tshark.exe 로 패킷덤프 추출예제

패킷덤프를 분석하는 도구인 Wireshark 를 다운로드하면 tshark.exe 라는 프로그램이 설치된다.

 

tshark 를 이용하면 commandline 으로 실행함으로

GUI 환경보다 더 좋은 성능을 낼 수 있어서 사용하게 되었다.

 

우선 추출 커맨드부터 보자.

 

# tshark.exe -D 에서 확인
set nic_id="nic_id"

# %date% == YYYY-MM-DD
set dump_dir="root_path/%date:~0,4%/%date:~5,2%%date:~8,2%"
set filename="packetdump.pcap"
set file_size="4196"
set duration="86400"

mkdir %dump_dir%
"C:/Program Files/Wireshark/tshark.exe" -i "%nic_id%" -w "%dump_dir%/%filename%" -b filesize:%file_size% -a duration:%duration% -q &

위 명령을 실행하면

nic_id 네트워크 패킷을 추출하며

root_path\YYYY\MMDD 경로를 생성하고

packetdump.pcap 파일을 4196kb 단위로 저장하며

실행 후 86400 초가 지나면 명령을 종료한다.

 

사용하는 옵션들을 뜯어보자.

 

-D : print interfaces list
-i : interface
-w : output file
-b : ringbuffer option (duration, filesize, files, packets)
-a : autostop option (duration, filesize, files, packets, interval)

 

tshark 명령에서 사용하는 옵션이 더 궁금하다면 -h 인자를 주면 옵션들을 확인할 수 있다.

 

tshark 에 -D 옵션을 주면 인터페이스 리스트를 출력한다.

 

1. set nic_id

-D 옵션에서 획득한 인터페이스 리스트에서 추출할 nic 를 선택한다.

\Device\NPF_{UUID} 를 입력하거나 뒤에 출력된 이더넷 이름을 입력하낟.

 

2. set dump_dir

패킷덤프를 저장할 root_path 를 정하고 날짜형식으로 폴더를 만들어 패킷덤프를 저장한다.

날짜의 형식은 date.exe 를 통해 획득할 수 있다.

 

%date% 로 획득한 날짜에서 YYYY MMDD 를 획득하는 방법은 cmd 명령어를 통해 알 수 있다.

$ help set

 

실행결과

 

 

상세속성과 탐색기에서의 용량이 다르게 보인다.