Wireshark用命令行分析数据包

最新推荐文章于 2024-07-23 21:17:32 发布
最新推荐文章于 2024-07-23 21:17:32 发布
阅读量1.3k 收藏 6
点赞数 1
分类专栏: 工具使用 文章标签: Wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/n752796294/article/details/97134890
版权

 

Wireshark分析的GUI页面能解决大多数问题,但其一次性提供的信息太多或者在某些时候不得不依靠命令行来完成操作。在数据包分析领域常用的命令行工具有TShark 和 Tcpdump ,其中TShark可以在Windows和UNIX中使用,而TCPdump只能在UNIX中使用。且两者用法差不多,故我们只介绍TShark。

首先,你需要安装一个Wireshark,因为TShark是基于终端的Wireshark,可以用如下方法确定自己是否正确安装TShark。

用tshark -v来确定,如果正确,那它会打印出版本信息,否则收到错误消息。

            

可以使用tshark -h 来查看其内置的各种命令。

下面给出一些例子。

shark  从网卡开始抓取当前流量并实时显示。
           tshark -D 显示当前所有网卡
           tshark -i [num] 使用编号为num的网卡
           tshark -i [num] -w packets.pcap 把从num号网卡捕获的流量保存到packets.pcap
           tshark -r packets.pcap 将内容打印到屏幕上
           tshark -r packets.pcap -c10 显示抓取的包里前十个包信息
           tshark -i 1 -w packets.pcap -c10 抓取前十个包并保存
           tshark -r packets.pcap -V -c10 显示抓取的包里前十个包的更多信息
           tshark -xr packets.pcap 查看数据包的ASCII形式或十六进制字节形式并结合-r显示
           tshark -ni 1 通过-n参数来禁用Tshark的名称解析
           tshark -i 1 -Nt 参数-N用来启用或禁用一些名称解析的特定功能
               m:MAC地址解析
               n: 网络地址解析
               t:传输层解析(端口服务名称)
               N:使用外网解析服务
               C:使用当前DNS解析
           使用-f来应用捕获过滤器
               tshark -ni 1 -w packets.pcap -f "tcp port 80" 仅抓取和储存目的端口号是80的TCP流量
           使用-Y来应用显示过滤器
               tshark -ni 1 -w packets.pcap -Y "tcp.dstport == 80"
           使用-t 来自定义时间显示格式
               a绝对时间  ad 带日期的绝对时间  d 自之前捕获的数据包以来的增量 dd 之前显示的数据包
               e 亿元时间 r 和首个数据包的时间差 u 绝对时间(UTC) ud 带日期的绝对时间(UTC)
           使用-z使用其他功能

例如:tshark -r packets.pcap -z io,phs
               ip_hosts,tree:显示每个IP地址并统计每个IP地址所占流量的比率
               io,phs:分层级统计在捕获文件中找到的所有协议
               http,tree:显示关于HTTP请求和回应的统计
               http_req,tree显示每个HTTP请求的统计
               smb,srt显示关于Windows会话的SMB命令的统计
               endpoints,wlan:显示无线端点
               expert:从捕获中显示专家信息(对话,错误等)

 

