Vodič za sučelje naredbenog retka Wireshark tshark

U ranijim vodičima za Wireshark obrađivali smo teme od temeljne do napredne razine. U ovom ćemo članku razumjeti i pokriti sučelje naredbenog retka za Wireshark, tj.e., tshark. Terminalna verzija Wiresharka podržava slične opcije i vrlo je korisna kada grafičko korisničko sučelje (GUI) nije dostupno.

Iako je grafičko korisničko sučelje, teoretski, puno jednostavnije za upotrebu, ne podržavaju ga sva okruženja, posebno poslužiteljska okruženja s samo opcijama naredbenog retka. Stoga ćete u određenom trenutku, kao mrežni administrator ili sigurnosni inženjer, morati koristiti sučelje naredbenog retka. Važno je napomenuti da se tshark ponekad koristi kao zamjena za tcpdump. Iako su oba alata gotovo jednaki u funkciji hvatanja prometa, tshark je puno moćniji.

Najbolje što možete učiniti je koristiti tshark za postavljanje porta na vašem poslužitelju koji prosljeđuje informacije vašem sustavu, tako da možete hvatati promet za analizu koristeći GUI. Međutim, zasad ćemo naučiti kako to funkcionira, koji su njegovi atributi i kako ga možete iskoristiti najbolje od svojih mogućnosti.

Upišite sljedeću naredbu da biste instalirali tshark u Ubuntu / Debian pomoću apt-get:

[e-pošta zaštićena]: ~ $ sudo apt-get install tshark -y

Sad upišite tshark -pomoć da nabrojimo sve moguće argumente sa njihovim odgovarajućim zastavicama koje možemo proslijediti naredbi tshark.

[zaštićena e-poštom]: ~ $ tshark --help | glava -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 pakirano kao 2.6.10-1 ~ ubuntu18.04.0)
Izbacite i analizirajte mrežni promet.
Pogledajte https: // www.žičana oštrica.org za više informacija.
Upotreba: tshark [opcije] ..
Sučelje za hvatanje:
-ja ime ili idx sučelja (def: prvi povrat bez petlje)
-f filtar paketa u sintaksi filtra libpcap
-s duljina snimke paketa (def: odgovarajući maksimum)
-p ne hvataj u promiskuitetnom načinu
-Snimam u modu monitora, ako je dostupan
-B veličina međuspremnika jezgre (def: 2MB)
-g vrsta sloja veze (def: prvo prikladno)
--tip vremenskog žiga metoda vremenskog žiga za sučelje
-D ispis popisa sučelja i izlaz
-L ispis popisa vrsta slojeva veze iface i izlaz
--list-time-stamp-types ispis popisa vrsta vremenskih žigova za iface i izlaz
Uvjeti zaustavljanja snimanja:

Možete primijetiti popis svih dostupnih opcija. U ovom ćemo članku detaljno pokriti većinu argumenata i shvatit ćete snagu ove verzije Wireshark orijentirane na terminal.

Odabir mrežnog sučelja:

Da bismo izvršili hvatanje i analizu uživo u ovom uslužnom programu, prvo moramo otkriti naše radno sučelje. Tip tshark -D a tshark će navesti sva dostupna sučelja.

[e-pošta zaštićena]: ~ $ tshark -D
1. enp0s3
2. bilo koji
3. lo (povratna petlja)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (Cisco daljinsko snimanje)
8. randpkt (generator slučajnih paketa)
9. sshdump (SSH daljinsko snimanje)
10. udpdump (daljinsko snimanje UDP slušatelja)

Imajte na umu da sva navedena sučelja neće raditi. Tip ifconfig pronaći radna sučelja na vašem sustavu. U mom slučaju jest enp0s3.

