#TShark
Debugging DNS response times with tshark: https://isc.sans.edu/diary/rss/32592
Разбираемся с фильтрами в TShark, чтобы анализировать сетевой трафик прямо в консоли
Всем привет! На связи Сергей Баширов, ведущий разработчик из R&D-команды Cloud.ru . Сегодня поговорим о фильтрах чтения и отображения в TShark. Поделюсь лайфхаком: как быстро и просто посмотреть доступные поля для любого протокола без AI-ассистентов и поиска. Но сначала пара слов о том, как я докатился до такой жизни. Статья будет интересна тем, кто хочет анализировать сетевой трафик в командной строке или в скрипте. Этот навык может пригодиться как в процессе разработки и отладки, так и в процессе тестирования программ. Ведь современные приложения и сервисы сложно представить без сетевых функций. Поехали
Level up your packet analysis skills before SharkFest kicks off!
This hands-on, 2 day class will teach you how to capture, analyze, and troubleshoot real network traffic using Wireshark. It will also prepare you for the WCA exam.
What you’ll learn:
- How to capture and analyze live network traffic
- Key protocol deep dives (#TCP, UDP, HTTP, TLS, DNS, and more)
- Advanced display filtering and troubleshooting workflows
- Command-line analysis with #TShark
November 3–4 | Warsaw, Poland
Register now: https://sharkfest.wireshark.org/sfeu
#Wireshark #sf25eu #Networking #NetworkEngineering #DNS #UDP #WCA #NetworkAnalysis #Cybersecurity
So uh... I did a thing. Can one of yall donate me a few printers so I can dissect the traffic to build a proper script? lol
(I'm joking about the printer donation but glad to see my idea works and it is scriptable)
(Had wrong screenshot so redid it)
Чёрт в табакерке: инструмент для диагностики сети на базе ОС FreeBSD
Изложенная в этой статье идея и инструкция по воплощению инструмента диагностики сетевых проблем, для многих сисадминов старой закалки может показаться банальной, но я уверен, что молодое поколение инженеров взросших на сертифицированных и дорогостоящих решениях от именитых производителей (Cisco Systems, Fluke Networks, etc) вряд ли даже догадывается о том, какой мощный инструмент можно получить от операционной системы FreeBSD прямо из коробки. Достаточно установить её на компактное устройство с двумя Ethernet интерфейсами и выполнить ряд манипуляций по настройке вполне стандартных вещей. Идея создания «stand-alone» инструмента для удаленной диагностики Ethernet сетей не покидала мою голову с начала 2000-х годов когда я еще трудился у интернет-провайдеров местного р о злива и постоянно сталкивался с необходимостью анализа сетевого трафика для устранения различных проблем. В те времена мы очень часто использовали стандартное ПК-шное железо с установленной на него ОС FreeBSD для сетевых маршрутизаторов и серверов, так как на что-то более-менее серьезное просто не было средств, такие уж были времена. С тех пор я глубоко проникся сетевыми возможностями предоставляемыми этой операционной системой, как говорят, прямо из коробки — маршрутизатор и сетевой экран поднимаются на ней за считанные минуты на стандартном железе, которого хватало на долгие годы. Да что тут говорить, у меня на фирме уже более 10-ти лет маршрутизатором трудится Фря на старом HP-шном 1U сервере и даже не думает сдаваться. Написать эту статью меня побудила нужда. Я уже давно не являюсь сетевым инженером и порядком отстал от современных тенденций. Но один из моих заказчиков, для которого мы выполняли разработку программно-аппаратного комплекса и сейчас осуществляем его сопровождение, эксплуатирует большой парк разношерстных IP-домофонов и постоянно сталкивается с неразрешимыми проблемами связанными с инфраструктурой. Эти домофоны обычно подключаются к Сети через сторонних интернет-провайдеров, до сервисных служб которых в последнее время достучаться очень сложно. Даже если удается пообщаться с инженером на стороне провайдера, то объяснить ему суть проблемы, и тем более доказать, что причина находится на его стороне, не имея каких-то технических фактов, — просто не реально. С другой стороны, огромное количество дешевых IP-домофонов китайского производства не предоставляют возможности выяснить, что и как там внутри происходит, какие специфические опции SIP протокола они используют и правильно ли используют. Существует масса проблем несовместимости по SIP и нерабочих механизмов «NAT traversal», а каких либо способов их диагностировать сами изделия не предоставляют. В общем, есть острая необходимость «подслушать» трафик создаваемый таким устройством и проанализировав его понять «кто виноват и что делать».
https://habr.com/ru/articles/928424/
#FreeBSD #Sniffer #Сниффер #WrireShark #tshark #tcpdump #trafshow #snort #минипк #космотекст
So I tried a few things, namely switching Virtualbox network modes. But I could not see packets between the VMs.