Nisgrace
关注
专栏目录
Wireshark命令行工具tshark使用小记
墨痕诉清风的博客
01-07 1914
1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Data部分,主要是对本地存储的.pcap文件进行解析。这时候就会使用到tshark命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言比如Java,来调用命令行,实现...
第 6 章 用命令行分析数据包 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
另一方面,Tcpdump是另一款广泛使用的命令行数据包分析工具,尤其在UNIX-like系统中非常流行。Tcpdump虽然功能相对简单,但它的效率和灵活性使其在某些场景下成为首选。例如,在服务器环境或者远程管理系统时,由于...
Wireshark命令行分析数据包
Ymm的博客
09-09 1297
这时可使用参数**-c**来限制在屏幕上显示的数据包数量。抓包的时候也可以使用**-c**参数,表示只获取抓包数据的前xx个包,获取到后程序会自动停止抓包。使用**-Y**来应用显示捕获器,在双引号内使用wireshark的过滤器语法。的输出中,每一行代表一个数据包,每一行输出的格式取决于数据包使用的协议类型。的**-D**参数来列出当前的可用网卡,系统会以数字的形式打印出网卡信息。要想从保存的文件中回读数据包,可使用**-r**参数加上文件名。使用**-t**参数可以更改这种格式。
wireshark命令合集
最新发布
2301_80331596的博客
07-23 1131
非原创摘自: https://blog.51cto.com/u_15930680/6842459https://blog.51cto.com/u_15930680/6842459(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包,表达式为:ip.src == 192.168.0.1(2)对目的地址为192.168.0.1的包的过滤,即抓取目的地址满足要求的包表达式为:ip.dst== 192.168.0.1(3)对源或者目的地址为192.168.0.1的包的过滤,即抓取满足源或者目
(八):应用Wireshark过滤条件抓取特定数据流
qq_23350817的博客
06-14 1367
网络
wireshark过滤表达式实例介绍
03-25 181
1、wireshark基本的语法字符\d          0-9的数字\D          \d的补集(以所以字符为全集,下同),即所有非数字的字符\w          单词字符,指大小写字母、0-9的数字、下划线\W          \w的补集\s          空白字符,包括换行符\n、回车符\r、制表符\t、垂直制表符\v、换页符\f\S          \s的补集.     ...
wireshark读写pcap文件_使用wireshark分析tcpdump出来的pcap文件
weixin_39717110的博客
12-20 1089
工作中的常用用法一、tcpdump常用用法:1,-i 指定网口 -vnn 常用选项,显示详细信息并且不解析IP,端口 ;抓取某个网口上发往或来自某个IP的报文tcpdump -i ethX host 192.168.1.100 -vnn2,可以用or 或者and 连接多个过滤条件,port前的tcp表示tcp协议,也可为udp;抓取某个网口上发往或来自某个IP、并且指定端口的报文tcpdump -...
实战利用WireShark对Telnet协议进行抓包分析.docx
05-24
在本文中,我们将使用 Wireshark 对 Telnet 协议进行抓包分析,了解 Telnet 协议的工作原理和实现机制。 首先,让我们了解 Telnet 协议的基本概念。Telnet 是一个基于 TCP/IP 协议族的远程登陆服务协议,允许用户在...
实验名称 (实验 1:Wireshark 软件使用与 ARP 协议分析)
01-08
- **ARP包捕获**:使用Wireshark的`arp`过滤器来专门捕获ARP协议的数据包分析交互过程。 实验步骤包括设置IP地址,进行ping操作,观察ARP缓存的变化,并通过Wireshark捕获和解析ARP包,从而理解ARP如何解决IP...
史上最全的wireshark命令行工具介绍.ppt
01-27
1. **tshark** 是Wireshark的主要命令行工具,它允许用户在终端中进行抓包和数据分析。tshark的基本语法包含了多个参数,例如: - `-i` 指定抓包的网络接口,如果不设置,默认会选择第一个非自环接口。 - `-D` 列...
3.4 Wireshark 初步入门 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-04
接下来的章节将介绍如何进一步使用捕获文件,包括保存、导出、合并捕获文件,以及如何深入分析数据包,如标记数据包、打印数据包、设置时间显示格式和相对参考。Wireshark的强大之处在于其丰富的功能和灵活性,能够...
