tshark的抓包和解析,使用命令行案例

最新推荐文章于 2023-08-24 00:20:44 发布
最新推荐文章于 2023-08-24 00:20:44 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: 运维 系统 安全 文章标签: tshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lepton126/article/details/102895959
版权
运维 同时被 3 个专栏收录
206 篇文章 2 订阅
订阅专栏
系统
45 篇文章 0 订阅
订阅专栏
安全
41 篇文章 5 订阅
订阅专栏

https://www.cnblogs.com/classics/p/10417419.html

a、解析dhcp抓包文件

-r 读抓好的数据包文件

tshark -r 数据包路径 -Y 过滤条件   基本上可以运用 wirshark上的过滤条件

查找中继后dhcp discover src ip 报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.src == 192.168.108.1 && bootp.option.dhcp == 1"

查看dhcp discover srcmac 报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 1"

查看dhcp offer 报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.src == 192.168.111.1 && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 2"

查看dhcp request报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 3"

查看dhcp ack报文

tshark  -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 5"

b、解析tftp

查看tftp 69端口 针对 文件名字 cm.cfg 请求:

tshark -r E:\cm_online.pcapng -Y "tftp && udp.dstport == 69 && tftp.source_file == "cm.cfg""

查看server回复ack报文:

tshark -r E:\cm_online.pcapng -Y "tftp && tftp.opcode == 6 && ip.src == 192.168.111.1"

查看server发送数据报文的请求信息:

tshark -r E:\cm_online.pcapng -Y "tftp && data.len && tftp.source_file == "cm.cfg""

tshark -r E:\cm_online.pcapng -Y "tftp && frame.protocols == "eth:ethertype:ip:udp:tftp:data" && tftp.source_file == "cm.cfg""

2、查看网卡

tshark -D

3、抓包

tshark -i 网卡 -f "过滤选项" -a duration:抓包时间

tshark -i wk106 -f "icmp"  -a duration:5

windows 网卡的名字是定义的名字的  就是 -D 看到的括号的名字

抓包网口 vlan1002-sw4  10s钟 保存到 E:\testpacket\234.pcapng

tshark -i vlan1002-sw4 -a duration:10 -w E:\testpacket\234.pcapng

-c  捕获包个数

tshark -i wk106 -f "icmp"  -c 1

4、抓包就打印到界面上 实时打印

-T -e 只是打印这个字段

tshark -i wk106 -f "icmp"  -c 1 -T fields -e "icmp"

tshark -i wk106 -f "icmp"  -a duration:5 -T fields -e "icmp"

-T -e 只是打印这两个个字段

tshark -i wk106 -f "icmp"  -c 1 -T fields -e "icmp" -e "eth.dst"

tshark -i wk106 -f "icmp"  -a duration:5 -T fields -e "icmp" -e "eth.dst"

抓包 vlan 的数据

tshark -i wk106 -f "vlan"  -c 10  -T fields -e "eth.src" -e"vlan"