Snimite promet:

Za pokretanje postupka snimanja uživo koristit ćemo tshark naredba s “-jaOpcija za započinjanje postupka hvatanja s radnog sučelja.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3

Koristiti Ctrl + C zaustaviti hvatanje uživo. U gornjoj naredbi preusmjerio sam zarobljeni promet na Linux naredbu glava za prikaz prvih nekoliko zarobljenih paketa. Ili također možete upotrijebiti "-c ”Sintaksa za hvatanje“n ” broj paketa.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -c 5

Ako samo uđete tshark, prema zadanim postavkama neće započeti hvatanje prometa na svim dostupnim sučeljima niti će preslušavati vaše radno sučelje. Umjesto toga, hvataće pakete na prvom navedenom sučelju.

Sljedeću naredbu možete koristiti i za provjeru više sučelja:

[zaštićena e-poštom]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

U međuvremenu, drugi način za prijenos prometa uživo je upotreba broja uz navedena sučelja.

[e-pošta zaštićena]: ~ $ tshark -i_broj_sučelja

Međutim, u prisutnosti više sučelja teško je pratiti njihove navedene brojeve.

Filtar za hvatanje:

Filtri za hvatanje značajno smanjuju veličinu snimljene datoteke. Tshark koristi sintaksu Berkeley Packet Filter -f “”, Koji također koristi tcpdump. Upotrijebit ćemo opciju "-f" da hvatamo samo pakete s priključaka 80 ili 53, a "-c" da prikazujemo samo prvih 10 paketa.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -f "port 80 ili port 53" -c 10

Spremanje zarobljenog prometa u datoteku:

Ključna stvar koju treba primijetiti na gornjoj snimci zaslona jest da se prikazani podaci ne spremaju, pa su stoga manje korisni. Koristimo argument „-w”Za spremanje zarobljenog mrežnog prometa na test_capture.pcap u / tmp mapu.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

Dok, .pcap je nastavak tipa datoteke Wireshark. Spremanjem datoteke možete kasnije pregledati i analizirati promet na stroju s Wireshark GUI.

Dobra je praksa spremati datoteku u /tmp jer ova mapa ne zahtijeva nikakve povlastice izvršavanja. Ako ga spremite u drugu mapu, čak i ako koristite tshark s root privilegijama, program će uskratiti dozvolu iz sigurnosnih razloga.

Istražimo sve moguće načine na koje možete:

primijeniti ograničenja na hvatanje podataka, poput onih koji izlaze tshark ili automatsko zaustavljanje postupka snimanja i
izbacite svoje datoteke.

Parametar automatskog zaustavljanja:

Možete koristiti "-aParametar koji uključuje dostupne zastavice kao što su veličina datoteke s trajanjem i datoteke. U sljedećoj naredbi koristimo parametar autostop s parametrom trajanje zastavicu za zaustavljanje postupka u roku od 120 sekundi.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -a trajanje: 120 -w / tmp / test_capture.pcap

Slično tome, ako vam datoteke ne trebaju biti prevelike, veličina datoteke je savršena zastava za zaustavljanje procesa nakon nekih KB-ovih ograničenja.

[zaštićena e-poštom]: ~ $ tshark -i enp0s3 -a veličina datoteke: 50 -w / tmp / test_capture.pcap

Najvažnije, datoteke flag vam omogućuje zaustavljanje postupka snimanja nakon niza datoteka. Ali to je moguće samo nakon stvaranja više datoteka, što zahtijeva izvršenje drugog korisnog parametra, izlaznog hvatanja.

Izlazni parametar snimanja:

Snimanje izlaza, aka argument melodije zvona “-b“, Dolazi s istim zastavicama kao i autostop. Međutim, upotreba / izlaz je nešto drugačiji, tj.e., zastave trajanje i veličina datoteke, jer vam omogućuje prebacivanje ili spremanje paketa u drugu datoteku nakon dostizanja određenog vremenskog ograničenja u sekundama ili veličine datoteke.

Naredba u nastavku pokazuje da bilježimo promet putem našeg mrežnog sučelja enp0s3, i hvatanje prometa pomoću filtra za hvatanje “-f”Za tcp i dns. Koristimo opciju prstena za punjenje "-b" s a veličina datoteke zastava za spremanje svake datoteke veličine 15 Kb, a također pomoću argumenta autostop odredite broj datoteka koje koriste datoteke opcija takva da zaustavlja postupak snimanja nakon generiranja tri datoteke.