借助WireShark解析PCAP
阿霖
12-16 1万+
本文主要分为以下几点: 1.什么是pcap包? 2.pcap包内容如何查看? 3.在java程序中借助WireShark进行解析,在后台查看 目录 [toc]1.什么是pcap包 什么是pcap抓包 PCAP是一个数据包抓取库, 很多软件都是用它来作为数据包抓取工具的。 WireShark也是用PCAP库来抓取数据包的。PCAP抓取出来的数据包并不是原始的网络字节流,而是对其进行
Wireshark常用命令
热爱学习,喜欢折腾!
09-29 4714
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark抓包以及数据解析(计算机网络实验二)
执迷不悟
11-23 7786
计算机网络-Wireshark 实验 Wireshark 计算机网络-Wireshark 实验Wireshark 实验一、数据链路层1.实作一熟悉 Ethernet 帧结构2.实作二 了解子网内/外通信时的 MAC 地址1.ping 你旁边的计算机(同一子网)2. ping qige.io (或者本子网外的主机都可以)3. ping www.cqjtu.edu.cn (或者本子网外的主机都可以)3.实作三 掌握 ARP 解析过程二、网络层1.实作一 熟悉 IP 包结构2.实作二 IP 包的分段与重组3.
Wireshark—高级特性&命令行模式
热门推荐
Woolemon的博客
04-10 1万+
文章目录wireshark解析错误 wireshark解析错误 原因:网络上的协议使用了不同标准时,wireshark解析错误,这时我们需要更改wireshark协议解析方式! 如:查看SSL数据包Packet 分析: Bytes中的ASCLL码值出现明文数据流量如password,可以判断wireshark解析错误,因为真正的SSL数据包中我们是获取不了有用信息的,更不会看见以明文传送的密码。根据信息可知该数据包应该是FTP数据包! 解析错误原因:可能是FTP数据包使用了443端口,这个端口原本
Wireshark 用户使用手册 ———— 命令行控制 Wireshark
永远的菜鸡小詹的博客
11-05 9248
目录命令行控制 Wireshark命令行参数解析   Wireshark 的默认行为通常会很好地满足你的需求。 但是,随着对 Wireshark 越来越熟悉,它可以通过各种方式进行定制,以更好地满足你的需求。 在本文中,我们将主要探讨:   1. 如何使用命令行参数启动 Wireshark   2. 如何为数据包列表着色   3. 如何控制协议剖析   4. 如何使用各种首选项设置 命令行控制 Wireshark  你可以从命令行启动 Wireshark,但也可以从大多数窗口管理器启动它。 在本节中,我们将
03day学习---网络编程(TFTP)
kingjinchengxin的博客
06-15 285
一、wireshark抓包工具 1、安装wireshark 2、使用wireshark 找到电脑IP地址对应的选项 开始捕获 获取捕获列表 过滤条件 udp.port== 8000或者ip.addr == 172.16.1.1发送数据 点击数据行 看数据包详细信息 Ethernet II链路层数据包头,16进制显示 开始/停止捕获按钮 二、TFTP协议(简单文件传输协议) 1、特点 简单 资源少 适合小文件传输 适合在局域网内使用 端口号69 UDP实现 2、下载过程 服务器默认监听端口号:69 客
Wireshark使用方法(学习笔记二——查询统计)
genefhang的专栏
06-06 1738
wireshark的抓包方法上一相关博文已经详细做了介绍,其实关于wireshark来说,比较重要的还是数对抓包之后的“查询统计分析”,如何在海量的数据包中,抓取出自己关注的数据包是处理问题的第一步,今天这篇博文主要讲解如何进行“简单”的抓包筛选。 为了直观,本篇博文以一次实例进行,我在本地对网卡进行了抓包,登录了一次QQ,与网友聊天,并且,访问了一次我的博客www.zike.me,那我就从海量
Wireshark数据包分析(一)——使用入门
weixin_30445169的博客
11-06 257
Wireshark简介: Wireshark是一款最流行和强大的开源数据包抓包与分析工具,没有之一。在SecTools安全社区里颇受欢迎,曾一度超越Metasploit、Nessus、Aircrack-ng等强悍工具。该软件在网络安全与取证分析中起到了很大作用,作为一款网络数据嗅探与协议分析器,已经成为网络运行管理、网络故障诊断、网络应用开发与调试的必用工具。 上面是wireshark的...
Wireshark命令行参数
05-16
以下是Wireshark命令行参数的介绍: 1. -i:指定抓取数据包的接口 2. -f:指定抓取数据包的过滤条件 3. -r:读取保存在文件中的数据包进行分析 4. -w:将抓到的数据包保存到文件中 5. -d:指定协议的解码方式 6. -t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值