lepton126
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
10-31
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
DBA 抓包神器 tshark 测评
ActionTech的博客
06-13 394
- 服务端执行抓包# -T fields,可以指定需要输出的字段,需配合 -e 一起使用,此处将分别打印获取包的时间、主机 IP 及 TCP 的标志位,这些字段会按照 -e 的顺序进行排列展示# -e,支持多种协议下的字段展示,具体用法查询路径:Wireshark -> 分析 -> 显示过滤器表达式-- 通过 MySQL 客户端连接实例,执行一个查询,再退出(共有 3 部分:连接、通信、断连)@@version5.7.36-log-- 观察屏幕输出1、三次握手。
tshark一些常用命令参数解析
nuisthou的博客
09-10 5944
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
tshark抓包解析
weixin_30807779的博客
02-22 742
1、 a、解析dhcp抓包文件 -r 读抓好的数据包文件 tshark -r 数据包路径 -Y 过滤条件基本上可以运用 wirshark上的过滤条件 查找中继后dhcp discover src ip 报文 tshark-r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.sr...
tshark命令基本用法
hanyuyy的博客
06-27 2079
tshark -Y "http.request.method == GET:仅显示HTTP请求方法为GET的数据包。-T <output_format>:指定输出格式,将分析结果以不同的格式输出。你可以通过运行"tshark --help"来获取完整的帮助信息,其中包含了所有可用选项和命令的详细说明。例如,-i eth0表示使用eth0接口进行捕获,-i any表示捕获所有可用接口上的数据包。-w <filename>:将捕获到的数据包写入指定的文件中。-V:显示详细的数据包信息,包括各个协议的字段和值。
Wireshark命令行工具tshark使用小记
墨痕诉清风的博客
01-07 1805
1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Data部分,主要是对本地存储的.pcap文件进行解析。这时候就会使用到tshark命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言比如Java,来调用命令行,实现...
wireshark解析信令tshark
u013865052的博客
01-05 1695
【代码】wireshark解析信令tshark
tshark 使用技巧
jmhIcoding
06-23 2691
tshark 删除乱序、重传数据包: tshark -2 -R "not tcp.analysis.retransmission && not tcp.analysis.out_of_order" -r 源文件.pcap -w 目标文件名.pcap' tshark 获取tcp流,并保存text格式 tshark -r 源文件.pcap -qz follow,tcp,raw,tcp流的编号 流的编号是0开始的。 其中raw是16进制串表示流的数据: 还可以hex显示,有数据的偏移: t
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
java中调用tshark命令行解析数据包信息
01-18
java中调用tshark命令行解析数据包信息
tshark ARM版本编译,使用说明
03-13
tshark的ARM版说明,涉及交叉环境的设置及编译,使用说明等,已经在OPENWRT环境下运行,有问题可留言
史上最全的wireshark命令行工具介绍.ppt
最新发布
01-27
在不了解OS所控制的网络设备时,一般先用 “tshark-D”查看网络接口的编号以供-i参数使用。 -f 设定抓包过滤表达式(capture filterexpression)。抓包过滤表达式的写法雷同于tcpdump,可参考tcpdump manpage的有关...
HCIA——DHCP协议及实验wireshark抓包
钟言的博客
04-21 3642
本篇主要介绍DHCP定义,以及服务方式,详细解释DHCP4次服务过程。 同时包括实操:Wireshark抓包DHCP的请求,响应,request以及最终的确认包,在实际电脑向ISP请求IP地址的全过程,包含了对每个包的分析解释。 更好的巩固对DHCP服务过程以及方式的理解。
Robot Framework 经验谈 - 以太网底层抓包以及协议分析
divfor的专栏
04-20 4336
对于某些没有web界面,没有windows界面的网络应用程序通信,有时候真的需要抓包分析和判断。Wireshark是一个Windows和Linux下都能抓包查看的工具,y
tshark命令示例
zztoll的专栏
02-08 7317
1.从.pcap文件中提取如wireshark表格中显示的封包摘要信息 tshark -r test.pcap > text.txt 2.从.pcap文件中提取如wireshark表格中显示的封包摘要信息,指定显示某列 tshark -r test.pcap -T fields -e col.Protocol -e col.Info -E separator=, -E header=y
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 2936
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包和分析包的能力,简单理解为tshark是wireshark的CLI版本,但Linux端抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
tcpdump抓包及tshark解包方法介绍
测试开发小记
02-01 2210
tshark是wireshark命令行工具,通过shell命令抓取、解析报文。tcpdump是Linux系统下的抓包工具。wireshark和tcpdump都共同使用 libpcap作为其底层抓包的库,tshark也可以抓取报文。 有时候需要在linux系统或者ARM开发板中进行抓包使用tcpdump抓包更加方便,在这种场景下,一般使用tcpdump进行抓包,然后在Windows中使用wireshark来分析生成的包文件,在自动化分析或者自动化测试中,可以使用tshark来进行包解析。本文介绍使用tcp
  使用tshark进行数据包分析
weixin_34106122的博客
03-06 3586
选项说明Options-r 读取数据包-C 选择对应的配置文件-d 解码为。。。-D 通过行进行打印输出-e 定义需要打印的行内容-E 定义具体的打印格式-T 定义具体的打印方式命令tshark-d <layer type>==<selector>,<decode-as protocol>tshark -r vmx.cap -d tcp...
0x0000005c蓝屏问题解决
热门推荐
lepton126的专栏
09-29 2万+
在浪潮inspur服务器上安装操作系统时,出现0x0000005c蓝屏错误,确定是由x2APIC造成的,进入BIOS的CPU设置选项中,将x2APIC选项设置为disable,重新启动机器,完成安装。 先来解释下APIC(高级程序中断控制器),不要与ACPI(Advanced Configuration and Power Interface),电源管理搞混。系统可以在APIC模式下运行。启用A
Tshark命令行工具
08-16
它可以在命令行界面下进行网络抓包和分析,提供了很多功能和选项来处理网络数据。 以下是一些常用的Tshark命令行选项和用法: 1. 抓包使用`-i`选项指定要抓取的网络接口,例如:`tshark -i eth0`。 2. 读取pcap...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值