.xxx and port 80"

port 필터링 예시

---

 

tshark -s

패킷의 스냅샷 길이를 설정....

-s뒤에 오는 숫자가 챕처할 바이트 크기....

0을 주면 길이를 최대로 하여 캡처

-s 64

-s 1

---

tshark -L

지정된 인터페이스의 링크 계층 유형 목록을 출력하고 종료.

---

 

tshark -B

패킷을 캡처할 때 사용하는 커널 버퍼의 크기를 설정하는 데 사용.

버퍼 크기는 캡처한 패킷이 디스크에 기록되기 전에 일시적으로 저장되는 메모리 공간의 크기를 지정하는것.

 

버퍼크기가 크면 장점

• 패킷의 손실이 감소
• 장시간의 네트워크 캡쳐시 유리
• 대규모 네트워크에서 좀 더 정확히 분석 가능

버퍼 크기가 크면 단점

• 메모리 사용량 증가
• 캡처 데이터의 지연
• 메모리 낭비 및 부족할 수 있음.

tshark -i interface -B size 형식

---

tshark -D

시스템에서 사용할 수 있는 네트워크 인터페이스 목록 출력

각 항목은 패킷 캡처에 사용할 수 있는 인터페이스를 나타낸다.

• wlp0s20f3:시스템에서 Wi-Fi 네트워크 인터페이스를 나타내며, 일반적으로 무선 네트워크 카드와 연결된 인터페이스이다.                       이를 통해서 무선 네트워크에서 패킷을 캡처할 수 있다.
• any: 모든 인터페이스를 나타내는 가상 인터페이스. 시스템에 있는 모든 네트워크 인터페이스에서 캡처 가능.
• lo (Loopback): 루프백 인터페이스는 로컬에서 네트워크 트래픽을 테스트하는 데 사용.
• bluetooth-monitor:블루투스 모니터링을 위한 가상 인터페이스.
• sshdump (SSH remote capture): SSH를 사용하여 원격 시스템에 접속하고 그 시스템에서 트래픽을 캡처.
• wifidump (Wi-Fi remote capture):Wi-Fi 네트워크의 트래픽을 원격으로 캡처하고 분석할 때 사용.

---

옵션
-i (interface)	캡처할 네트워크 인터페이스의 이름이나 인덱스를 지정.
-f (capture filter)	libpcap 필터 구문을 사용하여 패킷 필터를 지정.
-s (snaplen)	캡처할 최대 바이트 수 지정.
-P (--no-promiscuous-mode)	혼합 모드에서 캡처하지 않도록 설정합니다. 이 모드를 비활성화하면 인터페이스는 자신에게 직접 전송된 패킷만 캡처.
-I (--monitor-mode)	모니터 모드에서 캡처. 무선 인터페이스에서 사용 가능.
-B (buffer size)	캡처할 때 사용하는 커널 버퍼의 크기를 설정.
-y (link type)	링크 계층의 유형(이더넷, 무선 등)을 지정.
--time-stamp-type	인터페이스에서 사용할 타임스탬프 방법을 지정.
-L	지정된 인터페이스의 링크 계층 유형 목록을 출력하고 종료.
-D	사용할 수 있는 네트워크 인터페이스 목록을 출력하고 종료.
--list-time-stamp-types	지정된 인터페이스의 타임스탬프 유형 목록을 출력하고 종료.
--list-time-stamp-types	새 패킷이 들어올 때마다 업데이트하는 간격을 지정.