【linux】 tshark

最新推荐文章于 2024-08-05 07:00:50 发布
最新推荐文章于 2024-08-05 07:00:50 发布
阅读量2.4k 收藏 2
点赞数 1
分类专栏: Linux 文章标签: tshark wireshark 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/flyoutsan/article/details/53637175
版权

前言

最近需要写一个抓包分析的脚本,用于抓包分析的图形化有wireshark、snort等,命令行有tshark、tcpdump、dumpcap,tshark为wireshark的命令行模式,由于对wireshark相对熟悉,以及对于其比较满意,所以最终选择tshark。

正题

首先看下用法tshark [ -2 ] [ -a <capture autostop condition> ] ... [ -b <capture ring buffer option>] ... [ -B <capture buffer size> ] [ -c <capture packet count> ] [ -C <configuration profile> ][ -d <layer type>==<selector>,<decode-as protocol> ] [ -D ] [ -e <field> ] [ -E <field print option> ] [ -f <capture filter> ] [ -F <file format> ] [ -g ] [ -h ] [ -H <input hosts file> ][ -i <capture interface>|- ] [ -I ] [ -K <keytab> ] [ -l ] [ -L ] [ -n ] [ -N <name resolving flags> ] [ -o <preference setting> ] ... [ -O <protocols> ] [ -p ] [ -P ] [ -q ] [ -Q ] [ -r <infile> ][ -R <Read filter> ] [ -s <capture snaplen> ] [ -S <separator> ] [ -t a|ad|adoy|d|dd|e|r|u|ud|udoy ] [ -T fields|pdml|ps|psml|text ] [ -u <seconds type>] [ -v ] [ -V ] [ -w <outfile>|- ][ -W <file format option>] [ -x ] [ -X <eXtension option>] [ -y <capture link type> ] [ -Y <displaY filter> ] [ -z <statistics> ] [ --capture-comment <comment> ] [ <capture filter> ]

tshark -G [ <report type> ]

放眼望上去,option多到爆炸。不过,毕竟是命令行,要实现图形化的功能自然只有增加选项,这里仅解析一些重要、常用的options,详细参数可以查看官网文档https://www.wireshark.org/docs/man-pages/tshark.html,该文章也总结的较好,可供参考,https://www.wireshark.org/docs/man-pages/tshark.html。

-i <capture interface> 指定要抓取的网络接口,譬如说WLAN、eth0、Bluetooth0、vboxnet0等,不指定默认为第一个非lo接口。
-D 显示接口列表
-f <capture filter> 指定抓取过滤规则,规则与tcpdump等相同,相当于wireshark 中的Caption Options相同。譬如说要对来自或去往192.168.1.1的包进行过滤,只要指定规则为"host 192.168.1.1"即可。
-2 -R <Read filter> two-pass解析,指定读取过滤规则,相当于wireshark中的filter。
-Y <-Y <displaY filter> single-pass解析,指定读取过滤规则,相当于wireshark中的filter。
-z <statistics> 指定统计参数。
-V 打印包的细节,即解析为wireshark中看到的协议的具体分析。
-x 打印包的assic和hex码
-v 显示tshark的版本号然后退出。
-w <outfile> 将原始结果(即未解析的结果)输出到指定文件中。
-F <filter> 指定输出文件格式
-r <filename> 从文件中读取,一般结合-V参数进行解析。
-b 设置ring buffer文件参数。ring buffer的文件名由-w参数决定。-b参数采用test:value的形式书写。“-b duration:5”表示每5秒写下一个ring buffer文件;“-b filesize:5”表示每达到5kB写下一个ring buffer文件;“-b files:7”表示ring buffer文件最多7个,周而复始地使用,如果这个参数不设定,tshark会将磁盘写满为止。
-p 不使用混杂模式,即只抓取与本机相关的包。 


