tshark学习笔记(一)

TShark (Wireshark) 2.4.5 (Git v2.4.5 packaged as 2.4.5-1)
Dump and analyze network traffic.
See https://www.wireshark.org for more information.

转储和分析网络流量


Usage: tshark [options] ...

Capture interface(捕获接口):
    -i <interface>    网络接口名称(第一个非loopback)    
    -f <capture filter>    设置过滤器
    -s <snaplen>    捕获包的长度
    -p     不要讲捕获设置为混杂模式
    -I     以监听模式捕获,如果可用
    -B <buffer size>    捕获缓冲区大小(默认2MB)
    -y <link type>    链路层类型(默认为捕获到的第一个类型)
    -D     打印接口类型列表并退出
    -L     打印接口的链路协议并退出
Capture stop conditions(捕获停止条件):
    -c <packet count>    捕获n个包后停止(默认无限)
    -a <autostop cond.> ...duration:NUM - 在NUM秒之后停止捕获
                           filesize:NUM - 在NUM kb之后停止
                              files:NUM - 再NUM个文件后停止
Capture output(捕获输出):
    -b <ringbuffer opt.> ... duration:NUM - 在NUM秒之后切换到下一个文件
                           filesize:NUM - 在NUM KB之后切换到下一个文件
                              files:NUM - ringbuffer: 环性缓冲,在NUM个文件之后代替
Input file(输入文件):
    -r <infile>     读取本地文件
Processing(处理):
    -2     执行两次分析
    -M <packet count>     重置会话
    -R <read filter>     包的读取过滤器,在wareshark的过滤器中查看
    -Y <display filter>  显示过滤器
    -n     关闭所有名称解析(默认开启)
    -N <name resolve flags>   指定某一层的地址名字解析
    -d <layer_type>==<selector>,<decode_as_protocol> ...     将指定的数据按特定的协议导出
    -H <hosts file>      从主机文件中读取输入列表,之后写入到捕获文件中
Output(输出):
    -w <outfile|->      把捕获到的数据报输出到pcap文件中,并命名为outfile(或者用标准输出"-"    -C <config profile>     启动指定的配置属性
    -F <output file type>     设置输出文件类型,默认为pacpng和空,-F 列出输出文件类型
    -V     添加包的属性结构输出
    -O <protocols>     只显示指定的协议的详细信息
    -P     打印包的概要信息,即使正在写入文件
    -S <separator>     包之间的行分隔器,添加hex和ASCII存储
    -x     添加hex和ASCII输出
    -T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|?     输出文件的形式,默认text
    -j <protocolfilter>     判断协议过滤器(如果-T ek|pdml|json被选择)
    -J <protocolfilter>     判断顶层协议过滤器(如果-T ek|pdml|json被选择)
    -e <field>     指定输出的特定字段(如果-Tfields 被选择)
    -E<fieldsoption>=<value> 设定输出选项(-Tfields被选择):
     bom=y|n               打印一个UTF-8清单
     header=y|n            转换头部开启|关闭
     separator=/t|/s|<char> 选择tab,空格,可打印字符作为分隔符
     occurrence=f|l|a      打印到达的第一个|最后一个|所有字段
     aggregator=,|/s|<char> 选择逗号,空格,可打印字符作为整合
     -t a|ad|d|dd|e|r|u|ud|?      时间啊戳的输出形式
     -u s|hms      秒的输出形式
     -l      在每个包之后刷新标准输出
     -q      更加平静的标准输出
     -Q      日志记录正式的错误
     -g      设置组通道在输出文件上
     -W n     在文件中保存附加信息,如果支持,n 为写网络地址解析信息

Miscellaneous(其他项):
     -h      展示帮助信息
     -v      版本信息

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值