این دستور rawshark است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
rawshark - داده های خام pcap را تخلیه و تجزیه و تحلیل کنید
خلاصه
کوسه خام [ -d | ] [ -F ] [ -h ] [ -l ]
[ -n ] [ -N ] [ -o ] ... [ -p ]
[ -r |- ] [ -R ] [ -s ] [ -S ]
[ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ] [ -v ]
شرح
راوشک جریانی از بسته ها را از یک فایل یا لوله می خواند و خطی را چاپ می کند که آن را توصیف می کند
خروجی، به دنبال آن مجموعه ای از فیلدهای منطبق برای هر بسته در stdout.
INPUT
برخلاف تی شارک, راوشک هیچ فرضی در مورد کپسولاسیون یا ورودی نمی کند. در -d و -r
برای اجرا باید پرچم ها مشخص شود. یکی یا بیشتر -F پرچم ها باید مشخص شود
برای اینکه خروجی مفید باشد. سایر پرچم های فهرست شده در بالا نیز به همین ترتیب است
کنوانسیون ها به عنوان Wireshark و تی شارک.
راوشک به طور پیش فرض رکوردهای ورودی با فرمت زیر را انتظار دارد. این مطابقت دارد
فرمت هدر بسته و داده های بسته در یک فایل با فرمت pcap روی دیسک.
ساختار rawshark_rec_s {
uint32_t ts_sec; /* مهر زمان (ثانیه) */
uint32_t ts_usec; /* تمبر زمان (میکروثانیه) */
uint32_t caplen; /* طول بافر بسته */
uint32_t len; /* طول بسته "روی سیم" */
uint8_t data[caplen]; /* داده های بسته */
};
If -p عرضه می شود کوسه خام فرمت زیر را انتظار دارد. این مطابقت دارد ساختار
pcap_pkthdr ساختار و داده های بسته مورد استفاده در libpcap/WinPcap. فرمت این ساختار است
وابسته به پلت فرم؛ اندازه از tv_sec زمینه در ساختار زمان ساختار می تواند باشد
32 بیت یا 64 بیت. برای کوسه خام برای کار، طرح ساختار در ورودی باید
مطابقت با طرح ساختار در کوسه خام. توجه داشته باشید که این فرمت احتمالاً خواهد بود
همانند فرمت قبلی if کوسه خام یک برنامه 32 بیتی است، اما لزوما چنین نخواهد بود
همان اگر کوسه خام یک برنامه 64 بیتی است.
ساختار rawshark_rec_s {
struct timeval ts; /* مهر زمان */
uint32_t caplen; /* طول بافر بسته */
uint32_t len; /* طول بسته "روی سیم" */
uint8_t data[caplen]; /* داده های بسته */
};
در هر صورت، endianness (ترتیب بایت) هر عدد صحیح باید با سیستم موجود مطابقت داشته باشد
که کوسه خام در حال اجراست.
OUTPUT
اگر یک یا چند فیلد از طریق مشخص شده باشد -F پرچم، راوشک شماره، فیلد را چاپ می کند
تایپ کنید و برای هر فیلد در خط اول به عنوان "شماره بسته" 0. برای هر یک فرمت نمایش دهید
رکورد، شماره بسته، فیلدهای منطبق، و یک "1" یا "0" چاپ می شود تا نشان دهد که آیا
فیلد با هر فیلتر نمایشی ارائه شده مطابقت داشت. یک "-" برای علامت دادن به پایان یک فیلد استفاده می شود
توضیحات و در پایان هر خط بسته. مثلا پرچم ها -F ip.src -F
dns.qry.type ممکن است خروجی زیر را ایجاد کند:
0 FT_IPv4 BASE_NONE - 1 FT_UINT16 BASE_HEX -
1 1="1" 0="192.168.77.10" 1 -
2 1="1" 0="192.168.77.250" 1 -
3 0="192.168.77.10" 1 -
4 0="74.125.19.104" 1 -
توجه داشته باشید که بسته های 1 و 2 کوئری های DNS هستند و 3 و 4 اینگونه نیستند. اضافه كردن -R "نه dns" هنوز
هر خط را چاپ می کند، اما نشانه ای وجود دارد که بسته های 1 و 2 از فیلتر عبور نکرده اند:
0 FT_IPv4 BASE_NONE - 1 FT_UINT16 BASE_HEX -
1 1="1" 0="192.168.77.10" 0 -
2 1="1" 0="192.168.77.250" 0 -
3 0="192.168.77.10" 1 -
4 0="74.125.19.104" 1 -
همچنین توجه داشته باشید که خروجی ممکن است به هر ترتیبی باشد و ممکن است چندین فیلد منطبق باشد
نمایش داده.
