Priročnik za vmesnik ukazne vrstice Wireshark “tshark”

V prejšnjih vajah za Wireshark smo obravnavali temeljne teme do naprednih ravni. V tem članku bomo razumeli in zajeli vmesnik ukazne vrstice za Wireshark, tj.e., tshark. Terminalna različica Wireshark podpira podobne možnosti in je zelo koristna, kadar grafični uporabniški vmesnik (GUI) ni na voljo.

Čeprav je grafični uporabniški vmesnik teoretično veliko lažji za uporabo, ga ne podpirajo vsa okolja, zlasti strežniška okolja z samo možnostmi ukazne vrstice. Zato boste morali v določenem trenutku kot skrbnik omrežja ali varnostni inženir uporabiti vmesnik ukazne vrstice. Pomembno je omeniti, da se tshark včasih uporablja kot nadomestek za tcpdump. Čeprav sta obe orodji skoraj enakovredni pri zajemanju prometa, je tshark veliko zmogljivejši.

Najboljše, kar lahko storite, je, da s pomočjo tshark nastavite vrata na strežniku, ki posredujejo informacije v vaš sistem, tako da lahko zajamete promet za analizo s pomočjo GUI. Zaenkrat pa bomo izvedeli, kako deluje, kakšni so njegovi atributi in kako ga lahko izkoristite po svojih najboljših močeh.

Vnesite naslednji ukaz za namestitev tshark v Ubuntu / Debian s pomočjo apt-get:

[zaščitena po e-pošti]: ~ $ sudo apt-get install tshark -y

Zdaj vnesite tshark -pomoč da naštejemo vse možne argumente z njihovimi zastavicami, ki jih lahko posredujemo ukazu tshark.

[zaščiteno po e-pošti]: ~ $ tshark --help | glava -20
TShark (Wireshark) 2.6.10 (Git v2.6.10 pakirano kot 2.6.10-1 ~ ubuntu18.04.0)
Prenesite in analizirajte omrežni promet.
Glej https: // www.žica.org za več informacij.
Uporaba: tshark [možnosti]…
Zajemni vmesnik:
-jaz ime ali idx vmesnika (def: prva povratna zanka)
-f paketni filter v sintaksi filtra libpcap
-s dolžina posnetka paketa (def: ustrezna največja)
-p ne zajemajte v promiskuitetnem načinu
-Zajem v načinu monitorja, če je na voljo
-B velikost vmesnega pomnilnika jedra (def: 2MB)
-y vrsta sloja povezave (def: prvi ustrezen)
--vrsta časovnega žiga metoda časovnega žiga za vmesnik
-D natisnite seznam vmesnikov in izhod
-L natisni seznam vrst povezanih slojev iface in izhod
--list-time-stamp-types natisne seznam vrst časovnih žigov za iface in izhod
Pogoji zaustavitve zajema:

Opazite lahko seznam vseh razpoložljivih možnosti. V tem članku bomo podrobno zajeli večino argumentov in razumeli boste moč te terminalsko usmerjene različice Wireshark.

Izbira omrežnega vmesnika:

Za izvedbo zajema in analize v živo v tem pripomočku moramo najprej ugotoviti svoj delovni vmesnik. Tip tshark -D in tshark bo navedel vse razpoložljive vmesnike.

[e-pošta zaščitena]: ~ $ tshark -D
1. enp0s3
2. kaj
3. lo (Loopback)
4. nflog
5. nfqueue
6. usbmon1
7. ciscodump (oddaljeno zajemanje Cisco)
8. randpkt (generator naključnih paketov)
9. sshdump (SSH oddaljeno zajemanje)
10. udpdump (oddaljeno zajemanje poslušalca UDP)

Vsi navedeni vmesniki ne bodo delovali. Tip ifconfig poiskati delujoče vmesnike v vašem sistemu. V mojem primeru je enp0s3.

Zajem prometa:

Za začetek postopka zajema v živo bomo uporabili tshark ukaz z-jaz", Da začnete postopek zajemanja iz delovnega vmesnika.

