tShark — это консольная версия программы Wireshark и может использоваться для захвата и анализа сетевого трафика в реальном времени. Если вы настроили mirror-порт (port mirroring) на своем сетевом устройстве (например, коммутаторе), он будет копировать трафик с одного или нескольких портов на специально назначенный порт, где подключен анализатор сетевого трафика, такой как tShark.
Когда вы запускаете tShark на машине, подключенной к mirror-порту, tShark будет захватывать копию трафика, проходящего через сконфигурированные порты на свитче. tShark сможет захватывать весь трафик, передаваемый через mirror-порт, если:
1. Правильно настроен mirror-порт на коммутаторе для копирования трафика с интересующих портов.
2. Сетевая карта машины, к которой подключен tShark, работает в режиме promiscuous (без фильтрации трафика по MAC-адресу), что позволяет захватывать весь проходящий через нее трафик.
3. tShark запущен без фильтров, ограничивающих захват пакетов (например, без использования флага `-f` или `-Y`, которые могут применять BPF или дисплейные фильтры соответственно).
В командной строке запуск tShark для захвата всего трафика выглядит примерно так:
```bash
tshark -i имя_интерфейса -w файл_для_сохранения.pcap
```
Здесь:
- `-i имя_интерфейса` — указание интерфейса для захвата трафика (который подключен к mirror-порту).
- `-w файл_для_сохранения.pcap` — сохранение захваченного трафика в файл формата pcap для последующего анализа.
Убедитесь, что у вашего пользователя есть необходимые права для запуска tShark и захвата трафика на сетевом интерфейсе. В некоторых системах, вам может потребоваться запуск tShark с правами суперпользователя (используя `sudo` в системах Linux).
Если все настроено верно, tShark будет собирать и записывать весь трафик, проходящий через mirror-порт на вашей сетевой карте.