Wireshark je nejpopulárnější nástroj pro deep packet inspection.
Installation¶
sudo apt install wireshark brew install –cask wireshark
Display filtry¶
http tcp.port == 443 ip.addr == 10.0.1.50 http.response.code >= 400 !(arp || dns)
Klíčové funkce¶
- Follow TCP Stream — celá konverzace
- Statistics → Conversations — kdo s kým
- Statistics → I/O Graph — provoz v čase
Remote capture¶
ssh user@server ‘sudo tcpdump -w - port 80’ | wireshark -k -i -
Wireshark pro hloubku¶
tcpdump na serveru, Wireshark lokálně pro analýzu.
wiresharknetworkingpacket analysis