tshark로 장치 특정 USB 패킷을 어떻게 캡처합니까?

1

USB 장비가있어서 패킷을 캡처하고 싶습니다. 나는 달렸다. .\tshark.exe -D USB 인터페이스는 6 번입니다. 그런 다음 명령을 실행했습니다. .\tshark.exe -c 100 -i 6 그것은 내 장치에서 USB 트래픽을 캡처하는 것 같았다.

그런 다음이 장치가 실행 중일 때 여러 개의 USB 장치가 시스템에 연결되어 지정이 충분하지 않을 수도 있습니다. 나는 장치 ID (0x0009)와 공급 업체 ID (0x08f7)를 알고 있는데 tshark를 통해 캡처하려는 정확한 장치를 어떻게 지정할 수 있습니까?

Windows 8 명령 줄에서 tshark를 실행하고 있습니다.

windows-8  command-line  wireshark  sniffing 
j0h
소스
캡처 필터 표현식은 다음과 같습니다. usb.device_address == # 아마도 그 값에 대한 장치 주소를 지정하기 만하면됩니다.
Pimp Juice IT
어떻게하면 USB 장치 주소를 얻을 수 있습니까?
j0h

답변:

1

tshark로 장치 특정 USB 패킷을 어떻게 캡처합니까?

나는 장치 ID (0x0009)와 공급 업체 ID (0x08f7)를 알고 있는데 tshark를 통해 캡처하려는 정확한 장치를 어떻게 지정할 수 있습니까?

좀 더 자세히 살펴보고 싶을 수도 있습니다. tshark (1) - Linux 매뉴얼 페이지 그리고 tshark - Wireshark 매뉴얼 페이지 그리고 -f-i 스위치 옵션.

또한 Wireshark 캡춰 필터 그리고 Wireshark USB 디스플레이 필터 레퍼런스 필터링하고 사용자의 필요에 맞는 명령을 작성하는 데 유용 할 수 있습니다.

다음과 같은 캡처 필터 표현식을 사용할 수 있습니다. usb.device_address == # 또는 usb.addr == # 와 더불어 -f 스위치를 누르면 특정 USB 장치의 패킷 만 캡처합니다.

tshark - Wireshark 매뉴얼 페이지

캡처 또는 읽기 필터는 - 에프 또는 - 아르 자형 옵션을 사용합니다.이 경우 전체 필터 표현식은   단일 인수로 지정 될 수 있습니다 (즉, 포함하는 경우   공백, 따옴표로 묶어야 함) 또는 명령 줄과 함께 지정할 수 있습니다   옵션 인수 뒤의 인수.이 경우 모든 인수   필터 인수가 필터 식으로 처리 된 후 포착   필터는 라이브 캡처를 수행 할 때만 지원됩니다. 읽기 필터는   실시간 캡처를 수행 할 때 및 캡처 파일을 읽을 때 지원되며,   그러나 필터링 할 때 TShark에 더 많은 작업을 요구하므로   읽기를 사용하는 경우로드가 많은 경우 패킷 손실 가능성이 높습니다.   필터. 필터가 명령 줄 인수와 함께 지정된 경우   옵션 인수. 캡처가 완료되면 캡처 필터입니다.   (즉, -r 옵션이 지정되지 않은 경우) 캡처   파일을 읽는 중입니다 (즉, -아르 자형 옵션이 지정됨). 

-f <capture filter>

캡처 필터 표현식을 설정하십시오.

이 옵션은 여러 번 발생할 수 있습니다. 처음 사용하기 전에   -i 옵션이 발생하면 기본 캡처 필터를 설정합니다.   표현. -i 옵션 뒤에 사용하면 캡처 필터를 설정합니다.   마지막 -i 옵션에 의해 지정된 인터페이스에 대한 표현식 발생   이 옵션 앞에. 캡처 필터 표현식이 설정되지 않은 경우   특히 기본 캡처 필터 표현식은 다음과 같이 사용됩니다.   제공됩니다.

출처

tshark (1) - Linux 매뉴얼 페이지

-i <capture interface>|-

라이브 패킷에 사용할 네트워크 인터페이스 또는 파이프의 이름 설정   포착.

네트워크 인터페이스 이름은 다음에 나열된 이름 중 하나와 일치해야합니다.   " tshark -D "(위에 설명)," tshark -D ",   또한 사용할 수 있습니다. UNIX를 사용하는 경우 " netstat -i "또는" ifconfig -a "   모든 버전의 인터페이스 이름은 아니지만 인터페이스 이름을 나열 할 수도 있습니다.   UNIX는 ifconfig에 -a 옵션을 지원합니다.

인터페이스가 지정되지 않은 경우, TShark 인터페이스 목록을 검색하고,   루프백 인터페이스가없는 경우 첫 번째 비 루프백 인터페이스 선택   비 루프백 인터페이스 및 첫 번째 루프백 인터페이스 선택   비 루프백 인터페이스는 없습니다. 에 인터페이스가없는 경우   모든, TShark 오류를보고하고 캡처를 시작하지 않습니다.

파이프 이름은 FIFO (명명 된 파이프) 또는 "-"의 이름이어야합니다.   표준 입력으로부터 데이터를 읽는다. 파이프에서 읽은 데이터가 있어야합니다.   표준 libpcap 형식.

참고 : Win32 버전의 TShark 에서 캡처를 지원하지 않습니다.   파이프!

출처

Pimp Juice IT
소스
이것은 Windows 8.1 작업이지만 도움이된다고 생각하면 맨페이지를 살펴볼 것입니다.
j0h
1
@ j0h 명령 스위치와 옵션은 Linux 매뉴얼 페이지와 마찬가지로 명령 행에서 작동해야합니다. 나는 또한 Wireshark tshark man 페이지도 포함시켰다. 난 당신이 캡처하고자하는 USB 장치 (들)의 필터 캡처에 대한 적절한 표현식으로 명령을 작성해야한다고 생각합니다. 그렇지 않으면 -i 스위치는 인터페이스에 고유 한 것으로 간주되며 다른 링크는 올바른 구문으로 도움이 될 수 있습니다 (다른 하나는 필터 또는 -i 스위치). 질문을 Windows 또는 Window 8.1로 태그 할 수 있습니다.
Pimp Juice IT
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.