Ito ang command na rawshark na maaaring patakbuhin sa OnWorks na libreng hosting provider gamit ang isa sa aming maramihang libreng online na workstation gaya ng Ubuntu Online, Fedora Online, Windows online emulator o MAC OS online emulator
PROGRAMA:
NAME
rawshark - Itapon at suriin ang hilaw na data ng pcap
SINOPSIS
rawshark [ -d | ] [ -F ] [ -h ] [ -l ]
[ -n ] [ -N ] [ -o ] ... [ -p ]
[ -r |- ] [ -R ] [ -s ] [ -S ]
[ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ] [ -v ]
DESCRIPTION
Rawshark nagbabasa ng stream ng mga packet mula sa isang file o pipe, at nagpi-print ng linyang naglalarawan nito
output, na sinusundan ng isang set ng pagtutugma ng mga field para sa bawat packet sa stdout.
INPUT
Hindi magkatulad TShark, Rawshark hindi gumagawa ng mga pagpapalagay tungkol sa encapsulation o input. Ang -d at -r
dapat tukuyin ang mga flag upang ito ay tumakbo. Isa o higit pa -F dapat tukuyin ang mga watawat
upang maging kapaki-pakinabang ang output. Ang iba pang mga flag na nakalista sa itaas ay sumusunod sa parehong
mga kumbensyon bilang Wireshark at TShark.
Rawshark inaasahan ang mga tala ng input na may sumusunod na format bilang default. Ito ay tumutugma sa
format ng packet header at packet data sa isang pcap-formatted na file sa disk.
struct rawshark_rec_s {
uint32_t ts_sec; /* Time stamp (segundo) */
uint32_t ts_usec; /* Time stamp (microseconds) */
uint32_t caplen; /* Haba ng packet buffer */
uint32_t len; /* "Sa wire" ang haba ng packet */
uint8_t data[caplen]; /* Packet data */
};
If -p ay ibinibigay rawshark inaasahan ang sumusunod na format. Ito ay tumutugma sa istruktura
pcap_pkthdr istraktura at packet data na ginamit sa libpcap/WinPcap. Ang format ng istrukturang ito ay
umaasa sa plataporma; ang laki ng tv_sec patlang sa istruktura takdang panahon maaaring maging istraktura
32 bits o 64 bits. Para sa rawshark upang gumana, ang layout ng istraktura sa input ay dapat
tumugma sa layout ng istraktura sa rawshark. Tandaan na ang format na ito ay malamang na ang
katulad ng naunang format kung rawshark ay isang 32-bit na programa, ngunit hindi kinakailangan
pareho kung rawshark ay isang 64-bit na programa.
struct rawshark_rec_s {
struct timeval ts; /* Time stamp */
uint32_t caplen; /* Haba ng packet buffer */
uint32_t len; /* "Sa wire" ang haba ng packet */
uint8_t data[caplen]; /* Packet data */
};
Sa alinmang kaso, ang endianness (byte ordering) ng bawat integer ay dapat tumugma sa system sa
alin rawshark ay tumatakbo.
