pcap-triage-tshark

Umiejętność do szybkiego przeanalizowania plików PCAP i ekstrakcji szczegółów na poziomie protokołu. Używając tshark, filtruj ruch HTTP, przeszukuj konkretne metody i hosty, śledzisz strumienie TCP oraz eksportujesz surowe bajty pakietów. Idealna dla analityków bezpieczeństwa i inżynierów sieciowych, którzy muszą szybko zidentyfikować anomalie w ruchu sieciowym lub zbadać podejrzane połączenia.

1. Przygotuj plik PCAP do analizy — upewnij się, że masz dostęp do pliku .pcap zawierającego zarejestrowany ruch sieciowy, który chcesz przeanalizować.

2. Zainstaluj tshark — narzędzie jest częścią pakietu Wireshark; na większości systemów Linux zainstaluj je za pomocą menedżera pakietów (np. apt-get install tshark).

3. Zacznij od szerokiego filtra — uruchom tshark z filtrem -Y http, aby wyświetlić cały ruch HTTP w pliku PCAP. To daje ci przegląd tego, co zawiera plik, zanim przejdziesz do szczegółowej analizy.

4. Zawęź wyszukiwanie do konkretnych kryteriów — użyj filtrów takich jak -Y 'http.request.method == "POST"', aby znaleźć żądania POST, lub wyświetl pola takie jak czas, źródło IP, port i URI za pomocą opcji -T fields -e. To pozwala ci szybko zlokalizować podejrzaną aktywność.

5. Zbadaj strumienie TCP i surowe bajty — jeśli musisz zobaczyć pełną konwersację między klientem a serwerem, użyj -z follow,tcp,ascii,0 do śledzenia strumienia, lub -x do wyeksportowania surowych bajtów dla trudnych do sparsowania danych.

6. Automatyzuj powtarzające się zadania — dla szybkiego przeglądu wielu plików PCAP uruchom dołączony skrypt summarize_http_requests.sh, który wyświetla metody, URI i informacje o nagłówkach w jednym przejściu.