tshark抓包小结

最新推荐文章于 2024-05-08 15:09:59 发布
最新推荐文章于 2024-05-08 15:09:59 发布
阅读量1.9w 收藏 22
点赞数 4
分类专栏: Linux 文章标签: filter wireshark tshark linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chen8238065/article/details/53714514
版权

tshark命令详解

网络抓包,分析工具。wireshark 的 Linux命令行工具。

tshark option

-i 设置抓包的网络接口,不设置则默认为第一个非自环接口。
-D 列出当前存在的网络接口。在不了解OS所控制的网络设备时,一般先用“tshark -D”查看网络接口的编号以供-i参数使用。
-f 设定抓包过滤表达式(capture filter expression)。抓包过滤表达式的写法雷同于tcpdump,可参考tcpdump man page的有关部分。
-s 设置每个抓包的大小,默认为65535,多于这个大小的数据将不会被程序记入内存、写入文件。(这个参数相当于tcpdump的-s,tcpdump默认抓包的大小仅为68-c 抓指定个包后终止
-a 终止条件 duration:NUM - stop after NUM seconds
          filesize:NUM - stop this file after NUM KB
          files:NUM - stop after NUM files
-w 设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。 
-r 设置tshark分析的输入文件。tshark既可以抓取分析即时的网络流量,又可以分析dump在文件中的数据。-r不能是命名管道和标准输入。
-R 设置读取过滤表达式(read filter expression)。不符合此表达式的流量同样不会被写入文件。注意,读取(显示)过滤表达式的语法和底层相关的抓包过滤表达式语法不相同,它的语法表达要丰富得多,请参考http://www.ethereal.com/docs/dfref/http://www.ethereal.com/docs/man-pages/ethereal-filter.4.html。类似于抓包过滤表达式,在命令行使用时最好将它们quote起来。-Y (显示)过滤。
-T 设置解码结果输出的格式,包括fileds,text,ps,psml和pdml,默认为text。
-E 配合-T使用,制定输出格式,分隔符等。
-t 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。
-q 设置安静的stdout输出(例如做统计时)
-z 设置统计参数。
-p 设置网络接口以非混合模式工作,即只关心和本机有关的流量。
-B 设置内核缓冲区大小,仅对windows有效。
-y 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等。
-L 列出本机支持的数据链路层协议,供-y参数使用。
-n 禁止所有地址名字解析(默认为允许所有)。
-N 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。
-d 将指定的数据按有关协议解包输出。如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”。注意解包协议之间不能留空格。
-F 设置输出raw数据的格式,默认为libpcap。“tshark -F”会列出所有支持的raw格式。
-V 设置将解码结果的细节输出,否则解码结果仅显示一个packet一行的summary。
-x 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据。
-S 在向raw文件输出的同时,将解码结果打印到控制台。
-l 在处理每个包时即时刷新输出。
-X 扩展项。
-h 显示命令行帮助。
-v 显示tshark的版本信息。
-o 重载选项。

tshark filter field reference

tcp protocol fields

mysql protocol fields

http protocol fields

memcache protocol fields

Java RMI fields

RSYNC File Synchroniser protocol fields

thrift protocol fields

amqp(eg .RabbitMQ) protocol fields

Mongo Wire Protocol (mongoDB) fields

fastcgi,udp,snmp,ip,rsync,ssh,ssl,json etc.

capture Filters reference

pcap filter reference

Example

ip 报文

这里写图片描述

tcp 报文

这里写图片描述

(tcp dst port 135 or tcp dst port 4444 or udp dst port 69)

协议为tcp 目标端口为135或者444 或者 udp目标端口69的数据包;

(((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)<<2)) != 0)’

过滤数据不为空的数据包;
ip[2:2] ip报文总长度 
((ip[0]&0xf)<<2)) :ip首部长度
((tcp[12]&0xf0)<<2)) tcp 首部长度

