Blog Linux Avante

'Wireshark For The Terminal': Termshark 2.0 adiciona remontagem de stream, entrada canalizada e modo dark

12 de novembro de 2019

Termshark, uma interface de terminal semelhante ao Wireshark para TShark escrita em Go, foi atualizada para a versão 2.0.0. Esta versão inclui suporte para modo escuro, entrada canalizada e remontagem de stream, bem como otimizações de desempenho que tornam a ferramenta mais rápida e responsiva.

Termshark Tshark TUI

Wireshark, o analisador de protocolo de rede gratuito e de código aberto, já possui uma versão de terminal - TShark. Mas o TShark não tem uma interface de usuário de terminal interativa (TUI), e é aí que o Termshark entra - é uma interface de terminal interativa para o TShark que tenta copiar o layout do Wireshark.

O último Termshark 2.0 inclui algumas melhorias de desempenho importantes. O aplicativo agora usa menos CPU, tem menos lentidão com a entrada do mouse e usa menos da metade da RAM em pcaps maiores.

Existem também alguns novos recursos no último Termshark 2.0.0:

  • Suporte para remontagem de stream TCP e UDP. Para acessar este recurso, vá para o menu Analysys e pressione f ou clique no item de menu Reassemble stream
  • O Termshark agora tem um modo escuro no qual usa um fundo escuro. Habilite-o no menu Misc. O modo padrão continua a usar um fundo branco.
  • O Termshark pode ser configurado para rolar automaticamente ao ler dados ao vivo (interface, fifo ou stdin)
  • Suporte para entrada pipe e fifo. Por exemplo. para canalizar a entrada tshark: tshark -i eth0 -w - | termshark
  • O Termshark UI agora pode ser executado em um tty diferente, por exemplo, termshark -i eth0 --tty=/dev/pts/5
  • Como o Wireshark, o Termshark agora preservará a estrutura aberta e fechada de um pacote conforme você passa de um pacote para o outro. Isso permite que o usuário veja as diferenças entre os pacotes mais facilmente
  • O Termshark agora respeita os sinais de controle do trabalho enviados por meio do shell, ou seja, SIGTSTP e SIGCONT
  • A fonte de captura do pacote atual (arquivo, interface, canal, etc) é exibida na barra de título do Termshark
  • O Termshark pode ser configurado para carregar rapidamente todos os dados PDML do pcap, em vez de 1000 pacotes por vez
  • Agora você pode simplesmente pressionar Enter no widget de filtro de exibição para que seu valor tenha efeito

Além disso, com esta versão, agora é possível instalar o Termshark no macOS usando Homebrew. No Windows, o Termshark não depende mais do comando Cywgin tail e, portanto, de uma instalação do Cygwin.

Baixe e instale o Termshark

Baixar Termshark

A página de lançamentos do Termshark possui binários para Linux (x64 e armv6), macOS e Windows. Ou você pode construí-lo sozinho, se preferir. O Termshark também está no Homebrew para usuários do macOS.

Para instalar o binário do Termshark no Linux (qualquer distribuição do Linux), obtenha o binário do GitHub, extraia-o e, da pasta onde foi extraído, você pode instalá-lo no /usr/local/bin usando:

Comandos para usar no terminal

sudo install termshark /usr/local/bin

Os usuários do Arch Linux encontrarão o Termshark no Arch User Repository.

O Termshark também está disponível no Debian sid/bullseye, Ubuntu 19.10 Eoan Ermine e mais recente, e Kali Linux. No momento, apenas a versão 1.0.0 está disponível e você pode instalá-la usando:

Comandos para usar no terminal

sudo apt install termshark

Instale o TShark, exigido pelo Termshark

Para funcionar, o Termshark precisa do TShark instalado. Isso faz parte do Wireshark e no macOS você pode instalá-lo usando o brew (brew install wireshark).

No Linux, o nome do pacote depende da distribuição que você está usando. Por exemplo, é tshark no Debian/Ubuntu/Kali, enquanto o pacote que fornece o TShark no Fedora é chamado wireshark-cli.

Portanto, para instalar o TShark no Debian, Ubuntu, Linux Mint, Kali Linux, etc., use:

Comandos para usar no terminal

sudo apt install tshark

Quando solicitado, responda Yes à pergunta Should non-superusers be able to capture packets?.

Para instalar wirehark-cli no Fedora:

Comandos para usar no terminal

sudo dnf install wireshark-cli

No Ubuntu e Fedora (e outras distribuições Linux) você também precisará adicionar seu usuário ao grupo wireshark (criado pela instalação do TShark - se não, adicione este grupo usando sudo groupadd wireshark) para poder executar TShark e, portanto, Termshark, sem root:

Comandos para usar no terminal

sudo usermod -a -G wireshark $USER

Depois disso, reinicie sua máquina Ubuntu ou Fedora (normalmente você deve fazer logout/login, mas não foi o suficiente no meu caso).

Confira a versão original desse post em inglês
Propaganda
Blog Comments powered by Disqus.