oUTPUT
Kung ang isa o higit pang mga field ay tinukoy sa pamamagitan ng -F bandila, Rawshark nagpi-print ng numero, field
uri, at display format para sa bawat field sa unang linya bilang "packet number" 0. Para sa bawat isa
record, ang packet number, katugmang mga field, at isang "1" o "0" ay naka-print upang isaad kung
tumugma ang field sa anumang ibinigay na display filter. Ang "-" ay ginagamit upang ipahiwatig ang pagtatapos ng isang field
paglalarawan at sa dulo ng bawat linya ng packet. Halimbawa, ang mga watawat -F ip.src -F
dns.qry.type maaaring makabuo ng sumusunod na output:
0 FT_IPv4 BASE_NONE - 1 FT_UINT16 BASE_HEX -
1 1="1" 0="192.168.77.10" 1 -
2 1="1" 0="192.168.77.250" 1 -
3 0="192.168.77.10" 1 -
4 0="74.125.19.104" 1 -
Tandaan na ang mga packet 1 at 2 ay mga DNS query, at ang 3 at 4 ay hindi. Pagdaragdag -R "hindi dns" pa rin
nagpi-print ng bawat linya, ngunit may indikasyon na ang mga packet 1 at 2 ay hindi pumasa sa filter:
0 FT_IPv4 BASE_NONE - 1 FT_UINT16 BASE_HEX -
1 1="1" 0="192.168.77.10" 0 -
2 1="1" 0="192.168.77.250" 0 -
3 0="192.168.77.10" 1 -
4 0="74.125.19.104" 1 -
Tandaan din na ang output ay maaaring nasa anumang pagkakasunud-sunod, at maaaring marami ang magkatugmang field
ipinakita
Opsyon
-d
Tukuyin kung paano dapat hatiin ang packet data. Ang encapsulation ay nasa anyo
uri:halaga, Kung saan uri ay isa sa:
encap:pangalan Dapat i-dissect ang packet data gamit ang uri ng link ng data ng libpcap/WinPcap
(DLT) pangalan, halimbawa encap:EN10MB para sa Ethernet. Ang mga pangalan ay na-convert gamit ang
pcap_datalink_name_to_val(). Ang kumpletong listahan ng mga DLT ay matatagpuan sa
<http://www.tcpdump.org/linktypes.html>.
encap:numero Dapat i-dissect ang packet data gamit ang libpcap/WinPcap LINKTYPE_
numero, halimbawa encap:105 para sa raw IEEE 802.11 o encap:101 para sa hilaw na IP.
mga proto:protokol Dapat ipasa ang data ng packet sa tinukoy na Wireshark protocol
dissector, hal proto:http para sa HTTP data.
-F
Idagdag ang katugmang field sa output. Ang mga field ay anumang valid na field ng filter ng display. Higit pa
kaysa sa isa -F maaaring tukuyin ang flag, at maaaring tumugma ang bawat field nang maraming beses sa isang naibigay
pakete. Maaaring tukuyin ang isang solong field sa bawat -F bandila. Kung gusto mong mag-apply ng display
filter, gamitin ang -R bandila.
-h I-print ang bersyon at mga opsyon at paglabas.
-l I-flush ang karaniwang output pagkatapos mai-print ang impormasyon para sa bawat packet. (Ito ay
hindi, mahigpit na nagsasalita, line-buffered kung -V ay tinukoy; gayunpaman, ito ay kapareho ng
line-buffered kung -V ay hindi tinukoy, dahil isang linya lamang ang naka-print para sa bawat packet,
at, bilang -l ay karaniwang ginagamit kapag nagpi-pipe ng isang live na pagkuha sa isang programa o script, nang sa gayon
ang output para sa isang packet ay lalabas sa sandaling makita at ma-dissect ang packet, dapat ito
gumana tulad ng totoong line-buffering. Ginagawa namin ito bilang isang solusyon para sa isang kakulangan
sa Microsoft Visual C++ C library.)
Ito ay maaaring maging kapaki-pakinabang kapag piping ang output ng TShark sa ibang programa, gaya ng ibig sabihin nito
na ang program kung saan ang output ay piped ay makikita ang dissected data para sa isang packet
sa lalong madaling panahon TShark nakikita ang packet at bumubuo ng output na iyon, sa halip na makita ito
kapag napuno lamang ang karaniwang output buffer na naglalaman ng data na iyon.
-n I-disable ang network object name resolution (tulad ng hostname, TCP at UDP port name), ang
-N maaaring i-override ng bandila ang isang ito.
-N
I-on ang paglutas ng pangalan para lamang sa mga partikular na uri ng mga address at numero ng port, na may
paglutas ng pangalan para sa iba pang mga uri ng mga address at mga numero ng port na naka-off. Ang watawat na ito
overrides -n kung pareho -N at -n ay naroroon. Kung pareho -N at -n wala ang mga watawat,
lahat ng mga resolution ng pangalan ay naka-on.