more example

port 53:抓取发到/来自端口53的UDP/TCP数据流(典型是DNS数据流)
not port 53:抓取除了发到/来自端口53以外的UDP/TCP数据流
port 80:抓取发到/来自端口80的UDP/TCP数据流(典型是HTTP数据流)
udp port 67:抓取发到/来自端口67的UDP数据流(典型是DHCP据流)
tcp port 21:抓取发到/来自端口21的TCP数据流(典型是FTP命令通道)
portrange 1-80:抓取发到/来自端口1-80的所有UDP/TCP数据流
tcp portrange 1-80:抓取发到/来自端口1-80的所有TCP数据流
ip broadcast:抓取广播报文
ip multicast:抓取多播报文
dst host ff02::1:抓取到IPv6多播地址所有主机的数据流
dst host ff02::2:抓取到IPv6多播地址所有路由器的数据流
net 10.3.0.0/16:抓取网络10.3.0.0上发到/来自所有主机的数据流(16表示长度)
net 10.3.0.0 mask 255.255.0.0:与之前的过滤结果相同
ip[2:2]==<number>:ip报文大小
ip[8]==<number>:TTL(Time to Live)值 
ip[9]==<number>:协议值
src host 10.3.1.1:抓取来自10.3.1.1的数据流 
dst host 10.3.1.1:抓取发到10.3.1.1的数据流
host 10.3.1.1:抓取发到/来自10.3.1.1的数据流 
ether dst 02:0A:42:23:41:AC:抓取发到02:0A:42:23:41:AC的数据流
not ether host 00:08:15:00:08:15:抓取除了发到/来自00:08:15:00:08:15以外的所有数据流 
ether broadcast或ether dst ff:ff:ff:ff:ff:ff:抓取广播报文
ether multicast:多播报文

tshark statistic

  • tshark -i enp0s31f6 -qz http,stat, #统计http信息
  • tshark -i enp0s31f6 -t ad -z io,stat,1,ip.addr==1.2.3.4 #生成一个与 host 1.2.3.4.一秒内的统计信息
  • tshark -i enp0s31f6 -q -n -t ad -z io,stat,10,”COUNT(tcp.flags)tcp.flags==0x02”,”COUNT(tcp.flags)tcp.flags==0x12” #10秒为周期过滤TCP三次握手的数据包信息
  • tshark -i enp0s31f6 -qz bootp,stat #DHCP 统计信息
  • tshark -i enp0s31f6 -qz endpoints,[ip,tcp…] 该协议的接收,传输信息统计
  • tshark -i enp0s31f6 -n -t ad -z follow,tcp,ascii,10.249.9.18:22,10.249.7.37:22 # 两个节点间的具体 content
  • tshark -z # 提示 统计的具体用法 ,或 man tshark