总结

tshark是wireshark的命令行模式,可以在命令行下完成抓包、解包,对于熟悉wireshark的编写脚本分析十分方便。
flyoutsan
关注
专栏目录
Linux安装高版本tshark(3.x版本)
herosunly的博客
02-17 2075
1. 背景 2. 下载源代码并解压 3. 安装cmake3等依赖库 4. 编译安装tshark 4.1 BUG解决大法
11-linux抓包
08-06 1622
tshark、tcpdump
Linux tshark安装
生活不只是眼前的不安还有诗和远方
03-11 1384
tsharkwireshark的一个工具,我们可以直接安装wireshark。7、抓包并过滤指定IP地址的包。2、安装wireshark。1、安装epel扩展源。6、抓取http请求包。3、eth0接口抓包
T-Shark命令行工具的使用方法和技巧
最新发布
fastboot
08-05 495
tsharkWireshark命令行版本,功能非常强大,可以用来抓包、数据包分析、提取文件、提取分析后的数据等。本文我们将介绍tshark的基本用法、过滤器、输出格式、统计操作以及其他选项。首先,要使用tshark进行抓包,需要指定要监听的网络接口。例如,要监听eth0接口上的数据包,可以使用以下命令:tshark -i eth0如果要监听所有可用接口上的数据包,可以使用以下命令tshark ...
Linux命令抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令抓包及包解析工具tshark(wireshark)使用实例解析
linux下tshark安装及应用
babihehe的专栏
02-17 1万+
tsharkwireshark的指令形式,有些情况下抓取网络包但是不想调用图形界面时,可以用tshark 1、下载libpcap源代码 http://www.tcpdump.org/ libpcap-x.x.x.tar.gz          libpcap安装源文件 2. 解压缩libpcap tar zxvf libpcap-x.x.x.tar.gz 进入到解压缩后的文件夹中
Centos7-Tshark安装
weixin_44435894的博客
03-29 5377
wgm@localhost ~]$ yum whatprovides tshark 已加载插件:fastestmirror, langpacks Determining fastest mirrors base: mirrors.nju.edu.cn extras: mirrors.aliyun.com updates: mirrors.aliyun.com base/7/x86_64/filelists_db | 7.2 MB 00:0
Linux下Tshark的源码分析
01-02
流程图
tshark+lua 实现解析 xxx.pcapng报文数据,并写入到文件中
qq_42969422的博客
07-07 537
tshark+lua 解析 xxx.pcapng生成csv文件
Linux之tshark抓包工具安装和使用
热门推荐
月生的静心苑
12-29 1万+
tshark是一个网络协议分析器。它允许您从实时网络捕获数据包数据,或者从以前保存的捕获文件读取数据包,或者将这些数据包的解码形式打印到标准输出,或者将数据包写入文件。TShark的本机捕获文件格式是pcapng格式,这也是Wireshark和其他各种工具使用的格式。如果不设置任何选项,TShark的工作方式将非常类似于tcpdump。它将使用pcap库捕获来自第一个可用网络接口的流量,并在每个接收到的数据包的标准输出上显示摘要行。
Linux中tshark(wireshark)抓包工具使用方法详解
weixin_33895475的博客
05-03 715
Linux下,当我们需要抓取网络数据包分析时,通常是使用tcpdump抓取网络raw数据包存到一个文件,然后下载到本地使用wireshark界面网络分析工具进行网络包分析。最近才发现,原来wireshark也提供有Linux命令行工具-tshark。tshark不仅有抓包的功能,还带了解析各种协议的能力。下面我们以两个实例来介绍tshark工具。 1、安装方法  代码如下 复制...
tshark.exe
02-24
wireshark的tshark
Linux命令抓包及包解析工具tshark(wireshark)使用实例解析.txt
10-31
Linux命令抓包及包解析工具tshark(wireshark)使用实例解析.txt
wireshark-tshark 命令详解
04-02
wireshark - tshark 命令详细介绍,Ethereal是一个很流行的开源sniffer,支持包括solaris在内的很多平台。2006年初,主导Ethereal源码的大牛Gerald Combs跳槽到了CACE公司。原来“Ethereal”的商标就不能用了。伟大的开源项目如果因此而over,不免同好者唏嘘。怎么办?Combs等人只得舍弃人气既旺的Ethereal名号,将项目更名为Wireshark。它吸引了大多数原来Ethereal的contributor,从Ethereal的fork点0.99.1开始,继续添加无数令人兴奋的新功能。这个互联网的放大镜,展现给了我们一个生动却又枯燥,温馨伴着冷漠,充满智慧的流量和阴谋的机关,不舍虚构而又看似真实的“以太”世界。
Wireshark命令行工具tshark使用小记
zztoll的专栏
02-08 3521
原文地址:http://www.cnblogs.com/liun1994/p/6142505.html Wireshark命令行工具tshark使用小记 1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Dat
[Linux] 网络抓包工具tshark
程序员老狼专注开发aigc或客服系统应用
05-17 365
tsharkwireshark包的linux命令行版 有时候我们想看看具体的协议细节 , 如果是使用的tcpdump 那么还需要把数据下载到本地 , 用wireshark看 这个时候就可以使用tshark apt install tshark centos下直接安装wirekshark , yum install wireshark 抓取80端口的http协议细节 tshark -s 10...
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 3888
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包和分析包的能力,简单理解为tsharkwireshark的CLI版本,但Linux抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
tshark一些常用命令参数解析
nuisthou的博客
09-10 6430
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
Pyshark使用小记(Decode As功能)
LowType
12-12 3682
Pyshark介绍 wireshark作为一款嗅探工具,可以说占据了独一无二的位置,早就了解到wireshark带有python的接口,这么实用的功能怎么能不尝试一下,于是闲来无事,试一下Pyshark的实用性(理论上Pyshark是可以实现Tshark的全部功能的),发现相关的博客文章好像不太多,更多的信息是在github上获取到的,感兴趣的可以去github详细探索Pyshark的各项功能 T...
Tshark命令行工具
08-16
Tshark是一个命令行网络协议分析工具,是Wireshark软件包的一部分。它可以在命令行界面下进行网络抓包和分析,提供了很多功能和选项来处理网络数据。 以下是一些常用的Tshark命令行选项和用法: 1. 抓包:使用`-i`选项指定要抓取的网络接口,例如:`tshark -i eth0`。 2. 读取pcap文件:使用`-r`选项指定要读取的pcap文件,例如:`tshark -r capture.pcap`。 3. 过滤数据包:使用`-Y`选项指定过滤条件,例如:`tshark -Y "http.request.method == GET"`,只显示HTTP GET请求数据包。 4. 输出格式:使用`-T`选项指定输出格式,可以是文本、JSON、XML等。例如:`tshark -T json`。 5. 显示详细信息:使用`-V`选项显示详细的数据包信息,例如:`tshark -V`。 6. 限制抓包数量:使用`-c`选项指定抓包数量,例如:`tshark -c 100`,只抓取100个数据包。 7. 统计信息:使用`-z`选项指定要显示的统计信息,例如:`tshark -z io,stat,10,"ip.addr==192.168.0.1"`,显示每10秒钟源IP地址为192.168.0.1的数据包统计信息。 这只是一些常用的Tshark命令行选项和用法,Tshark提供了很多其他功能和选项,可以根据需求进行进一步的学习和使用。可以使用`man tshark`命令查看完整的Tshark命令行文档。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值