I imagine when traffic is between VMs #Virtualbox is not putting the packets in the TCP/IP stack where #Wireshark on the host can see them. Only when the traffic crosses to the host or the network beyond does Wireshark (or #tshark) see it.
I don't want to capture traffic on the VMs themselves (having to install Wireshark or something else on Windows 98...).
So I searched around and found the article below in the Virtualbox wiki on network tracing.
You can essentially configure the NIC on each VM to capture all packets and log them to a pcap. So this is what I'll use.
Testing #BashCore #Injector on the worst laptop alive:
💻 Acer Aspire One D160 (2009) – Atom 450, 2GB RAM.
Ubuntu Server + Injector = full CLI pentesting kit:
🔎 #nmap #amass #dirb
💥 #hydra #sqlmap #metasploit
🕸️ #tshark #proxychains4 #tor
🛠️ #vim #curl #python3 #R + more.
Let’s see if this relic can still hack it 🤟🤞
#bashcore #ubuntu #lowend #pentesting #linux #cli #bashcoreinjector
MalChela 2.2 “REMnux” Release
MalChela’s 2.2 update is packed with practical and platform-friendly improvements. It includes native support for REMnux, better tool settings, and deeper integrations with analysis tools like YARA-X, Tshark, Volatility3, and the newly improved fileanalyzer module.
🦀 REMnux Edition: Built-In Support, Zero Tweaks
When the GUI loads a REMnux-specific tools.yaml profile, it enters REMnux mode.
Screenshot of yaml configuration applying REMnux modeNative binaries and Python scripts like capa, oledump.py, olevba, and FLOSS are loaded into the MalChela tools menu, allowing you to mix and match operations with the embedded MalChela utilities and the full REMnux tool stack. No manual configuration needed—just launch and go. MalChela currently supports the following REMnux programs right out of the box:
Tool NameDescriptionbinwalkFirmware analysis and extraction toolcapaIdentifies capabilities in executable filesradare2Advanced reverse engineering frameworkVolatility 3Memory forensics framework for RAM analysisexiftoolExtracts metadata from images, documents, and moreTSharkTerminal-based network packet analyzer (Wireshark CLI)mraptorDetects malicious macros in Office documentsoledumpParses OLE files and embedded streamsoleidIdentifies features in OLE files that may indicate threatsolevbaExtracts and analyzes VBA macros from Office filesrtfobjExtracts embedded objects from RTF documentszipdumpInspects contents of ZIP files, including suspicious payloadspdf-parserAnalyzes structure and contents of suspicious PDFsFLOSSReveals obfuscated and decoded strings in binariesclamscanOn-demand virus scanner using ClamAV enginestringsExtracts printable strings from binary filesYARA-XNext-generation high-performance YARA rule scannerIf you only need a subset of tools you can easily save and restore that a custom profile.
TShark Panel with Built-In Reference
Tshark and the integrated field referenceA new TShark integration exposes features including:
- A filter builder panel
- Commonly used fields reference
- Tooltip hints for each example (e.g., `ip.addr == 192.168.1.1` shows “Any traffic to or from 192.168.1.1”)
- One-click copy support
This helps analysts build and understand filters quickly—even if TShark isn’t something they use every day. Using the syntax builder in MalChela you can use the exact commands directly in Tshark or Wireshark.
YARA-X Support (Install Guide Included)
YARA-X module in MalChelaSupport for YARA-X (via the `yr` binary) is now built in. YARA-X is not bundled with REMnux by default, but install instructions are included in the User Guide for both macOS and Linux users.
