tshark 기본 설정

tshark 이용시 root권한으로 구동하는 경우 취약점을 이용한 악성 패킷 등에 의해 공격이 가능하다.

때문에 최소한의 권한으로 실행이 필요한데, 이 때 capability를 이용하면 root만 가능한 동작을 선택하여 활성화, 비활성화가 가능함 

- Capability 설정 (CentOS 7 기준)

[root@x2]# groupadd tshark

[root@x2]# usermod -a -G tshark tsharkusr

[root@x2]# chgrp tshark /usr/sbin/dumpcap

[root@x2]# chmod 750 /usr/sbin/dumpcap

[root@x2]# setcap cap_net_raw,cap_net_admin=eip /usr/sbin/dumpcap

[root@x2]# getcap /usr/sbin/dumpcap 

/usr/sbin/dumpcap = cap_net_admin,cap_net_raw+eip

[root@x2]# su - tsharkusr

- 일반 사용자로 패킷 캡쳐 테스트 

[tsharkusr@x2]$ tshark -i eth0 

Capturing on 'eth0'

  1 0.000000000 192.168.0.80 -> 192.168.0.1  DNS 77 Standard query 0x9e60  SRV _ldap._tcp.x2.com

  2 0.000284413 192.168.0.80 -> 192.168.0.99 Syslog 244 USER.NOTICE: May 23 10:47:11 localhost fluentd: 2017-05-23T01:47:11Z\tfluentd\t{"message":"type=ANOM_PROMISCUOUS msg=audit(1495504031.837:64088): dev=eth0 prom=256 old_prom=0 auid=1003 uid=1003 gid=1003 ses=9006"}

- tshark에서 패킷 캡쳐를 위해 dumpcap 자식 프로세스로 사용하는 동작 확인

[tsharkusr@x2]$ tshark -i eth0 -f "tcp port 22" -w /tmp/ssh.pcap >/dev/null 2>&1  &

[1] 3261

[tsharkusr@x2]$ pstree -pa `pidof tshark`

tshark,3261 -i eth0 tcp port 22 -w /tmp/ssh.pcap

  └─dumpcap,3267 -n -i eth0 -f tcp port 22 -Z none -w /tmp/ssh.pcap

* 필터링 캡처 ( -f 는 tshark 의 캡쳐 필터 옵션으로 이미 캡쳐된 패킷을 필터링하는 디스플레이필터와는 다름)

- Display Filter 검색

$ tshark -G | cut -f3 | egrep "syslog"

- 캡처 & 디스플레이 필터 함께 적용하여 캡쳐 (-x는 hex 값)

$ tshark -i eth0 -f "udp port 514" -R "syslog.msg" -x