tshark学习笔记(一)

最新推荐文章于 2024-05-06 10:49:49 发布
最新推荐文章于 2024-05-06 10:49:49 发布
阅读量1.1k 收藏 2
点赞数
分类专栏: 计算机网络 文章标签: tshark 数据包流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34444097/article/details/80167273
版权

TShark (Wireshark) 2.4.5 (Git v2.4.5 packaged as 2.4.5-1)
Dump and analyze network traffic.
See https://www.wireshark.org for more information.

转储和分析网络流量

Usage: tshark [options] ...

Capture interface(捕获接口):
    -i <interface>    网络接口名称(第一个非loopback)    
    -f <capture filter>    设置过滤器
    -s <snaplen>    捕获包的长度
    -p     不要讲捕获设置为混杂模式
    -I     以监听模式捕获,如果可用
    -B <buffer size>    捕获缓冲区大小(默认2MB)
    -y <link type>    链路层类型(默认为捕获到的第一个类型)
    -D     打印接口类型列表并退出
    -L     打印接口的链路协议并退出
Capture stop conditions(捕获停止条件):
    -c <packet count>    捕获n个包后停止(默认无限)
    -a <autostop cond.> ...duration:NUM - 在NUM秒之后停止捕获
                           filesize:NUM - 在NUM kb之后停止
                              files:NUM - 再NUM个文件后停止
Capture output(捕获输出):
    -b <ringbuffer opt.> ... duration:NUM - 在NUM秒之后切换到下一个文件
                           filesize:NUM - 在NUM KB之后切换到下一个文件
                              files:NUM - ringbuffer: 环性缓冲,在NUM个文件之后代替
Input file(输入文件):
    -r <infile>     读取本地文件
Processing(处理):
    -2     执行两次分析
    -M <packet count>     重置会话
    -R <read filter>     包的读取过滤器,在wareshark的过滤器中查看
    -Y <display filter>  显示过滤器
    -n     关闭所有名称解析(默认开启)
    -N <name resolve flags>   指定某一层的地址名字解析
    -d <layer_type>==<selector>,<decode_as_protocol> ...     将指定的数据按特定的协议导出
    -H <hosts file>      从主机文件中读取输入列表,之后写入到捕获文件中
Output(输出):
    -w <outfile|->      把捕获到的数据报输出到pcap文件中,并命名为outfile(或者用标准输出"-"    -C <config profile>     启动指定的配置属性
    -F <output file type>     设置输出文件类型,默认为pacpng和空,-F 列出输出文件类型
    -V     添加包的属性结构输出
    -O <protocols>     只显示指定的协议的详细信息
    -P     打印包的概要信息,即使正在写入文件
    -S <separator>     包之间的行分隔器,添加hex和ASCII存储
    -x     添加hex和ASCII输出
    -T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|?     输出文件的形式,默认text
    -j <protocolfilter>     判断协议过滤器(如果-T ek|pdml|json被选择)
    -J <protocolfilter>     判断顶层协议过滤器(如果-T ek|pdml|json被选择)
    -e <field>     指定输出的特定字段(如果-Tfields 被选择)
    -E<fieldsoption>=<value> 设定输出选项(-Tfields被选择):
     bom=y|n               打印一个UTF-8清单
     header=y|n            转换头部开启|关闭
     separator=/t|/s|<char> 选择tab,空格,可打印字符作为分隔符
     occurrence=f|l|a      打印到达的第一个|最后一个|所有字段
     aggregator=,|/s|<char> 选择逗号,空格,可打印字符作为整合
     -t a|ad|d|dd|e|r|u|ud|?      时间啊戳的输出形式
     -u s|hms      秒的输出形式
     -l      在每个包之后刷新标准输出
     -q      更加平静的标准输出
     -Q      日志记录正式的错误
     -g      设置组通道在输出文件上
     -W n     在文件中保存附加信息,如果支持,n 为写网络地址解析信息

