Termshark può essere definita una terminal user interface per TShark che è un network protocol analyzer ispirato a Wireshark. Quest’ultimo è un packet analyzer libero e open source usato per analisi di protocollo per l’analisi e lo sviluppo di protocolli o di software di comunicazione e per la didattica. Wireshark possiede tutte le caratteristiche di un analizzatore di protocollo standard.
TShark non ha una terminal user interface interattiva ed è per questo che è stato sviluppato Termshark, che funziona su Linux, macOS e Windows. Termshark è stato scritto in Go e la sua prima release è disponibile da pochi giorni, pertanto non aspettatevi di trovare tutte le funzionalità presenti su TShark.
Attualmente queste sono le features di Termshark:
- Leggere files pcap o sniffare le live interfaces
- Ispezionare ogni pacchetto
- Filtrare pcaps o live captures mediante display filters
- Copiare informazioni dal terminale
Gli sviluppatori progettano di migliorare Termshark con alcune nuove caratteristiche già in sviluppo, come la possibilità di selezionare un pacchetto e visualizzarne il flusso, mostrare le statistiche dell’interfaccia pcap, colorare i pacchetti nella relativa view secondo le regole di Wireshark.
Sono già presenti diversi shortcuts da tastiera:
/abilita il display filterTABper lo switchcper la copy mode- (
+/-) e (</>) consentono di aggiustare rispettivamente horizonatal e vertical split
Tutte le keyboard vi vengono mostrate se date ?.
Download Termshark
La release page di Termshark ha i binari per Linux (x64 e armv6), macOS e Windows. Potete anche compilarvi il codice sorgente se preferite.
Alternativamente recatevi sulla pagina GitHub del progetto, scaricate il software, estraetelo e dare il seguente comando da terminale:
sudo install termshark /usr/local/bin/
Attenzione: affinchè Termshark funzioni è necessario sia presente anche TShark sul vostro pc. Il nome del package dipende dalla distro che state usando, ad esempio si chiama tshark su Debian / Ubuntu, mentre su Fedora lo trovate come wireshark-cli.
Quindi, per installare TShark su Debian, Ubuntu, Linux Mint, etc., date:
sudo apt install tsharkAlla domanda Should non-superusers be able to capture packets? rispondete positivamente.
Per installare wireshark-cli su Fedora date:
sudo dnf install wireshark-cliSia su Ubuntu che su Fedora dovrete aggiungere il vostro utente al wireshark group (creato mediante l’installazione di TShark – se così non fosse date sudo groupadd wireshark) per poter usare TShark, e di conseguenza Termshark, senza root:
sudo usermod -a -G wireshark $USER
Come usare Termshark
Per ispezionare un local pcap date:
termshark -r myfile.pcapRimpiazzate myfile.pcap col nome e con il percorso del file. Lanciate Termshark e impostatelo in modo tale che legga da un network device (enp4s0 in questo esempio, cambiatelo con un’interfaccia disponibile nella vostra rete):
termshark -i enp4s0Potete poi leggere da un’interfaccia e applicare un tcp capture filter dando
termshark -i enp4s0 tcpUlteriori dettagli sono disponibili nella guida utente e nella sezione FAQ. Per ulteriori dettagli vi rimando al sito ufficiale del progetto.
Seguiteci sul nostro canale Telegram, sulla nostra pagina Facebook e su Google News. Nel campo qui sotto è possibile commentare e creare spunti di discussione inerenti le tematiche trattate sul blog.
