Tshark..... quem é esse Anônimo ?

A analise de padrões de rede é um processo lento e
custoso, muitas vezes a automatização do processo é
desejado mas impraticável.

Existem varias ferramentas de mercado que são complexas
e tem um alto grau de analise interativa, mas interfaces
gráficas de um modo geral não permitem a gravação de
macros o que impossibilita um processo de automação.

Para solucionar esse problema já há algum tempo os
desenvolvedores do wireshark disponibilizam uma ferramenta
chamada tshark, uma implementação sem GUI e 100%
compatível com os filtros realizado na versão Gráfica.

Desprovida de uma interface gráfica é portável a uma gama de
sistemas é perfeitamente possível implementar rotinas automatizadas
usando linguagens de auto nivel .. like python and perl.

Alguns exemplos,

Executando Tshark em uma maquina com Windows XP, para
lista as interfaces de rede disponíveis.

C:\Arquivos de programas\Wireshark>tshark -D
1. \Device\NPF_GenericDialupAdapter (Generic dialup adapter)
2. \Device\NPF_{9EE8CDCF-D2DE-4C64-9BC5-5BFA709BF9B6}
(Realtek RTL8139 Family Fast Ethernet Adapter)
3. \Device\NPF_{10FB6184-97C4-482F-BD61-626270229F30}
(VIA Rhine III Fast Ethernet Adapter (Microsoft's Packet Scheduler) )

Analisando a interface de numero 3, capturando 2 pacotes tcp's
sem resolução de nome e de protocolo.

C:\Arquivos de programas\Wireshark>tshark -nni 3 -c 2 tcp
Capturing on VIA Rhine III Fast Ethernet Adapter (Micro
soft's Packet Scheduler)
0.000000 201.81.175.253 -> 201.83.122.30 TCP 3633 > 1433 [SYN] Seq=0 Len=0 MSS
=1460
2.406969 201.83.122.30 -> 72.14.253.95 HTTP GET /safebrowsing/lookup?sourceid=
firefox-antiphish&features=TrustRank&client=navclient-auto-tbff&encver
=1&nonce=-455598911&wrkey=MTpJcs2CVNdytrZNGYvYRFeD&encparams=
UfEskDW1pmtBIG_wYMnykzTcKcOjjL4icoUgZCsmND5HjrDy_lkrsLSTTw== HTTP/1.1
2 packets captured

Analisando apenas o protocolo http, sem nenhum range de porta definido.

C:\Arquivos de programas\Wireshark>tshark -nni 3 -R http
Capturing on VIA Rhine III Fast Ethernet Adapter (Micro
soft's Packet Scheduler)
2.756920 201.83.122.30 -> 64.233.179.99 HTTP GET /support/bin/answer.py?answer
=465 HTTP/1.1
3.129663 201.83.122.30 -> 72.14.253.95 HTTP GET /safebrowsing/lookup?sourceid=
firefox-antiphish&features=TrustRank&client=navclient-auto-tbff&encver=
1&nonce=-454647994&wrkey=MTpJcs2CVNdytrZNGYvYRFeD&encparams=-XJ85PqzY3
AMzkXVEoLMNYuSZhntjoCMUpQ_2kUpcdByjAyQALWcp4KyOUlZRrwgNmxIA7LN7wtm
GptYOyYbkQne0u4t4HRxjFmU HTTP/1.1

Por ser uma ferramenta texto é provável que muitos possam achar
sua sintax complexa, mas devido as inúmeras possibilidades é
muito recomendado que se perca algumas horas lendo os manuais,
vide wireshark-filter.

Dica... tshark -nni 3 -R bittorrent !!!