在 wireshark 程式目錄中,包含兩個命令列捕獲工具。這兩個工具分別是 dumpcap 和 tshark。當不能以圖形介面方式捕獲資料時,可以在命令列使用 dumpcap 或 tshark 程式實施捕獲。
一、使用 dumpcap 捕獲資料
執行 dumpcap -h 可以檢視引數詳情。
1、執行 dumpcap -d 檢視本機可用的介面。
d:\program files (x86)\wireshark>dumpcap.exe -d
1. \device\npf_ (鏈湴榪炴帴* 3)
2. \device\npf_ (vmware network adapter vmnet8)
3. \device\npf_ (鏈湴榪炴帴* 2)
4. \device\npf_ (wlan)
5. \device\npf_ (vmware network adapter vmnet1)
6. \device\npf_ (鏈湴榪炴帴)
顯示亂碼不要介意,可見當前有6個介面。
2、捕獲資料。在捕獲資料時,可以使用-c 或 -a選項指定停止捕獲資料報的條件。本例中選擇捕獲第4個介面上的資料,並且當捕獲檔案達到1000kb時自動停止捕獲。執行命令如下所示。
d:\program files (x86)\wireshark>dumpcap -i 4 -a filesize:1000 -w e:\file\wireshark\1000kb.pcapng
capturing on
'wlan'
file: e:\file\wireshark\1000kb.pcapng
packets captured: 1296
packets received/dropped on inte***ce 'wlan': 1296/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%)
從輸出的資訊中可以看到捕獲的檔名、資料報數。
3、檢視生成捕獲檔案 100kb.pcapng 的大小。
d:\program files (x86)\wireshark>dir e:\file\wireshark\1000kb.pcapng
驅動器 e 中的卷是 文件
卷的序列號是 000f-d904
e:\file\wireshark 的目錄
2016/03/01 18:58 1,000,676 1000kb.pcapng
1 個檔案 1,000,676 位元組
0 個目錄 13,512,331,264 可用位元組
二、使用 tshark 捕獲資料
tshark 是依賴 dumpcap 捕獲資料的。可以通過 tshark -h 檢視引數資訊。操作如下:
1、開啟終端
2、切換到 wireshark 目錄。執行 tshark -d 命令,檢視可用的介面。
d:\program files (x86)\wireshark>tshark -d
1. \device\npf_ (鏈湴榪炴帴* 3)
2. \device\npf_ (vmware network adapter vmnet8)
3. \device\npf_ (鏈湴榪炴帴* 2)
4. \device\npf_ (wlan)
5. \device\npf_ (vmware network adapter vmnet1)
6. \device\npf_ (鏈湴榪炴帴)
3、開始捕獲資料。
d:\program files (x86)\wireshark>tshark -i4 -a files:3 -b duration:10 -w e:\file\wireshark\mytshark.pcapng
capturing on
'wlan'
1808
以上命令表示指定捕獲4號介面,捕獲3個檔案後自動停止,10秒後捕獲下乙個檔案。
4、檢視生成的捕獲檔案。
d:\program files (x86)\wireshark>dir e:\file\wireshark\mytshark*
驅動器 e 中的卷是 文件
卷的序列號是 000f-d904
e:\file\wireshark 的目錄
2016/03/01 19:17 22,396 mytshark_00001_20160301191653.pcapng
2016/03/01 19:17 753,168 mytshark_00002_20160301191703.pcapng
2016/03/01 19:17 282,500 mytshark_00003_20160301191713.pcapng
3 個檔案 1,058,064 位元組
0 個目錄 13,511,270,400 可用位元組
三、使用捕獲過濾器
當使用者在命令列捕獲資料時,可能只想捕獲特定的資料。
使用 dumpcap 指定捕獲過濾器進行資料捕獲。
d:\program files (x86)\wireshark>dumpcap -i4 -f "tcp port 80" -w e:\file\wireshark\port80.pcapng
capturing on
'wlan'
file: e:\file\wireshark\port80.pcapng
packets captured: 287
packets received/dropped on inte***ce 'wlan': 287/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%)
輸出的資訊顯示了捕獲的包數和捕獲檔名。執行以上命令後,該程式不會自動停止捕獲,需要按下 ctrl + c 組合鍵停止。使用 tshark 工具指定捕獲過濾器的引數和 dumpcap 一樣,這裡不再贅述。
四、使用顯示過濾器
在命令列中,使用的顯示過濾器比捕獲過濾器多。
1、使用捕獲過濾器捕獲所有 tcp 資料,並儲存該捕獲檔案為 tcp.pcapng。
d:\program files (x86)\wireshark>tshark -i4 -f"tcp" -w e:\file\wireshark\tcp.pcapng
capturing on
'wlan'
529
2、使用-r引數讀取捕獲檔案的ndash,使用-y引數指定顯示過濾器,並使用-w引數指定儲存的新捕獲檔案。
d
:\program
files (x86)\wireshark>tshark -r e:\file\wireshark\tcp.pcapng -y
"tcp.analysis.flags" -w e:\file\wireshark\analysisflags.pcapng
執行以上命令後沒有任何輸出資訊。但是會生成乙個新的捕獲檔案。
3、檢視新捕獲檔案的基本資訊。
d:\program files (x86)\wireshark>dir e:\file\wireshark\analysisflags.pcapng
驅動器 e 中的卷是 文件
卷的序列號是 000f-d904
e:\file\wireshark 的目錄
2016/03/01 19:31 228 analysisflags.pcapng
1 個檔案 228 位元組
0 個目錄 13,510,852,608 可用位元組
wireshark命令列抓包
一般情況下用介面抓包就行了,但不能抓太久,吃記憶體 特殊情況下 比如不知道什麼時候會出現問題,或者出現問題再抓包已經來不及了 用命令列抓就不需要擔心上述問題了 1.安裝wireshark,我這邊裝的是wireshark win64 1.10.7.exe 2.到wireshark安裝目錄,輸入 dum...
wireshark學習 5 命令列模式
了解命令列的特點 只要我們在計算機中安裝了wireshark,那麼在其安裝目錄中就可以找到tshark這款工具 alt text 它的下方名為tshark.html的檔案就是這款工具的幫助資訊。注意這款工具並不是通過直接在這裡雙擊執行的,而是需要通過cmd命令列切換到wireshark的安裝目錄,然...
命令列 Git Bash命令列小結
展示當前完整路徑pwd 建立資料夾mkdir 建立檔案touch 刪除資料夾rm rf 刪除檔案rm 重新命名mv 展示當前路徑下檔案 除了隱藏檔案 ls 展示當前路徑下所有檔案ls a 展示當前路徑下所有檔案以及詳細資訊ls al 轉至某目錄cd 根目錄 上級目錄.當前目錄.檢視檔案cat 檔名稱...