[e-pošta zaščitena]: ~ $ tshark -i enp0s3

Uporaba Ctrl + C ustaviti zajem v živo. V zgornjem ukazu sem ujeti promet preusmeril v ukaz Linux glavo za prikaz prvih nekaj zajetih paketov. Lahko pa uporabite tudi “-c "Sintaksa za zajem"n " število paketov.

[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -c 5

Če samo vnesete tshark, privzeto ne bo začel zajemati prometa na vseh razpoložljivih vmesnikih niti poslušati vašega delujočega vmesnika. Namesto tega bo zajel pakete na prvem navedenem vmesniku.

Za preverjanje več vmesnikov lahko uporabite tudi naslednji ukaz:

[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -i usbmon1 -i lo

Medtem je še en način za zajemanje prometa v živo uporaba številke ob navedenih vmesnikih.

[zaščiteno po e-pošti]: ~ $ tshark -i številka_vmesnika

Vendar pa je v prisotnosti več vmesnikov težko slediti njihovim navedenim številkam.

Filter za zajemanje:

Filtri za zajemanje znatno zmanjšajo velikost zajete datoteke. Tshark uporablja sintakso Berkeley Packet Filter -f “”, Ki ga uporablja tudi tcpdump. Možnost “-f” bomo uporabili samo za zajemanje paketov iz vrat 80 ali 53, z “-c” pa prikaz samo prvih 10 paketov.

[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -f "vrata 80 ali vrata 53" -c 10

Shranjevanje zajetega prometa v datoteko:

Ključno pri zgornjem posnetku zaslona je, da se prikazani podatki ne shranjujejo, zato so manj uporabni. Uporabljamo argument „-w", Da shranite zajeti omrežni promet v test_capture.pcap v / tmp mapo.

[zaščitena po e-pošti]: ~ $ tshark -i enp0s3 -w / tmp / test_capture.pcap

Ker, .pcap je razširitev vrste datoteke Wireshark. Če shranite datoteko, lahko pozneje pregledate in analizirate promet v napravi z grafičnim vmesnikom Wireshark.

Dobra praksa je, da datoteko shranite v /tmp ker ta mapa ne zahteva nobenih pravic izvajanja. Če ga shranite v drugo mapo, tudi če uporabljate tshark s korenskimi pravicami, bo program zaradi varnostnih razlogov zavrnil dovoljenje.

Poglejmo si vse možne načine, na katere lahko:

uporabi omejitve za zajemanje podatkov, na primer izhod tshark ali samodejno zaustavitev postopka zajemanja in
izhodne datoteke.

Parameter samodejnega zaustavitve:

Uporabite lahko-a"Za vključitev razpoložljivih zastavic, kot sta velikost datoteke in datoteke. V naslednjem ukazu uporabljamo parameter samodejnega ustavljanja z trajanje zastavico, da postopek ustavite v 120 sekundah.

[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -a trajanje: 120 -w / tmp / test_capture.pcap

Podobno, če ne potrebujete datotek, da bi bile zelo velike, velikost datoteke je odlična zastavica za ustavitev postopka po nekaterih omejitvah KB.

[zaščitena po e-pošti]: ~ $ tshark -i enp0s3 -a velikost datoteke: 50 -w / tmp / test_capture.pcap

Najpomembneje, datotek flag vam omogoča, da ustavite postopek zajemanja po več datotekah. Toda to je mogoče šele po ustvarjanju več datotek, ki zahteva izvedbo drugega uporabnega parametra, zajema izhodne podatke.

Izhodni parameter zajemanja:

Zajem izhoda, znan tudi kot argument »Ringbuffer«-b“, Prihaja z enakimi zastavicami kot avtostop. Vendar je uporaba / izhod nekoliko drugačna, tj.e., zastave trajanje in velikost datoteke, saj omogoča preklop ali shranjevanje paketov v drugo datoteko po doseganju določene časovne omejitve v sekundah ali velikosti datoteke.