Ang argument ay isang string na maaaring naglalaman ng mga titik:
m upang paganahin ang resolusyon ng MAC address
n upang paganahin ang paglutas ng address ng network
N upang paganahin ang paggamit ng mga panlabas na solver (hal., DNS) para sa paglutas ng address ng network
t para paganahin ang transport-layer port number resolution
C upang paganahin ang sabay-sabay (asynchronous) DNS lookup
d upang paganahin ang paglutas mula sa mga nakuhang DNS packet
-o :
Magtakda ng value ng kagustuhan, na i-override ang default na value at anumang value na nabasa mula sa a
file ng kagustuhan. Ang argumento sa opsyon ay isang string ng form prefname:halaga,
saan prefname ay ang pangalan ng kagustuhan (na kung saan ay ang parehong pangalan na lilitaw
sa preference na file), at halaga ay ang halaga kung saan ito dapat itakda.
-p Ipagpalagay na ang packet data ay nauuna sa isang pcap_pkthdr struct gaya ng tinukoy sa pcap.h. Naka-on
ilang system ang laki ng data ng timestamp ay magiging iba sa data na nakasulat sa
disk. Sa ibang mga sistema sila ay magkapareho at ang watawat na ito ay walang epekto.
-r |-
Basahin ang packet data mula sa input pinagmulan. Maaari itong maging alinman sa pangalan ng isang FIFO (pinangalanang pipe)
o ``-'' upang basahin ang data mula sa karaniwang input, at dapat ay may format ng record
tinukoy sa itaas.
-R
Dahilan ang tinukoy na filter (na gumagamit ng syntax ng read/display filter, sa halip na
ng mga filter ng pagkuha) na ilalapat bago i-print ang output.
-s Pinapayagan ang mga karaniwang pcap file na magamit bilang input, sa pamamagitan ng paglaktaw sa 24 byte pcap file
header.
-S Gamitin ang tinukoy na format na string upang i-print ang bawat field. Ang mga sumusunod na format ay
suportado:
%D Pangalan ng field o paglalarawan, hal. "Uri" para sa dns.qry.type
%N Base 10 numeric value ng field.
%S String value ng field.
Para sa isang bagay na katulad ng karaniwang display ng Wireshark ("Uri: A (1)") maaari mong gamitin
%D: %S (%N).
-ta|ad|adoy|d|dd|e|r|u|ud|udoy
Itakda ang format ng timestamp ng packet na naka-print sa mga linya ng buod. Ang format ay maaaring
isa sa:
a absolute: Ang ganap na oras, bilang lokal na oras sa iyong time zone, ay ang aktwal na oras ng
nakuha ang packet, na walang ipinapakitang petsa
ad ganap na may petsa: Ang ganap na petsa, na ipinapakita bilang YYYY-MM-DD, at oras, bilang lokal
oras sa iyong time zone, ay ang aktwal na oras at petsa kung kailan nakuha ang packet
adoy ganap na may petsa gamit ang araw ng taon: Ang ganap na petsa, na ipinapakita bilang YYYY/DOY,
at ang oras, bilang lokal na oras sa iyong time zone, ay ang aktwal na oras at petsa ng packet
bihag
d delta: Ang delta time ay ang oras mula noong nakuhanan ang nakaraang packet
dd delta_displayed: Ang delta_displayed time ay ang oras mula noong naunang ipinakita
nakuha ang packet
e kapanahunan: Ang oras sa mga segundo mula noong kapanahunan (Ene 1, 1970 00:00:00)
r relative: Ang relative time ay ang oras na lumipas sa pagitan ng unang packet at ng
kasalukuyang pakete
u UTC: Ang ganap na oras, bilang UTC, ay ang aktwal na oras na nakuhanan ang packet, na may hindi
ipinakita ang petsa
ud UTC na may petsa: Ang ganap na petsa, na ipinapakita bilang YYYY-MM-DD, at oras, bilang UTC, ay ang
aktwal na oras at petsa na nakuha ang packet
udoy UTC na may petsa gamit ang araw ng taon: Ang ganap na petsa, ipinapakita bilang YYYY/DOY, at
oras, bilang UTC, ay ang aktwal na oras at petsa na nakuha ang packet
Ang default na format ay kamag-anak.
-v I-print ang bersyon at lumabas.
BASAHIN FILTER SINTAX
Para sa kumpletong talahanayan ng mga field ng protocol at protocol na na-filter sa TShark tingnan ang
wireshark-filter(4) manu-manong pahina.
Gumamit ng rawshark online gamit ang mga serbisyo ng onworks.net