[zaštićena e-poštom]: ~ $ tshark -i enp0s3 -f "port 53 ili port 21" -b veličina datoteke: 15 -a datoteke: 2 -w / tmp / test_capture.pcap

Podijelio sam svoj terminal na dva zaslona kako bih aktivno pratio stvaranje tri .pcap datoteke.

Idi na svoj / tmp mapu i upotrijebite sljedeću naredbu u drugom terminalu za praćenje ažuriranja nakon svake sekunde.

[e-pošta zaštićena]: ~ $ watch -n 1 "ls -lt"

Sad, ne trebate pamtiti sve ove zastave. Umjesto toga upišite naredbu tshark -i enp0s3 -f “port 53 ili port 21” -b veličina datoteke: 15 -a u svom terminalu i pritisnite Tab. Popis svih dostupnih zastavica bit će dostupan na vašem zaslonu.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -f "port 53 ili port 21" -b veličina datoteke: 15 -a
trajanje: datoteke: veličina datoteke:
[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -f "port 53 ili port 21" -b veličina datoteke: 15 -a

Čitanje .pcap datoteke:

Što je najvažnije, možete koristiti "-rParametar za čitanje test_capture.pcap datoteke i premjestite ih na glava naredba.

[e-pošta zaštićena]: ~ $ tshark -r / tmp / test_capture.pcap | glava

Podaci prikazani u izlaznoj datoteci mogu biti malo porazni. Da bismo izbjegli nepotrebne detalje i bolje razumjeli bilo koju određenu IP adresu, koristimo -r mogućnost čitanja datoteke koja je zarobljena paketom i upotrebe datoteke ip.adr filtar za preusmjeravanje rezultata u novu datoteku s "-wOpcija. To će nam omogućiti pregled datoteke i pročišćavanje naše analize primjenom daljnjih filtara.

[e-pošta zaštićena]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / preusmjerena_datoteka.pcap ip.dst == 216.58.209.142
[e-pošta zaštićena]: ~ $ tshark -r / tmp / redirected_file.pcap | glava
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Podaci o prijavi
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Podaci o prijavi
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Podaci o prijavi
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Podaci o prijavi
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Podaci o prijavi
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [TCP segment ponovno sastavljenog PDU-a]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Podaci o prijavi
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Podaci o prijavi
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Podaci o prijavi
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Podaci o prijavi

Odabir polja za izlaz:

Gornje naredbe daju sažetak svakog paketa koji uključuje različita polja zaglavlja. Tshark vam također omogućuje prikaz navedenih polja. Da bismo odredili polje, koristimo “-T polje”I izvadite polja prema našem izboru.

Nakon što "-T poljePrekidač ”, koristimo opciju“ -e ”za ispis određenih polja / filtara. Ovdje možemo koristiti filtre za prikaz Wireshark.

[e-pošta zaštićena]: ~ $ tshark -r / tmp / test_capture.pcap -T polja -e okvir.broj -e ip.src -e ip.dst | glava
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Snimite šifrirane podatke o rukovanju:

Do sada smo naučili spremati i čitati izlazne datoteke pomoću različitih parametara i filtara. Sada ćemo naučiti kako HTTPS inicijalizira tshark sesije. Web stranice kojima se pristupa putem HTTPS-a umjesto HTTP-a osiguravaju siguran ili šifrirani prijenos podataka putem žice. Za siguran prijenos šifriranje Transport Layer Security započinje postupak rukovanja kako bi se započela komunikacija između klijenta i poslužitelja.

Snimimo i shvatimo TLS rukovanje pomoću tsharka. Podijelite terminal na dva zaslona i upotrijebite a wget naredba za preuzimanje html datoteke iz https: // www.žičana oštrica.org.

