[GUIDA] Analizziamo il traffico della rete con Termshark
Matteo Gatti1 Maggio 2019
Termshark può essere definita una terminal user interface per TShark che è un network protocol analyzer ispirato a Wireshark. Quest’ultimo è un packet analyzer libero e open source usato per analisi di protocollo per l’analisi e lo sviluppo di protocolli o di software di comunicazione e per la didattica. Wireshark possiede tutte le caratteristiche di un analizzatore di protocollo standard.
TShark non ha una terminal user interface interattiva ed è per questo che è stato sviluppato Termshark, che funziona su Linux, macOS e Windows. Termshark è stato scritto in Go e la sua prima release è disponibile da pochi giorni, pertanto non aspettatevi di trovare tutte le funzionalità presenti su TShark.
Attualmente queste sono le features di Termshark:
Leggere files pcap o sniffare le live interfaces
Ispezionare ogni pacchetto
Filtrare pcaps o live captures mediante display filters
Copiare informazioni dal terminale
Una GIF che vi mostra Termshark: cliccateci sopra per farla partire.
Gli sviluppatori progettano di migliorare Termshark con alcune nuove caratteristiche già in sviluppo, come la possibilità di selezionare un pacchetto e visualizzarne il flusso, mostrare le statistiche dell’interfaccia pcap, colorare i pacchetti nella relativa view secondo le regole di Wireshark.
Sono già presenti diversi shortcuts da tastiera:
/ abilita il display filter
TABper lo switch
c per la copy mode
(+/-) e (</>) consentono di aggiustare rispettivamente horizonatal e vertical split
Tutte le keyboard vi vengono mostrate se date ?.
Download Termshark
La release page di Termshark ha i binari per Linux (x64 e armv6), macOS e Windows. Potete anche compilarvi il codice sorgente se preferite.
Alternativamente recatevi sulla pagina GitHub del progetto, scaricate il software, estraetelo e dare il seguente comando da terminale:
sudo install termshark /usr/local/bin/
Attenzione: affinchè Termshark funzioni è necessario sia presente anche TShark sul vostro pc. Il nome del package dipende dalla distro che state usando, ad esempio si chiama tshark su Debian / Ubuntu, mentre su Fedora lo trovate come wireshark-cli.
Quindi, per installare TShark su Debian, Ubuntu, Linux Mint, etc., date:
sudo apt install tshark
Alla domanda Should non-superusers be able to capture packets? rispondete positivamente.
Per installare wireshark-cli su Fedora date:
sudo dnf install wireshark-cli
Sia su Ubuntu che su Fedora dovrete aggiungere il vostro utente alwireshark group (creato mediante l’installazione di TShark – se così non fosse date sudo groupadd wireshark) per poter usare TShark, e di conseguenza Termshark, senza root:
sudo usermod -a -G wireshark $USER
Come usare Termshark
Per ispezionare un local pcap date:
termshark -r myfile.pcap
Rimpiazzate myfile.pcap col nome e con il percorso del file. Lanciate Termshark e impostatelo in modo tale che legga da un network device (enp4s0 in questo esempio, cambiatelo con un’interfaccia disponibile nella vostra rete):
termshark -i enp4s0
Potete poi leggere da un’interfaccia e applicare un tcp capture filter dando