Miscellaneous(其他项):
     -h      展示帮助信息
     -v      版本信息
wkend
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
pyshark引用TShark时:TShark not found的解决方法
qq_42411587的博客
08-25 6446
pyshark pyshark是python对Tshark调用的封装包。在Windows10上使用该库处理pcap包时,出现了错误如下: pyshark.tshark.tshark.TSharkNotFoundException: TShark not found. Try adding its location to the configuration file. Searched these paths: [‘C:\Program Files\Wireshark\tshark.exe’, ‘C:
tshark源码解析
weiqianglg的专栏
07-31 1734
鉴于没有在网上找到很好的tshark源码解析资源,自己就捣鼓一篇吧,作为备忘录。 本文基于tshark.c,源自wirshark 3.2.4。 tshark介绍 Tshark是wireshark的命令行版本,安装wireshark之后,能够通过tshark -h获得完整的参数说明,安装目录下的tshark.html提供了更详细的说明。本文不关注使用tshark,而是为了改造tshark做源代码准备。 本文tshark源码解析的关注点 tshark的源码在当前版本中长达4000+行,由于
wireshark-cli工具Tshark工具使用教程
最新发布
qq_41167620的博客
05-06 400
tshark为wireshark工具的命令行版本呢, 在服务器版本服务器上,通过tshark工具可以实现和wireshark相同的功能。工具使用wireshark默认配置,对于wireshark一些常用的首选项,也可通过tshark -o [key:value]修改。dumpcap子进程负责数据包捕获并将数据包写入文件,tshark进程负责将文件中的数据包读取后并解密打印到终端。包长度,数量偏移,一些命令,包括pcap文件名称。根据管道返回的文件创建文件的描述符。tshark进程拥有的描述符。
wireshark解析信令tshark
u013865052的博客
01-05 1843
【代码】wireshark解析信令tshark
tshark流量分析中的绝佳应用(超详细)
LainWith的博客
03-28 1万+
目录简介参数tshark与wireshark对比基本命令获取数据包摘要信息显示时间格式捕获过滤器捕获并保存数据包显示过滤器区分显示过滤器和读取过滤器一些好用的显示过滤器-e参数的应用HTTP中的应用案例mysql中的应用案例-z参数的应用专家信息:**-z expert**追踪流:**-z follow**-z http统计数据包信息统计会话统计出所有IP显示每个协议树的具体信息导出对象追踪流追踪tcp流/http流追踪流数量读取TCP流-纯16进制读取TCP流-16进制读取TCP流-ascii获取TCP流
CentOS7.5下编译wireshark-3.4.7源码及测试tshark
Fighting! Go! Go! Go!
07-24 1140
CentOS7.5下编译wireshark-3.4.7源码及测试tshark一、源码编译二、测试tshark   在分析网络协议时离不开Wireshark,为了方便后续深入源码学习协议解析细节,所以编译源码,过程如下: 一、源码编译 wireshark-3.4.7源码下载: https://1.as.dl.wireshark.org/src/wireshark-3.4.7.tar.xz. 编译环境依赖库参考文档:https://www.wireshark.org/docs/wsdg_html_chun
tshark ARM版本编译,使用说明
03-13
tshark ARM 版本编译和使用说明 tshark 是 Wireshark 的命令行版本,可以对网络数据包进行捕获和分析。下面是 tshark ARM 版本的编译和使用说明。 一、交叉编译环境的设置 在编译 tshark 的 ARM 版本之前,需要...
tshark.zip
10-22
本文将详细介绍如何在CentOS7操作系统上使用离线RPM安装包来安装`tshark`,这是一个强大的网络数据包嗅探器和分析工具,属于Wireshark套件的一部分。 首先,`CentOS7`是Red Hat企业级Linux的一个克隆版,它提供了一...
wireshark-tshark 命令详解
04-02
wireshark - tshark 命令详细介绍,Ethereal是一个很流行的开源sniffer,支持包括solaris在内的很多平台。2006年初,主导Ethereal源码的大牛Gerald Combs跳槽到了CACE公司。原来“Ethereal”的商标就不能用了。伟大...
tshark.exe
02-24
wireshark的tshark
tshark.dev:回购管理tshark.dev,已部署到netlify
05-08
提出问题除了手动添加问题外,还有多种方法可以为此网站提出问题: 编辑此页面:每个页面的右上角都有一个链接,可以单击以查看github中的页面。 对更改满意后,便可以提出拉取请求。 注释:每篇文章的底部都有
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
10-31
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
捕获非广播包和非发给自己主机的数据包的原理是什么 混杂模式(转)
