Termshark – Wireshark im Terminal
Einführung
- Termshark ist eine textbasierte Benutzeroberfläche für TShark, das Kommandozeilen-Pendant zu Wireshark. Es ermöglicht die Analyse von Netzwerkverkehr direkt im Terminal, inklusive Filterung, Paketdetails und Stream-Ansicht.*
Installation
- Unter Debian oder Ubuntu genügt die Installation über APT:*
sudo apt install termshark
- Alternativ kann das aktuelle .deb-Paket von GitHub bezogen werden:*
wget https://github.com/gcla/termshark/releases/latest/download/termshark_amd64.deb
sudo dpkg -i termshark_amd64.deb
Verwendung
Live-Analyse einer Netzwerkschnittstelle
- Startet Termshark auf Interface enp0s3:*
termshark -i enp0s3
Analyse einer PCAP-Datei
- Öffnet eine gespeicherte Mitschnittdatei:*
termshark -r /tmp/test.pcap
Filter anwenden
- BPF- und Display-Filter funktionieren wie in Wireshark:*
ip.addr == 10.0.10.5
tcp.port == 80
http
dns && udp
Navigation
| Taste |
Funktion
|
| Tab |
Zwischen Paketliste, Details und Hexdump wechseln
|
| Pfeiltasten |
In der Liste navigieren
|
| Enter |
Paketdetails ein-/ausklappen
|
| / |
Filter eingeben
|
| q |
Beenden
|
Streams folgen
- Mit der Taste „s“ kann ein TCP- oder UDP-Stream geöffnet werden, ähnlich wie in Wireshark („Follow Stream“).*
Beispiel
- Live-Analyse mit Filter auf Port 443:*
termshark -i enp0s3 -f "tcp port 443"
Tipps
- termshark nutzt intern tshark, daher müssen Capture-Berechtigungen vorhanden sein (z. B. Gruppe „wireshark“).
- Zum Speichern von Filtern und Layouts legt Termshark seine Konfiguration unter `~/.config/termshark/` ab.
- Ideal für SSH-Sessions und Headless-Server.
Siehe auch