OPTIONS
-د
نحوه تجزیه و تحلیل داده های بسته را مشخص کنید. کپسولاسیون به شکلی است
نوع:ارزش، که در آن نوع یکی از:
محصور کردن:نام داده های بسته باید با استفاده از نوع پیوند داده libpcap/WinPcap تجزیه شوند
(DLT) نام، به عنوان مثال درپوش: EN10MB برای اترنت نام ها با استفاده از تبدیل می شوند
pcap_datalink_name_to_val(). لیست کاملی از DLT ها را می توانید در اینجا پیدا کنید
<http://www.tcpdump.org/linktypes.html>.
محصور کردن:عدد داده های بسته باید با استفاده از libpcap/WinPcap LINKTYPE_ تجزیه شوند.
عدد، به عنوان مثال درپوش: 105 برای IEEE خام 802.11 یا درپوش: 101 برای IP خام
proto-:پروتکل داده های بسته باید به پروتکل مشخص شده Wireshark ارسال شوند
کالبد شکافی، به عنوان مثال پروتو:http برای داده های HTTP
-اف
فیلد مطابق را به خروجی اضافه کنید. فیلدها هر فیلد فیلتر نمایش معتبری هستند. بیشتر
بیش از یک -F پرچم ممکن است مشخص شود، و هر فیلد می تواند چندین بار در یک مکان خاص مطابقت داشته باشد
بسته ممکن است یک فیلد واحد برای هر مشخص شود -F پرچم. اگر می خواهید نمایشگر را اعمال کنید
فیلتر، استفاده کنید -R پرچم.
-h نسخه و گزینه ها و خروجی ها را چاپ کنید.
-l خروجی استاندارد را پس از چاپ اطلاعات مربوط به هر بسته شستشو دهید. (این هست
به طور دقیق، اگر خط بافر نیست -V مشخص شد؛ با این حال، همان است
خط بافر اگر -V مشخص نشده است، زیرا تنها یک خط برای هر بسته چاپ می شود،
و به عنوان -l معمولاً هنگام لولهکشی یک ضبط زنده به یک برنامه یا اسکریپت استفاده میشود، به طوری که
خروجی یک بسته به محض مشاهده و تشریح بسته نمایش داده می شود، باید
به همان خوبی خط بافر واقعی کار می کند. ما این کار را به عنوان یک راه حل برای کمبود انجام می دهیم
در کتابخانه Microsoft Visual C++ C.)
این ممکن است هنگام لوله گذاری خروجی مفید باشد تی شارک به برنامه دیگری، به معنای آن
که برنامه ای که خروجی به آن لوله می شود، داده های جدا شده را برای یک بسته می بیند
به محض تی شارک بسته را می بیند و آن خروجی را به جای دیدن آن تولید می کند
تنها زمانی که بافر خروجی استاندارد حاوی آن داده ها پر شود.
-n وضوح نام شیء شبکه (مانند نام میزبان، نام پورت TCP و UDP) را غیرفعال کنید
-N پرچم ممکن است این یکی را لغو کند.
-ن
حل نام را فقط برای انواع خاصی از آدرسها و شماره پورتها روشن کنید
حل نام برای انواع دیگر آدرس ها و شماره پورت خاموش است. این پرچم
نادیده گرفتن -n اگر هر دو -N و -n حضور دارند. اگر هر دو -N و -n پرچم ها حضور ندارند،
همه وضوح نام روشن است.
آرگومان رشته ای است که ممکن است حاوی حروف زیر باشد:
m برای فعال کردن وضوح آدرس MAC
n برای فعال کردن وضوح آدرس شبکه
N برای فعال کردن استفاده از حل کننده های خارجی (به عنوان مثال، DNS) برای وضوح آدرس شبکه
t برای فعال کردن وضوح شماره پورت لایه انتقال
C برای فعال کردن جستجوهای همزمان (ناهمزمان) DNS
d برای فعال کردن وضوح از بسته های DNS ضبط شده
-o :
یک مقدار ترجیحی تنظیم کنید، مقدار پیشفرض و هر مقداری که از a خوانده میشود لغو شود
فایل ترجیحی آرگومان گزینه یک رشته از فرم است پیش نام:ارزش,
جایی که پیش نام نام ترجیح است (که همان نامی است که ظاهر می شود
در فایل ترجیحی)، و ارزش مقداری است که باید روی آن تنظیم شود.
