Termshark
Version vom 1. November 2025, 16:34 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „=Termshark – Wireshark im Terminal= ==Einführung== *Termshark ist eine textbasierte Benutzeroberfläche für TShark, das Kommandozeilen-Pendant zu Wireshar…“)
Termshark – Wireshark im Terminal
Einführung
- Termshark ist eine textbasierte Benutzeroberfläche für TShark, das Kommandozeilen-Pendant zu Wireshark. Es ermöglicht die Analyse von Netzwerkverkehr direkt im Terminal, inklusive Filterung, Paketdetails und Stream-Ansicht.*
Installation
- Unter Debian oder Ubuntu genügt die Installation über APT:*
sudo apt install termshark
- Alternativ kann das aktuelle .deb-Paket von GitHub bezogen werden:*
wget https://github.com/gcla/termshark/releases/latest/download/termshark_amd64.deb sudo dpkg -i termshark_amd64.deb
Verwendung
Live-Analyse einer Netzwerkschnittstelle
- Startet Termshark auf Interface enp0s3:*
termshark -i enp0s3
Analyse einer PCAP-Datei
- Öffnet eine gespeicherte Mitschnittdatei:*
termshark -r /tmp/test.pcap
Filter anwenden
- BPF- und Display-Filter funktionieren wie in Wireshark:*
ip.addr == 10.0.10.5 tcp.port == 80 http dns && udp
| Taste | Funktion |
|---|---|
| Tab | Zwischen Paketliste, Details und Hexdump wechseln |
| Pfeiltasten | In der Liste navigieren |
| Enter | Paketdetails ein-/ausklappen |
| / | Filter eingeben |
| q | Beenden |
Streams folgen
- Mit der Taste „s“ kann ein TCP- oder UDP-Stream geöffnet werden, ähnlich wie in Wireshark („Follow Stream“).*
Beispiel
- Live-Analyse mit Filter auf Port 443:*
termshark -i enp0s3 -f "tcp port 443"
Tipps
- termshark nutzt intern tshark, daher müssen Capture-Berechtigungen vorhanden sein (z. B. Gruppe „wireshark“).
- Zum Speichern von Filtern und Layouts legt Termshark seine Konfiguration unter `~/.config/termshark/` ab.
- Ideal für SSH-Sessions und Headless-Server.