Spodnji ukaz kaže, da zajemamo promet prek našega omrežnega vmesnika enp0s3, in zajem prometa s pomočjo filtra za zajem “-f"Za tcp in dns. Z a uporabljamo možnost »-b« velikost datoteke zastavico, da shranite vsako datoteko velikosti 15 Kb, in z argumentom autostop določite tudi število datotek, ki jih uporabljajo datotek možnost, da zaustavi postopek zajemanja po ustvarjanju treh datotek.

[zaščiteno po e-pošti]: ~ $ tshark -i enp0s3 -f "vrata 53 ali vrata 21" -b velikost datoteke: 15 -a datoteke: 2 -w / tmp / test_capture.pcap

Svoj terminal sem razdelil na dva zaslona za aktivno spremljanje nastanka treh .pcap datotek.

Pojdi k svojemu / tmp mapo in uporabite naslednji ukaz v drugem terminalu za spremljanje posodobitev po vsaki sekundi.

[e-pošta zaščitena]: ~ $ watch -n 1 "ls -lt"

Zdaj vam ni treba zapomniti vseh teh zastavic. Namesto tega vnesite ukaz tshark -i enp0s3 -f “vrata 53 ali vrata 21” -b velikost datoteke: 15 -a v svojem terminalu in pritisnite Tab. Seznam vseh razpoložljivih zastavic bo na voljo na vašem zaslonu.

[zaščiteno po e-pošti]: ~ $ tshark -i enp0s3 -f "vrata 53 ali vrata 21" -b velikost datoteke: 15 -a
trajanje: datoteke: velikost datoteke:
[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -f "vrata 53 ali vrata 21" -b velikost datoteke: 15 -a

Branje .pcap datoteke:

Najpomembneje je, da lahko uporabite-r"Parameter za branje test_capture.pcap datotek in jih prenese v glavo ukaz.

[zaščiteno po e-pošti]: ~ $ tshark -r / tmp / test_capture.pcap | glavo

Informacije, prikazane v izhodni datoteki, so lahko nekoliko izjemne. Da bi se izognili nepotrebnim podrobnostim in bolje razumeli kateri koli ciljni naslov IP, uporabljamo -r možnost branja zajete datoteke in uporaba datoteke ip.naslov filter za preusmeritev izhoda v novo datoteko z-w". Tako bomo lahko pregledali datoteko in izboljšali analizo z uporabo nadaljnjih filtrov.

[zaščiteno po e-pošti]: ~ $ tshark -r / tmp / test_capture.pcap -w / tmp / preusmerjena_datoteka.pcap ip.dst == 216.58.209.142
[zaščiteno po e-pošti]: ~ $ tshark -r / tmp / redirected_file.pcap | glava
1 0.000000000 10.0.2.15 → 216.58.209.142 TLSv1.2 370 Podatki o prijavi
2 0.000168147 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Podatki o prijavi
3 0.011336222 10.0.2.15 → 216.58.209.142 TLSv1.2 5786 Podatki o prijavi
4 0.016413181 10.0.2.15 → 216.58.209.142 TLSv1.2 1093 Podatki o prijavi
5 0.016571741 10.0.2.15 → 216.58.209.142 TLSv1.2 403 Podatki o prijavi
6 0.016658088 10.0.2.15 → 216.58.209.142 TCP 7354 [TCP segment ponovno sestavljenega PDU]
7 0.016738530 10.0.2.15 → 216.58.209.142 TLSv1.2 948 Podatki o prijavi
8 0.023006863 10.0.2.15 → 216.58.209.142 TLSv1.2 233 Podatki o prijavi
9 0.023152548 10.0.2.15 → 216.58.209.142 TLSv1.2 669 Podatki o prijavi
10 0.023324835 10.0.2.15 → 216.58.209.142 TLSv1.2 3582 Podatki o prijavi

Izbira polj za izhod:

Zgornji ukazi prikažejo povzetek vsakega paketa, ki vključuje različna polja glave. Tshark vam omogoča tudi ogled določenih polj. Za določitev polja uporabimo »-T polje"In izvleči polja po naši izbiri.

Po "-T poljeStikalo uporabljamo možnost -e za tiskanje določenih polj / filtrov. Tu lahko uporabimo prikazne filtre Wireshark.