Once installed, MalChela allows for rule-based scanning from the GUI,and with YARA-X, it’s faster than ever.
fileanalyzer: Fuzzy Hashing, PE Metadata, and More
Updated FileAnalyzer ModuleMalChela’s fileanalyzer tool has also been updated to include:
- Fuzzy hashing support via `ssdeep`
- BLAKE3 hashing for fast, secure fingerprints
- Expanded PE analysis, including:
- Import and Export Table parsing (list of imported and exported functions)
- Compilation Timestamp (for detection of suspicious or forged build times)
- Section Characteristics (flags like IMAGE_SCN_MEM_EXECUTE, IMAGE_SCN_CNT_CODE, etc., for detecting anomalous sections)
These improvements provide deeper insight into executable structure, helping analysts detect anomalies such as packers, suspicious timestamps, or unexpected imports/exports. Useful for everything from sample triage to correlation, fileanalyzer now digs deeper—without slowing down.
Memory Forensics Gets a Boost: Volatility 3 Now Supported
With the 2.2 release, MalChela introduces support for Volatility 3, the modern Python-based memory forensics framework. Whether you’re running MalChela in REMnux or on a customized macOS or Linux setup, you can now access the full power of Volatility directly from the MalChela GUI.
Volatility 3 in MalChelaThere’s an intuitive plugin selector that dynamically adjusts available arguments based on your chosen plugin,. You can search, sort, and browse available plugins, and even toggle output options like –dump-dir with ease.
Like Tshark, there is an added plugin reference panel with searchable descriptions and argument overviews — a real time-saver when navigating Volatility’s deep and often complex toolset.
Volatility Plugin ReferenceSmarter Tool Configuration via YAML
The tool configuration system continues to evolve:
- Tools now declare their input type (file, folder, or hash)
- The GUI dynamically adjusts the interface to match
- Alternate profiles (like REMnux setups) can be managed simply by swapping `tools.yaml` files via the GUI
- Easily backup or restore your custom setups
- Restore the default toolset to get back to basics
This structure helps keep things clean—whether you’re testing, teaching, or deploying in a lab environment.
Embedded Documentation Access
The GUI now includes a link to the full MalChela User Guide in PDF. You can also access the documentation online.
From tool usage and CLI flags to configuration tips and install steps, it’s all just a click away—especially useful in offline environments or when onboarding new analysts. I’ll be honest, this is likely the most comprehensive user guide I’ve ever written.
Whether you’re reviewing binaries, building hash sets, or exploring network captures—MalChela 2.2 is designed bring together the tools you need, and make it easier to interoperate between them.
The new REMnux mode makes it even easier to get up and running with dozens of third party integrations.
Have an idea for a feature or application you’d like to see supported — reach out to me.
GitHub: REMnux Release
MalChela User Guide: Online, PDF, Web
Shop: T-shirts, hats, stickers, and more
#DFIR #Github #MalChela #Malware #MalwareAnalysis #Memory #Network #NSRL #PCAP #Python #REMnux #Rust #Tshark #VirusTotal #Volatility #yara
MalChela 2.2 “REMnux” Release
More tools. More Docs. More Power.
#DFIR #MalwareAnalysis #YaraX #Volatility #Tshark #MalChela
http://bakerstreetforensics.com/2025/05/21/malchela-2-2-remnux-release/
BPF Ninja: Making Sense of Tcpdump, Wireshark, and the PCAP World:
https://medium.com/@cyberengage.org/bpf-ninja-making-sense-of-tcpdump-wireshark-and-the-pcap-world-6905797b94d4
Gibt's irgendwo eine aktuelle Android #Bluetooth #HCI log Doku? Finde diverse Infos, die alle nicht mehr aktuell sind. #androiddump gibt's wohl nicht mehr. An die btsnoop_hci.log Datei kommt man nur noch per adb bugreport filename.zip ? Und dann per #tshark anzeigen lassen?
During a recent change management call, one of the app teams was talking about running Wireshark on their four app servers to capture an elusive authentication timeout event. They would have to filter for all traffic coming and going to all 16 of our domain controllers and were expecting to run it for up to 24 hours.
The networking team lead immediately spoke up and told them that would probably fill their hard drives and use all their RAM and they should probably rethink it.
The app team admitted they had no experience with Wireshark and were just following the advice of their vendor's tech support.
I asked them why they didn't just use tshark or dumpcap which is how I got roped into helping them with their change.
I was able to step in and help them use dumpcap instead of Wireshark. I built them a command that would create 50 MB pcap files and stop when it hit a total file count that was the equivalent to half of the available disk space (each server had the same amount of free space on the secondary drive).
I was proud of myself for being able to leverage the shit I've learned OTJ and via my SANS GIAC certifications.