-p فرض کنید که قبل از داده های بسته یک ساختار pcap_pkthdr همانطور که در pcap.h تعریف شده است، قرار می گیرد. بر
برخی از سیستم ها اندازه داده های مهر زمانی با داده های نوشته شده در آنها متفاوت است
دیسک در سیستم های دیگر آنها یکسان هستند و این پرچم هیچ تاثیری ندارد.
-r |-
خواندن داده های بسته از ورودی منبع. این می تواند نام یک FIFO (لوله با نام) باشد.
یا "-" برای خواندن داده ها از ورودی استاندارد، و باید فرمت رکورد را داشته باشد
در بالا مشخص شده است.
-ر
باعث فیلتر مشخص شده (که از نحو فیلترهای خواندن/نمایش استفاده می کند، به جای
فیلترهای ضبط) قبل از چاپ خروجی اعمال شود.
-s با پرش از فایل 24 بایتی pcap اجازه می دهد تا از فایل های pcap استاندارد به عنوان ورودی استفاده شود.
سرتیتر.
-S از رشته فرمت مشخص شده برای چاپ هر فیلد استفاده کنید. فرمت های زیر هستند
پشتیبانی:
%D نام فیلد یا توضیحات، به عنوان مثال "Type" برای dns.qry.type
%N مقدار عددی پایه 10 فیلد.
%S مقدار رشته فیلد
برای چیزی شبیه به صفحه نمایش استاندارد Wireshark ("نوع: A (1)") می توانید استفاده کنید
%D: %S (%N).
-ta|ad|adoy|d|dd|e|r|u|ud|udoy
قالب مهر زمانی بسته چاپ شده در خطوط خلاصه را تنظیم کنید. قالب می تواند باشد
یکی از:
a مطلق: زمان مطلق، به عنوان زمان محلی در منطقه زمانی شما، زمان واقعی است
بسته ضبط شد، بدون تاریخ نمایش داده شود
ad مطلق با تاریخ: تاریخ مطلق که به صورت YYYY-MM-DD و زمان به صورت محلی نمایش داده می شود
زمان در منطقه زمانی شما، زمان و تاریخ واقعی است که بسته گرفته شده است
دلخور مطلق با تاریخ با استفاده از روز سال: تاریخ مطلق، به صورت YYYY/DOY نمایش داده می شود،
و زمان، به عنوان زمان محلی در منطقه زمانی شما، زمان و تاریخ واقعی بسته است
اسیر
d دلتا: زمان دلتا زمانی است که بسته قبلی ضبط شده است
dd delta_displayed: زمان delta_displayed زمان نمایش داده شده قبلی است
بسته ضبط شد
e epoch: زمان بر حسب ثانیه از زمان (1 ژانویه 1970 00:00:00)
r نسبی: زمان نسبی زمان سپری شده بین بسته اول و بسته است
بسته فعلی
u UTC: زمان مطلق، به عنوان UTC، زمان واقعی ضبط بسته است، با شماره
تاریخ نمایش داده شده
ud UTC با تاریخ: تاریخ مطلق که به صورت YYYY-MM-DD نمایش داده می شود و زمان به عنوان UTC نشان داده می شود.
زمان و تاریخ واقعی دریافت بسته
udoy UTC با تاریخ با استفاده از روز سال: تاریخ مطلق، نمایش داده شده به عنوان YYYY/DOY، و
زمان، به عنوان UTC، زمان و تاریخ واقعی است که بسته گرفته شده است
فرمت پیش فرض نسبی است.
-v نسخه را چاپ کرده و خارج شوید.
خواندن FILTER نحو
برای یک جدول کامل از فیلدهای پروتکل و پروتکل که قابل فیلتر هستند تی شارک ببینید
wireshark-filter(4) صفحه دستی.
از rawshark آنلاین با استفاده از خدمات onworks.net استفاده کنید