[zaščiteno po e-pošti]: ~ $ tshark -r / tmp / test_capture.pcap -T polja -e okvir.številka -e ip.src -e ip.dst | glavo
1 10.0.2.15 216.58.209.142
2 10.0.2.15 216.58.209.142
3 216.58.209.142 10.0.2.15
4 216.58.209.142 10.0.2.15
5 10.0.2.15 216.58.209.142
6 216.58.209.142 10.0.2.15
7 216.58.209.142 10.0.2.15
8 216.58.209.142 10.0.2.15
9 216.58.209.142 10.0.2.15
10 10.0.2.15 115.186.188.3

Zajem šifriranih podatkov o rokovanju:

Do zdaj smo se naučili shranjevanja in branja izhodnih datotek z uporabo različnih parametrov in filtrov. Zdaj bomo izvedeli, kako HTTPS inicializira sejo tshark. Spletna mesta, do katerih dostopate prek HTTPS namesto HTTP, zagotavljajo varen ali šifriran prenos podatkov po žici. Za varen prenos šifriranje Transport Layer Security zažene postopek rokovanja, da se začne komunikacija med odjemalcem in strežnikom.

Zajemimo in razumemo stisk roke TLS z uporabo tshark. Terminal razdelite na dva zaslona in uporabite a wget ukaz za pridobitev datoteke HTML iz https: // www.žica.org.

[zaščiteno po e-pošti]: ~ $ wget https: // www.žica.org
--2021-01-09 18: 45: 14 - https: // www.žica.org /
Povezovanje z www.žica.org (www.žica.org) | 104.26.10.240 |: 443… priključen.
Zahteva HTTP poslana, čaka na odgovor ... 206 Delna vsebina
Dolžina: 46892 (46K), preostalo 33272 (32K) [besedilo / html]
Shranjevanje v: 'index.html '
indeks.html 100% [++++++++++++++ ================================ ==>] 45.79K 154KB / s v 0.2 s
2021-01-09 18:43:27 (154 KB / s) - 'kazalo.html 'shranjen [46892/46892]

Na drugem zaslonu bomo s pomočjo tshark zajeli prvih 11 paketov z uporabo "-c"Parameter. Med izvajanjem analize so časovni žigi pomembni za rekonstrukcijo dogodkov, zato uporabljamo-t oglas”, Na način, da tshark doda časovni žig poleg vsakega zajetega paketa. Na koncu gostiteljski ukaz uporabljamo za zajemanje paketov iz skupnega gostitelja IP naslov.

Ta stisk je zelo podoben stiskanju TCP. Takoj, ko se TCP trosmerno rokovanje zaključi v prvih treh paketih, četrti do deveti paket sledi nekoliko podobnemu ritualu rokovanja in vključuje nize TLS, da se zagotovi šifrirana komunikacija med obema stranema.

[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -c 11 -t gostitelj oglasov 104.26.10.240
Zajem na 'enp0s3'
1 2021-01-09 18:45:14.174524575 10.0.2.15 → 104.26.10.240 TCP 74 48512 → 443 [SYN] Seq = 0 Win = 64240 Len = 0 MSS = 1460 SACK_PERM = 1 TSval = 2488996311 TSecr = 0 WS = 128
2 2021-01-09 18:45:14.279972105 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [SYN, ACK] Seq = 0 Ack = 1 Win = 65535 Len = 0 MSS = 1460
3 2021-01-09 18:45:14.280020681 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 1 Ack = 1 Win = 64240 Len = 0
4 2021-01-09 18:45:14.280593287 10.0.2.15 → 104.26.10.240 TLSv1 373 Stranka Pozdravljeni
5 2021-01-09 18:45:14.281007512 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 1 Ack = 320 Win = 65535 Len = 0
6 2021-01-09 18:45:14.390272461 104.26.10.240 → 10.0.2.15 TLSv1.3 1466 Strežnik Pozdravljeni, spremenite spekter šifre
7 2021-01-09 18:45:14.390303914 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 1413 Win = 63540 Len = 0
8 2021-01-09 18:45:14.392680614 104.26.10.240 → 10.0.2.15 TLSv1.3 1160 Podatki o prijavi
9 2021-01-09 18:45:14.392703439 10.0.2.15 → 104.26.10.240 TCP 54 48512 → 443 [ACK] Seq = 320 Ack = 2519 Win = 63540 Len = 0
10 2021-01-09 18:45:14.394218934 10.0.2.15 → 104.26.10.240 TLSv1.3 134 Spremeni podatke o šifri, podatki aplikacije
11 2021-01-09 18:45:14.394614735 104.26.10.240 → 10.0.2.15 TCP 60 443 → 48512 [ACK] Seq = 2519 Ack = 400 Win = 65535 Len = 0
11 zajetih paketov