[e-pošta zaštićena]: ~ $ wget https: // www.žičana oštrica.org
--2021-01-09 18: 45: 14-- https: // www.žičana oštrica.org /
Povezivanje na www.žičana oštrica.org (www.žičana oštrica.org) | 104.26.10.240 |: 443 ... povezano.
Poslan je HTTP zahtjev, čeka odgovor ... 206 Djelomični sadržaj
Duljina: 46892 (46K), preostalo 33272 (32K) [text / html]
Spremanje u: 'index.html '
indeks.html 100% [++++++++++++++ ================================== ==>] 45.79K 154KB / s za 0.2s
2021-01-09 18:43:27 (154 KB / s) - 'indeks.html 'spremljeno [46892/46892]

Na drugom ekranu koristit ćemo tshark za hvatanje prvih 11 paketa pomoću "-cParametar ”. Tijekom izvođenja analize vremenske su oznake važne za rekonstrukciju događaja, stoga koristimo „-t oglas”, Na način da tshark dodaje vremensku oznaku uz svaki snimljeni paket. I na kraju, koristimo naredbu host za hvatanje paketa s dijeljenog hosta IP adresa.

Ovo rukovanje prilično je slično TCP rukovanju. Čim se TCP trosmjerno rukovanje završi u prva tri paketa, četvrti do deveti paket slijede donekle sličan ritual rukovanja i uključuju TLS žice kako bi se osigurala šifrirana komunikacija između obje strane.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -c 11 -t domaćin oglasa 104.26.10.240
Snimanje na 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Ack = 1 Win = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Klijent Pozdrav
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Ack = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 poslužitelj Pozdrav, promijeni specifikacije šifre
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Podaci o prijavi
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Promijenite specifikacije šifre, Podaci o aplikaciji
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Ack = 400 Win = 65535 Len = 0
Uhvaćeno 11 paketa

Pregled cijelog paketa:

Jedini nedostatak uslužnog programa naredbenog retka je taj što nema GUI, jer postaje vrlo koristan kada trebate pretraživati puno internetskog prometa, a nudi i Packet Panel koji prikazuje sve detalje o paketu unutar trenutak. Ipak, još uvijek je moguće pregledati paket i izbaciti cijele informacije o paketu prikazane na GUI Packet Panel.

Da bismo pregledali cijeli paket, koristimo naredbu ping s opcijom "-c" za hvatanje jednog paketa.

[e-pošta zaštićena]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) bajtova podataka.
64 bajta od 104.26.10.240: icmp_seq = 1 ttl = 55 vrijeme = 105 ms
--- 104.26.10.240 statistika pinga ---
1 paket poslan, 1 primljen, 0% gubitka paketa, vrijeme 0ms
rtt min / prosjek / maks / mdev = 105.095/105.095/105.095/0.000 ms

U drugom prozoru upotrijebite naredbu tshark s dodatnom zastavicom za prikaz cijelih detalja o paketu. Možete primijetiti razne odjeljke koji prikazuju okvire, detalje Etherneta II, IPV-a i ICMP-a.