It was a little thing, but it saved them a lot of trouble and possibly crashing their servers.
It's nice when teams can work together.
From day one, TShark has been an essential part of #BashCore. It’s not just a substitute for Wireshark—it’s the same powerful engine, but fully command-line. If you’re serious about network analysis and pentesting, mastering TShark is a must.
It has nothing less than Wireshark, just no GUI. Learn it, and you’ll have full control over packet capture and analysis, even on minimal systems.
https://www.wireshark.org/docs/man-pages/tshark.html
#CyberSecurity #Networking #Linux #TShark #Pentesting #NoGUI
Dive into SharkFest'25 US with these must-attend sessions:
• Are You Ready for Post Quantum Encryption? (Larry Greenblatt)
• New kid on the block: Stratoshark (Sake Blok)
• Sharkmon - Packet Monitoring using Tshark (Andreas Diedrich)
Join us at SharkFest'25 US to deepen your network analysis skills and connect with industry experts!
Firewall не спасёт
Сгенерировано с помощью GIGA-CHAT Межсетевые экраны издревле применяются для блокирования входящего трафика нежелательных приложений. Обычно для этого создаются правила фильтрации, разрешающие входящий трафик по явно указанным сетевым портам и запрещающие весь остальной. При этом легитимные приложения, монопольно владеющие открытыми портами, работают без проблем, а вот нежелательные остаются без связи, поскольку все доступные им порты блокируются межсетевым экраном. Данный подход давно отработан и стар как мир, казалось бы, что тут может пойти не так? А оказывается, может и вполне идёт. Далее из этой статьи вы узнаете две техники обхода межсетевых экранов, позволяющие нежелательным приложениям преодолевать фильтрацию входящего сетевого трафика и получать команды от удалённых узлов.
https://habr.com/ru/companies/ruvds/articles/874292/
#ruvds_статьи #firewall #nftables #python #powershell #shell #tcpdump #wireshark #tshark #взлом #nginx #ssh
[Перевод] Создаём альтернативный SDK устройства при помощи Wireshark
Почти четыре года назад я писал о реверс-инжиниринге Stream Deck с целью получения полного контроля над устройством и устранения зависимости от ПО Stream Deck. Мне по-прежнему нравится это «железо», но ПО стало только хуже — теперь оно даже требует входа в аккаунт пользователя для скачивания расширений. Я стремлюсь максимально уважать приватность и выбор пользователей, поэтому если уж я хочу использовать устройство без аккаунта, то вам лучше предоставить мне такую возможность. К счастью, развивая идеи моей предыдущей работы над DeckSurf , я наконец-то набрался решимости вложиться по полной и сделать мой проект приемлемой альтернативой проприетарному ПО для этого крайне гибкого и универсального устройства с кнопками. В этом посте мы рассмотрим работу Stream Deck Plus — устройства ценой $179,99, которым вы, дорогой читатель, теперь сможете пользоваться, даже если не хотите устанавливать ПО его производителя.
https://habr.com/ru/companies/ruvds/articles/871698/
#wireshark #tshark #usbустройства #usbhid #sdk #open_source #обратная_разработка #ruvds_перевод
Hello everyone.
In today's article we learn tshark in detail and with usage examples
I wish everyone good work:
https://denizhalil.com/2024/02/16/tshark-network-analysis-tool/
#tshark #cybersecurity #networksecurity #packetsniffer #packetcapture #wireshark #trafficmonitoring
Анализируем трафик и определяем домены, которые используют сайты и приложения
В этой статье рассказываю, как найти все домены и субдомены, которые использует сайт. Разбираю простые методы, работающие как с обычным одностраничником, так и со сложным веб-приложениями вроде YouTube. Рассмотрим: Как найти все домены сайта с помощью DevTools в браузере. Какие утилиты использовать для анализа трафика приложений на Android и iOS. И как по классике узнать, к каким доменам ходят приложения на Windows, Linux, MacOS с помощью анализа сетевого трафика интерфейса. Внутри 9МБ картинок.
https://habr.com/ru/articles/834168/
#tshark #wireshark #sniffing #домены #devtools #pcap #domains
Avanzando con el material, ejemplos y prácticas para el nuevo curso de #wireshark de juncotic.com!
Hoy: #tshark, la herramienta de línea de comandos de wireshark, para cuando no tenemos un entorno gráfico, por ejemplo, cuando usamos conexiones #ssh.
😀