Ogled celotnega paketa:

Edina pomanjkljivost pripomočka za ukazno vrstico je, da nima GUI-ja, saj postane zelo priročen, ko morate iskati veliko internetnega prometa, ponuja pa tudi paketno ploščo, ki prikazuje vse podrobnosti o paketu znotraj takoj. Vendar je še vedno mogoče pregledati paket in izpisati celotne informacije o paketu, prikazane na GUI Packet Panel.

Za pregled celotnega paketa uporabimo ukaz ping z možnostjo -c, da zajamemo en paket.

[zaščiteno po e-pošti]: ~ $ ping -c 1 104.26.10.240
PING 104.26.10.240 (104.26.10.240) 56 (84) bajtov podatkov.
64 bajtov od 104.26.10.240: icmp_seq = 1 ttl = 55 čas = 105 ms
--- 104.26.10.240 statistik pinga ---
1 paket prenašan, 1 prejet, 0% izguba paketa, čas 0ms
rtt min / povprečje / največ / mdev = 105.095/105.095/105.095/0.000 ms

V drugem oknu uporabite ukaz tshark z dodatno zastavico za prikaz celotnih podrobnosti o paketu. Opazite lahko različne odseke, ki prikazujejo podrobnosti o okvirjih, Ethernetu II, IPV in ICMP.