[e-pošta zaštićena]: ~ $ tshark -i enp0s3 -c 1 -V host 104.26.10.240
Okvir 1: 98 bajtova na žici (784 bita), 98 bajtova (784 bita) na sučelju 0
ID sučelja: 0 (enp0s3)
Naziv sučelja: enp0s3
Vrsta enkapsulacije: Ethernet (1)
Vrijeme dolaska: 9. siječnja 2021. 21:23:39.167581606 PKT
[Vremenski pomak za ovaj paket: 0.000000000 sekundi]
Vrijeme epohe: 1610209419.167581606 sekundi
[Vremenska delta iz prethodnog snimljenog kadra: 0.000000000 sekundi]
[Vremenska delta od prethodnog prikazanog okvira: 0.000000000 sekundi]
[Vrijeme od reference ili prvog okvira: 0.000000000 sekundi]
Broj okvira: 1
Duljina okvira: 98 bajtova (784 bita)
Duljina hvatanja: 98 bajtova (784 bita)
[Okvir je označen: Netačno]
[Okvir se zanemaruje: False]
[Protokoli u okviru: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Odredište: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresa: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Lokalno administrirana adresa (ovo NIJE tvornički zadana)
… 0… = IG bit: Pojedinačna adresa (unicast)
Izvor: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresa: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
ID sučelja: 0 (enp0s3)
Naziv sučelja: enp0s3
Vrsta enkapsulacije: Ethernet (1)
Vrijeme dolaska: 9. siječnja 2021. 21:23:39.167581606 PKT
[Vremenski pomak za ovaj paket: 0.000000000 sekundi]
Vrijeme epohe: 1610209419.167581606 sekundi
[Vremenska delta iz prethodnog snimljenog kadra: 0.000000000 sekundi]
[Vremenska delta od prethodnog prikazanog okvira: 0.000000000 sekundi]
[Vrijeme od reference ili prvog okvira: 0.000000000 sekundi]
Broj okvira: 1
Duljina okvira: 98 bajtova (784 bita)
Duljina hvatanja: 98 bajtova (784 bita)
[Okvir je označen: Netačno]
[Okvir se zanemaruje: False]
[Protokoli u okviru: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Odredište: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Adresa: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Lokalno administrirana adresa (ovo NIJE tvornički zadana)
… 0… = IG bit: Pojedinačna adresa (unicast)
Izvor: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Adresa: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bit: Globalno jedinstvena adresa (tvornički zadana)
… 0… = IG bit: Pojedinačna adresa (unicast)
Vrsta: IPv4 (0x0800)
Internetski protokol verzija 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Verzija: 4
… 0101 = Duljina zaglavlja: 20 bajtova (5)
Polje diferenciranih usluga: 0x00 (DSCP: CS0, ECN: Nije ECT)
0000 00… = Šifra točke diferenciranih usluga: zadano (0)
... 00 = Izričita obavijest o zagušenju: Prijevoz nije sposoban za ECN (0)
Ukupna dužina: 84
Identifikacija: 0xcc96 (52374)
Zastave: 0x4000, nemoj fragmentirati
0… = Rezervirani bit: Nije postavljeno
.1… = Ne fragmentiraj: Postavi
… 0… = Više fragmenata: Nije postavljeno
… 0 0000 0000 0000 = Pomak fragmenta: 0
Vrijeme za život: 64
Protokol: ICMP (1)
Kontrolna suma zaglavlja: 0xeef9 [provjera valjanosti onemogućena]
[Status kontrolne sume zaglavlja: Nepotvrđeno]
Izvor: 10.0.2.15
Odredište: 104.26.10.240
Protokol internetske kontrolne poruke
Tip: 8 (zahtjev za eho (ping))
Šifra: 0
Kontrolna suma: 0x0cb7 [ispravno]
[Status kontrolne sume: dobro]
Identifikator (BE): 5038 (0x13ae)
Identifikator (LE): 44563 (0xae13)
Redni broj (BE): 1 (0x0001)
Broj sekvence (LE): 256 (0x0100)
Vremenska oznaka iz podataka icmp-a: 9. siječnja 2021. 21:23:39.000000000 PKT
[Vremenska oznaka podataka icmp-a (relativna): 0.167581606 sekundi]
Podaci (48 bajtova)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Podaci: 918e020000000000101112131415161718191a1b1c1d1e1f…
[Duljina: 48]

Zaključak:

Najizazovniji aspekt analize paketa je pronalaženje najrelevantnijih informacija i ignoriranje beskorisnih bitova. Iako su grafička sučelja jednostavna, ne mogu pridonijeti automatiziranoj analizi mrežnih paketa. U ovom ste članku naučili najkorisnije parametre tshark za hvatanje, prikazivanje, spremanje i čitanje datoteka mrežnog prometa.

Tshark vrlo je prikladan uslužni program koji čita i zapisuje datoteke za snimanje koje podržava Wireshark. Kombinacija filtara za prikaz i hvatanje puno doprinosi dok radite na slučajevima upotrebe napredne razine. Možemo iskoristiti tshark sposobnost ispisa polja i manipulacije podacima prema našim zahtjevima za dubinskom analizom. Drugim riječima, sposoban je raditi gotovo sve što Wireshark radi. Što je najvažnije, savršen je za daljinsko njuškanje paketa pomoću ssh-a, što je tema za neki drugi dan.