tshark的抓包和解析

2022-05-17 08:19:46 字數 2245 閱讀 8011

1、a、解析dhcp抓包檔案

-r 讀抓好的資料報檔案

tshark -r 資料報路徑 -y 過濾條件   基本上可以運用 wirshark上的過濾條件

查詢中繼後dhcp discover src ip 報文

tshark  -r e:\testpacket\testdhcp.pcapng -y "bootp && ip.src == 192.168.108.1 && bootp.option.dhcp == 1"

檢視dhcp discover srcmac 報文

tshark  -r e:\testpacket\testdhcp.pcapng -y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 1"

檢視dhcp offer 報文

tshark  -r e:\testpacket\testdhcp.pcapng -y "bootp && ip.src == 192.168.111.1 && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 2"

檢視dhcp request報文

tshark  -r e:\testpacket\testdhcp.pcapng -y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 3"

檢視dhcp ack報文

tshark  -r e:\testpacket\testdhcp.pcapng -y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 5"

b、解析tftp

檢視tftp 69埠 針對 檔案名字 cm.cfg 請求:

tshark -r e:\cm_online.pcapng -y "tftp && udp.dstport == 69 && tftp.source_file == "cm.cfg""

檢視server回覆ack報文:

tshark -r e:\cm_online.pcapng -y "tftp && tftp.opcode == 6 && ip.src == 192.168.111.1"

檢視server傳送資料報文的請求資訊:

tshark -r e:\cm_online.pcapng -y "tftp && data.len && tftp.source_file == "cm.cfg""

tshark -r e:\cm_online.pcapng -y "tftp && frame.protocols == "eth:ethertype:ip:udp:tftp:data" && tftp.source_file == "cm.cfg""

2、檢視網絡卡

tshark -d

3、抓包

tshark -i 網絡卡 -f "過濾選項" -a duration:抓包時間

tshark -i wk106 -f "icmp"  -a duration:5

windows 網絡卡的名字是定義的名字的  就是 -d 看到的括號的名字

抓包網口 vlan1002-sw4  10s鐘 儲存到 e:\testpacket\234.pcapng

tshark -i vlan1002-sw4 -a duration:10 -w e:\testpacket\234.pcapng

-c  捕獲包個數

tshark -i wk106 -f "icmp"  -c 1

4、抓包就列印到介面上 實時列印

-t -e 只是列印這個字段

tshark -i wk106 -f "icmp"  -c 1 -t fields -e "icmp"

tshark -i wk106 -f "icmp"  -a duration:5 -t fields -e "icmp"

-t -e 只是列印這兩個個字段

tshark -i wk106 -f "icmp"  -c 1 -t fields -e "icmp" -e "eth.dst"

tshark -i wk106 -f "icmp"  -a duration:5 -t fields -e "icmp" -e "eth.dst"

抓包 vlan 的資料

tshark -i wk106 -f "vlan"  -c 10  -t fields -e "eth.src" -e"vlan"

-i 輸出到命令列介面 老是報錯   

tshark 抓包分析

一,安裝 yum install y wireshark 二.具體使用案例 1.抓取500個包,提取訪問的 列印出來 2.抓取500個包,提取訪問者訪問位址及提交方式和訪問者ip 3.抓取mysql的查詢 tshark i eth1 d tcp.port 3306,mysql t fields e ...

使用tshark抓包分析http請求

預設我們的機器上是沒有安裝這個工具的。如果你的linux是centos那麼就使用yum安裝 yum install y wireshark 具體安裝方法,請參考 以下,簡單介紹這個抓包工具的應用 1.以下的用法可以顯示訪問http請求的網域名稱以及uri 2.以下可以抓取mysql的查詢 tshar...

tshark抓包工具的使用

tshark是wireshark的指令形式,有些情況下抓取網路包但是不想呼叫圖形介面時,可以用tshark libpcap x.x.x.tar.gz libpcap安裝原始檔 2.解壓縮libpcap tar zxvf libpcap x.x.x.tar.gz 進入到解壓縮後的資料夾中 cd lib...