tshark -r data.pcap -R "ip.addr==192.168.1.2 && ip.addr==64.12.24.50 && aim" -d tcp.port==443,aim -T fields -e "aim.buddyname" |sort |uniq -c
Команда «tshark» анализирует сетевой трафик, записанный в файле «data.pcap», и отфильтровывает только пакеты, у которых исходный и целевой IP-адрес соответствуют «192.168.1.2» и «64.12.24.50» соответственно, а также протокол — AIM.
Далее, команда использует декодирование tcp порта 443 для протокола AIM и выводит только поле «aim.buddyname» — имя друга в AIM.
Результат сортируется, и подсчитывается, сколько раз каждое имя друга встречается.
Данная команда полезна для анализа исходящих и входящих соединений AIM и идентификации имен пользователей в сетевом трафике.
Альтернативы могут включать использование других инструментов анализа сетевого трафика, таких как tcpdump или Wireshark, с использованием фильтрации, чтобы достичь аналогичных результатов.
Передаваемые команде аргументы:
— «-r data.pcap»: указывает путь к файлу с захваченным сетевым трафиком;
— «-r «ip.addr==192.168.1.2 && ip.addr==64.12.24.50 && aim» «: фильтрует только пакеты с указанными IP-адресами и протоколом AIM;
— «-d tcp.port==443,aim»: указывает на декодирование tcp порта 443 для протокола AIM;
— «-t fields»: определяет формат вывода результатов;
— «-e «aim.buddyname» «: выбирает только значение поля «aim.buddyname» в выводе;
— «| sort»: сортирует результаты;
— «| uniq -c»: подсчитывает количество повторяющихся значений.