tshark簡單使用 wireshark

2021-06-05 07:20:47 字數 2200 閱讀 1731

ethereal

是乙個很流行的開源sniffer,支援包括solaris在內的很多平台。2023年初,主導ethereal原始碼的大牛geraldcombs跳槽到了cace公司。原來「ethereal」的商標就不能用了。偉大的開源專案如果因此而over,不免同好者唏噓。怎麼辦?combs等人只得捨棄人氣既旺的ethereal名號,將專案更名為

wireshark

。它吸引了大多數原來ethereal的contributor,從ethereal的fork點0.99.1開始,繼續新增無數令人興奮的新功能。這個網際網路的放大鏡,展現給了我們乙個生動卻又枯燥,溫馨伴著冷漠,充滿智慧型的流量和陰謀的機關,不捨虛構而又看似真實的「以太」世界。

ethereal的玩法如大多sniffer。更有趣之處在於它提供了命令列的抓包程式tethereal(現在改名為tshark)等一系列命令列工具,能夠無縫地融入unix/windows指令碼語言,使嗅探、分析的工作更得強援。

tethereal/tshark位於圖形化軟體的相同目錄內。和大多數unix指令碼一樣,它都提供了比較翔實的manpage(個人認為,可惜例子還是少了一點)。

以下試驗均基於windows平台的wireshark,版本0.99.3。

基本語法:tshark[-a

autostop condition> ] ...[-b

ring buffer option>] ...[-b

buffer size (win32 only)> ] [-c

packet count> ][-d

type>==,protocol> ][-d][-f

filter> ][-f

format> ][-h][-i

inte***ce>|- ][-l][-l][-n][-n

resolving flags> ][-o

setting> ] ...[-p][-q][-r

][-r

(display) filter> ][-s

snaplen> ][-s][-tad|a|r|d ][-tpdml|psml|ps|text ][-v][-v][-w

|- ][-x][-x

option>][-y

link type> ][-z]

根據試驗,引數的書寫有講究。模仿tcpdump,可以把抓包過濾表示式寫在命令的最後。一般將抓包表示式用引號quote起來(在windows上是雙引號"),一是為了視覺方便,一是為了逃避其中字元和shell語法的衝突(如「>」,「||」等)。抓包過濾表示式也可以寫在-f引數的後面,注意,此時更應該使用引號或者將-f放在最後。否則,它們會認為-f(可省)後面的引數都是表示式的一部分,而導致命令格式混亂。

主要引數分類含義權作解說如下:

1. 抓包介面類

2. 抓包停止條件

3. 檔案輸出控制

4. 檔案輸入

5. 處理類

6. 輸出類

7. 其它

在即時抓包模式(-r未設定)時的各引數功能一覽:

在檔案讀取分析模式時的各引數功能一覽:

出處:

tshark簡單應用指令

tshark i 1 w usr tmp icmp.cap f icmp b duration 3 測試每三秒捕獲icmp網路包 過濾icmp且ip是10.166.253.92 ps ef grep tshark grep w 10.166.253.92 awk 管道輸出上面指令的具體程序id ki...

tshark抓包工具的使用

tshark是wireshark的指令形式,有些情況下抓取網路包但是不想呼叫圖形介面時,可以用tshark libpcap x.x.x.tar.gz libpcap安裝原始檔 2.解壓縮libpcap tar zxvf libpcap x.x.x.tar.gz 進入到解壓縮後的資料夾中 cd lib...

使用tshark抓包分析http請求

預設我們的機器上是沒有安裝這個工具的。如果你的linux是centos那麼就使用yum安裝 yum install y wireshark 具體安裝方法,請參考 以下,簡單介紹這個抓包工具的應用 1.以下的用法可以顯示訪問http請求的網域名稱以及uri 2.以下可以抓取mysql的查詢 tshar...