1、
a、解析dhcp抓包文件
-r 读抓好的数据包文件
tshark -r 数据包路径 -Y 过滤条件 基本上可以运用 wirshark上的过滤条件
查找中继后dhcp discover src ip 报文
tshark -r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.src == 192.168.108.1 && bootp.option.dhcp == 1"
查看dhcp discover srcmac 报文
tshark -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 1"
查看dhcp offer 报文
tshark -r E:\testpacket\testdhcp.pcapng -Y "bootp && ip.src == 192.168.111.1 && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 2"
查看dhcp request报文
tshark -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 3"
查看dhcp ack报文
tshark -r E:\testpacket\testdhcp.pcapng -Y "bootp && bootp.hw.mac_addr == 00:0c:29:b7:56:f3 && bootp.option.dhcp == 5"
b、解析tftp
查看tftp 69端口 针对 文件名字 cm.cfg 请求:
tshark -r E:\cm_online.pcapng -Y "tftp && udp.dstport == 69 && tftp.source_file == "cm.cfg""
查看server回复ack报文:
tshark -r E:\cm_online.pcapng -Y "tftp && tftp.opcode == 6 && ip.src == 192.168.111.1"
查看server发送数据报文的请求信息:
tshark -r E:\cm_online.pcapng -Y "tftp && data.len && tftp.source_file == "cm.cfg""
tshark -r E:\cm_online.pcapng -Y "tftp && frame.protocols == "eth:ethertype:ip:udp:tftp:data" && tftp.source_file == "cm.cfg""
2、查看网卡
tshark -D
3、抓包
tshark -i 网卡 -f "过滤选项" -a duration:抓包时间
tshark -i wk106 -f "icmp" -a duration:5
windows 网卡的名字是定义的名字的 就是 -D 看到的括号的名字
抓包网口 vlan1002-sw4 10s钟 保存到 E:\testpacket\234.pcapng
tshark -i vlan1002-sw4 -a duration:10 -w E:\testpacket\234.pcapng
-c 捕获包个数
tshark -i wk106 -f "icmp" -c 1
4、抓包就打印到界面上 实时打印
-T -e 只是打印这个字段
tshark -i wk106 -f "icmp" -c 1 -T fields -e "icmp"
tshark -i wk106 -f "icmp" -a duration:5 -T fields -e "icmp"
-T -e 只是打印这两个个字段
tshark -i wk106 -f "icmp" -c 1 -T fields -e "icmp" -e "eth.dst"
tshark -i wk106 -f "icmp" -a duration:5 -T fields -e "icmp" -e "eth.dst"
抓包 vlan 的数据
tshark -i wk106 -f "vlan" -c 10 -T fields -e "eth.src" -e"vlan"
-I 输出到命令行界面 老是报错