[e-pošta zaščitena]: ~ $ tshark -i enp0s3 -c 1 -V gostitelj 104.26.10.240
Okvir 1: 98 bajtov na žici (784 bitov), zajetih 98 bajtov (784 bitov) na vmesniku 0
ID vmesnika: 0 (enp0s3)
Ime vmesnika: enp0s3
Vrsta zapiranja: Ethernet (1)
Čas prihoda: 9. januar 2021 21:23:39.167581606 PKT
[Časovni premik za ta paket: 0.000000000 sekund]
Čas epohe: 1610209419.167581606 sekund
[Časovna delta iz prejšnjega posnetega okvira: 0.000000000 sekund]
[Časovna delta iz prejšnjega prikazanega okvira: 0.000000000 sekund]
[Čas od sklica ali prvega okvira: 0.000000000 sekund]
Številka okvirja: 1
Dolžina okvirja: 98 bajtov (784 bitov)
Dolžina zajema: 98 bajtov (784 bitov)
[Okvir je označen: napačno]
[Okvir je prezrt: False]
[Protokoli v okviru: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Cilj: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Naslov: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Lokalno upravljani naslov (to NI tovarniško privzeto)
… 0… = bit IG: Posamezni naslov (enoposteljni)
Vir: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Naslov: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
ID vmesnika: 0 (enp0s3)
Ime vmesnika: enp0s3
Vrsta zapiranja: Ethernet (1)
Čas prihoda: 9. januar 2021 21:23:39.167581606 PKT
[Časovni premik za ta paket: 0.000000000 sekund]
Čas epohe: 1610209419.167581606 sekund
[Časovna delta iz prejšnjega posnetega okvira: 0.000000000 sekund]
[Časovna delta iz prejšnjega prikazanega okvira: 0.000000000 sekund]
[Čas od sklica ali prvega okvira: 0.000000000 sekund]
Številka okvirja: 1
Dolžina okvirja: 98 bajtov (784 bitov)
Dolžina zajema: 98 bajtov (784 bitov)
[Okvir je označen: napačno]
[Okvir je prezrt: False]
[Protokoli v okviru: eth: ethertype: ip: icmp: data]
Ethernet II, Src: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6), Dst: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Cilj: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
Naslov: RealtekU_12: 35: 02 (52: 54: 00: 12: 35: 02)
… 1… = LG bit: Lokalno upravljani naslov (to NI tovarniško privzeto)
… 0… = bit IG: Posamezni naslov (enoposteljni)
Vir: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
Naslov: PcsCompu_17: fc: a6 (08: 00: 27: 17: fc: a6)
… 0… = LG bit: globalno enoličen naslov (tovarniško privzeto)
… 0… = IG bit: Posamezni naslov (enoposteljni)
Vrsta: IPv4 (0x0800)
Internet Protocol različica 4, Src: 10.0.2.15, Dst: 104.26.10.240
0100… = Različica: 4
… 0101 = Dolžina glave: 20 bajtov (5)
Polje diferenciranih storitev: 0x00 (DSCP: CS0, ECN: Not-ECT)
0000 00… = Šifra točke diferenciranih storitev: privzeto (0)
… 00 = Izrecno obvestilo o preobremenjenosti: prevoz ni sposoben ECN (0)
Skupna dolžina: 84
Identifikacija: 0xcc96 (52374)
Zastave: 0x4000, ne drobi
0… = Rezervirani bit: Ni nastavljeno
.1… = Ne fragmentiraj: Nastavi
… 0… = Več fragmentov: Ni nastavljeno
… 0 0000 0000 0000 = Odmik fragmenta: 0
Čas za življenje: 64
Protokol: ICMP (1)
Kontrolna vsota glave: 0xeef9 [preverjanje veljavnosti onemogočeno]
[Status kontrolne vsote glave: nepreverjeno]
Vir: 10.0.2.15
Cilj: 104.26.10.240
Internet Control Message Protocol
Tip: 8 (zahteva za odmev (ping))
Koda: 0
Kontrolna vsota: 0x0cb7 [pravilno]
[Stanje kontrolne vsote: dobro]
Identifikator (BE): 5038 (0x13ae)
Identifikator (LE): 44563 (0xae13)
Zaporedna številka (BE): 1 (0x0001)
Zaporedna številka (LE): 256 (0x0100)
Časovni žig iz podatkov icmp: 9. januar 2021 21:23:39.000000000 PKT
[Časovni žig iz podatkov icmp (relativno): 0.167581606 sekund]
Podatki (48 bajtov)
0000 91 8e 02 00 00 00 00 00 10 11 12 13 14 15 16 17…
0010 18 19 1a 1b 1c 1d 1e 1f 20 21 22 23 24 25 26 27… !"# $% & '
0020 28 29 2a 2b 2c 2d 2e 2f 30 31 32 33 34 35 36 37 () *+,-./ 01234567
Podatki: 918e020000000000101112131415161718191a1b1c1d1e1f…
[Dolžina: 48]

Zaključek:

Najbolj zahteven vidik analize paketov je iskanje najpomembnejših informacij in ignoriranje neuporabnih bitov. Čeprav so grafični vmesniki enostavni, ne morejo prispevati k avtomatizirani analizi omrežnih paketov. V tem članku ste se naučili najbolj uporabnih parametrov tshark za zajemanje, prikaz, shranjevanje in branje datotek omrežnega prometa.

Tshark je zelo priročen pripomoček, ki bere in zapisuje zajemne datoteke, ki jih podpira Wireshark. Kombinacija filtrov za prikaz in zajemanje veliko prispeva med delom na naprednih primerih uporabe. Tshark lahko izkoristimo za tiskanje polj in obdelavo podatkov v skladu z našimi zahtevami za poglobljeno analizo. Z drugimi besedami, sposoben je narediti skoraj vse, kar počne Wireshark. Najpomembneje pa je, da je kot nalašč za daljinsko vohanje paketov s ssh, ki je tema drugega dne.