Usages Example

1. 实时打印当前http请求的url
tshark -s 512 -i eth0 -n -f ‘tcp dst port 80’ -Y ‘http.host and http.request.uri’ -T fields -E separator=’#’ -E quote=d -e http.host -e http.request.uri -l | tr -d ‘\t’
2. 实时打印当前mysql查询语句 和 返回数据
tshark -i eth0 -n -f ‘tcp dst port 3306 or tcp src port 23456’ -Y ‘mysql.query’ -T fields -e mysql.query -e mysql.row.text
3. 实时打印当前memcached信息
sudo tshark -i em1 -n -Y ‘memcache’
4. 实时打印当前RabbitMQ信息
sudo tshark -i em1 -n -Y ‘amqp’
5. 实时打印当前MongoDB信息
tshark -i em1 -n -f ‘port mongoDBPort’ -Y ‘mongo’
5. 实时打印所有信息
sudo tshark -i enp0s31f6 -f ‘dst host 10.249.7.99’ -s 0 -l -w - |strings
panpan_chen
关注
  • 4
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
10-31
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
全网第三详细tshark使用帮助
12-11 6834
一 前言tshark作为wireshark的命令行版本,功能非常强大,可以抓包,数据包分析、提取文件、提取分析后的数据还支持各种格式,可以说一把流量分析的瑞士军刀,如果在低流量的场景,包装下tshark命令,就可以做个功能比较丰富的分析系统了,结合检测规则,一个简单点的IDS系统就出来了。二 核心功能2.1 抓包如同tcpdump一样,tshark也可以通过命令行方式进行流量捕获,功能一点也不弱。...
【2024最新版】超详细Wireshark安装保姆级教程,Wireshark抓包(网络分析),收藏这一篇就够了
最新发布
2401_84281601的博客
05-08 1118
WireShark是非常流行的网络封包分析工具,可以截取各种网络数据包,并显示数据包详细信息。常用于开发测试过程中各种问题定位。本文主要内容包括:1、Wireshark软件下载和安装以及Wireshark主界面介绍。2、WireShark简单抓包示例。通过该例子学会怎么抓包以及如何简单查看分析数据包内容。3、Wireshark过滤器使用。通过过滤器可以筛选出想要分析的内容。包括按照协议过滤、端口和主机名过滤、数据包内容过滤。
tshark----wireshark的命令行工具
@毛宏斌
01-01 4548
TShark is a network protocol analyzer. It lets you capture packet data from a live network, or read packets from a previously saved capture file, either printing a decoded form of those packets to the
tshark简单使用-wireshark
热门推荐
tianzhu123的专栏
03-26 1万+
Ethereal是一个很流行的开源sniffer,支持包括solaris在内的很多平台。2006年初,主导Ethereal源码的大牛GeraldCombs跳槽到了CACE公司。原来“Ethereal”的商标就不能用了。伟大的开源项目如果因此而over,不免同好者唏嘘。怎么办?Combs等人只得舍弃人气既旺的Ethereal名号,将项目更名为Wireshark。它吸引了大多数原来Ethereal的c
通过Tshark分析数据包延时,丢包,乱序,重复问题
leehomkey的博客
05-23 2550
一.通过Tshark分析数据包之间延时,Tshark工具使用就不说了,自行学习。步骤:       1.从抓取数据包中过滤出需要分析的一条流         tshark -r $server_packet_path -Y 'ip.src==${sip}&amp;&amp;ip.dst==${dip}&amp;&amp;${porto}.srcport==${sport}&amp;&amp;${p...
Wireshark命令行工具tshark使用小记
zztoll的专栏
02-08 3485
原文地址:http://www.cnblogs.com/liun1994/p/6142505.html Wireshark命令行工具tshark使用小记 1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Dat
网络抓包软件.rar
09-20
常见的网络抓包软件有Wireshark、Microsoft Network Monitor(已停更)、 tcpdump 和 tshark 等。其中,Wireshark 是最流行的一款开源工具,支持多种平台,包括Windows、Linux和macOS。它提供了丰富的过滤器和解码...
网络抓包工具
12-10
常见的网络抓包工具有很多,例如Wireshark、tcpdump、Microsoft Network Monitor(通常用于Windows环境)和tsharkWireshark的命令行版本)。其中,Wireshark是最受欢迎的开源工具之一,它提供了强大的数据包捕获和...
wireshark抓包
10-19
本学期还是在学wireshark抓包,捕获各种协议,最近一段时间因为在学攻防,又补充了一点点wireshark的作用和知识点,希望对小白有用。
流量分析抓包工具
11-07
流量分析抓包工具是网络诊断和优化中不可或缺的利器,它们可以帮助我们查看、记录和分析网络数据包,以便理解网络中的通信模式、检测问题、排查故障或者进行安全审计。本篇将详细介绍流量分析抓包工具的相关知识点。...
tshark
天堂鸟(积累备忘)
08-14 4333
[code="java"]tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" [/code] 记录查看本机连接外网的网址
tshark的使用
weixin_34275734的博客
08-12 374
wiresharkwireshark所有命令 linux下的wireshark包含多个处理报文的命令.editcapeditcap,可以通过规则来过滤 pcap文件中的内容,并且将过滤结果保存到新文件中.语法: editcap [options] ... <infile> <outfile> [ <packet#>[-<packet...
[Linux] 网络抓包工具tshark
程序员老狼专注开发aigc或客服系统应用
05-17 351
tsharkwireshark包的linux命令行版 有时候我们想看看具体的协议细节 , 如果是使用的tcpdump 那么还需要把数据下载到本地 , 用wireshark看 这个时候就可以使用tshark apt install tshark centos下直接安装wirekshark , yum install wireshark 抓取80端口的http协议细节 tshark -s 10...
网络分析工具之 tshark
weixin_34234721的博客
11-16 100
一、安装: yum install -y wireshark 二、用法: tshark -n -t a -R http.request -T fields -e "frame.time" -e "ip.src" -e "http.host" -e "http.request.method" -e "http.request.uri" ...
强大的tshark
MSJ_CS的专栏
08-25 1162
抓包,解析,重定向 1、过滤包的时间和rtp.seq: tshark  -i eth0 -f "udp port 5004"  -T fields -e frame.time_epoch -e rtp.seq -o rtp.heuristic_rtp:true  1>test.txt 2、过滤包长: tshark -n -T fields -e frame.len 3
tshark一些常用命令参数解析
nuisthou的博客
09-10 6226
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
tshark (wireshark)笔记
weixin_33721427的博客
11-15 227
1. dumpcap -i eth0 -q -n -b duration:120 -b files:5000 -s65535 -f "! ip broadcast and ! ip multicast and ! ether broadcast and ! ether multicast" -w /www/pkg.pcap -i eth0 : 抓取网口 ...
subprocess.run()怎么用tshark抓包
05-11
你可以使用subprocess.run()函数调用tshark命令行工具进行抓包。下面是一个简单的示例代码,它可以使用tshark抓取一个网卡上的数据包并将其输出到控制台: ```python import subprocess # 调用tshark命令行工具抓...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值