weixin_33975951的博客
12-24 733
通过设置网卡为混杂模式就能捕获局域网内所有发包内容,包括非广播包和非发给自己主机的数据包 这是为什么呢?即主机A发送一个数据包给主机B,我作为主机C怎么也能截获这个数据包呢,原理是什么?我的网卡为什么设置混杂模式就能捕获发给别人的包多谢各位大牛讲解先说说网卡的工作原理。网卡收到传输来的数据,网卡内的单片程序先接收数据头的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为...
使用tshark对pcap报文进行批量切流
村中少年的专栏
09-03 5374
通过一个具体的切流示例介绍一下tshark命令行的一些参数
Wireshark命令行工具tshark使用小记
墨痕诉清风的博客
01-07 1861
1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Data部分,主要是对本地存储的.pcap文件进行解析。这时候就会使用到tshark命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言比如Java,来调用命令行,实现...
Pyshark的使用方法
热门推荐
Clannad_niu的博客
04-18 2万+
PyShark中进行数据包分析的两个典型方法是使用FileCapture和LiveCapture模块。前者从一个存储的捕获文件中导入u数据包,后者将使用本机的网络接口进行嗅探。使用这两个模块都会返回一个capture对象。我们首先来了解一下这两个模块如何使用。两个模块提供相似的参数来控制 capture 对象中返回的数据包。下面的定义直接从模块的docstring中获取:interface: [仅...
wireshark显示TShark not found
hackdoors的博客
02-18 1302
wireshark显示TShark not found.pyshark.tshark.tshark.TSharkNotFoundException: TShark not found. Try adding its location to the configuration file. Searched these paths: ['C:\\Program Files\\Wireshark\\tshark.exe', 'C:\\Program Files (x86)\\Wireshark\\tshark.e
java tshark
08-30
Java Tshark是一个基于Java语言的封装了Wireshark的命令行工具Tshark的库。Tshark是Wireshark的命令行版本,用于在命令行界面中对网络数据包进行捕获、分析和处理。 使用Java Tshark库,你可以在Java程序中直接调用Tshark命令行工具的功能,例如捕获网络数据包、解析数据包信息、过滤数据包等。这样你就能够通过编写Java代码来实现对网络数据包的操作。 要使用Java Tshark,你可以先下载并安装Wireshark,然后在Java项目中添加Java Tshark库的依赖。接下来,你可以通过编写Java代码来调用Tshark的功能。 以下是一个简单的示例代码,展示了如何使用Java Tshark库进行网络数据包捕获和解析: ```java import org.jnetpcap.Pcap; import org.jnetpcap.packet.JPacket; import org.jnetpcap.packet.JPacketHandler; import org.jnetpcap.protocol.network.Ip4; public class JavaTsharkExample { public static void main(String[] args) { final StringBuilder errbuf = new StringBuilder(); // 打开网络接口 Pcap pcap = Pcap.openLive("eth0", 65536, Pcap.MODE_PROMISCUOUS, 1000, errbuf); // 创建IP协议解析器 final Ip4 ip = new Ip4(); // 定义数据包处理器 JPacketHandler<String> handler = new JPacketHandler<String>() { public void nextPacket(JPacket packet, String user) { // 解析IP头部 if (packet.hasHeader(ip)) { String sourceIP = org.jnetpcap.packet.format.FormatUtils.ip(ip.source()); String destinationIP = org.jnetpcap.packet.format.FormatUtils.ip(ip.destination()); System.out.println("Source IP: " + sourceIP); System.out.println("Destination IP: " + destinationIP); } } }; // 开始捕获数据包 pcap.loop(10, handler, ""); // 关闭网络接口 pcap.close(); } } ``` 该示例代码使用Java Tshark库通过网络接口"eth0"捕获10个数据包,并解析其中的IP头部信息。你可以根据自己的需求修改代码。 希望这个简单的示例能帮助到你!如果你有更多关于Java Tshark的问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值