Linux上使用wireshark抓包,在linux上使用wireshark软件抓包命令行

在linux上使用wireshark软件抓包命令行

tshark -a . -b . -B -c -d =, -D -f -F - h -i |- -l -L -n -N -o . -p -q -r -R -s - S -t ad|a|r|d -T pdml|psml|ps|text -v -V -w |- -x -X -y -z -a 设置一个标准用来指定 Wireshark 什么时候停止捕捉文件。标准的格式为 test:value,test 值为下面中的一个。 duration:value 当捕捉持续描述超过 Value 值，停止写入捕捉文件。 filesize:value 当捕捉文件大小达到 Value 值 kilobytes(kilobytes 表示 1000bytes,而不是 1024 bytes)， 停止写入捕捉文件。如果该选项和-b 选项同时使用，Wireshark 在达到指定文件大小时会 停止写入当前捕捉文件，并切换到下一个文件。 files:value 当文件数达到 Value 值时停止写入捕捉文件 -b 如果指定捕捉文件最大尺寸，因为 Wireshark 运行在“ring buffer“模式，被指定了文件数。 在“ring buffer“模式下，Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期， 时间决定。 当第一个捕捉文件被写满，Wireshark 会跳转到下一个文件写入，直到写满最后一个文件， 此时 Wireshark 会丢弃第一个文件的数据(除非将 files 设置为 0，如果设置为 0，将没有文 件数限制)，将数据写入该文件。 如果 duration 选项被指定，当捕捉持续时间达到指定值的秒数，Wireshark 同样会切换到 下个文件，即使文件未被写满。 duration:value 当捕捉持续描述超过 Value 值，即使文件未被写满，也会切换到下个文件继续写入。 filesize:value 当文件大小达到 value 值 kilobytes 时(kelobyte 表示 1000bytes,而不是 1024bytes)，切换 到下一个文件。 files:value 当文件数达到 value 值时，从第一个文件重新开始写入。 -B 仅适合 Win32:设置文件缓冲大小(单位是 MB,默认是 1MB).被捕捉驱动用来缓冲包数据， 直到达到缓冲大小才写入磁盘。如果捕捉时碰到丢包现象，可以尝试增大它的大小。 -c 实时捕捉中指定捕捉包的最大数目，它通常在连接词-k 选项中使用。 -D 打印可以被 Wireshark 用于捕捉的接口列表。每个接口都有一个编号和名称(可能紧跟在 接口描述之后？)会被打印，接口名或接口编号可以提供给-i 参数来指定进行捕捉的接口(这 里打印应该是说在屏幕上打印)。在那些没有命令可以显示列表的平台(例如 Windows,或者缺少 ifconfig -a 命令的 UNIX 平台)这个命令很有用;接口编号在 Windows 2000 及后续平台的接口名称通常是一些复杂 字符串，这时使用接口编号会更方便点。 注意，“可以被 Wireshark 用于捕捉“意思是说：Wireshark 可以打开那个设备进行实时捕 捉；如果在你的平台进行网络捕捉需要使用有特殊权限的帐号(例如 root，Windows 下的 Administrators 组)，在没有这些权限的账户下添加-D 不会显示任何接口。参数 -f 设置捕捉时的内置过滤表达式 -g 在使用-r 参数读取捕捉文件以后，使用该参数跳转到指定编号的包。 -h -h 选项请求 Wireshark 打印该版本的命令使用方法(前面显示的)，然后退出。 -i 设置用于进行捕捉的接口或管道。 网络接口名称必须匹配 Wireshark -D 中的一个；也可以使用 Wireshark -D 显示的编号， 如果你使用 UNIX,netstat -i 或者 ifconfig -a 获得的接口名也可以被使用。但不是所有的 UNIX 平台都支持-a,ifconfig 参数。 如果未指定参数，Wireshark 会搜索接口列表，选择第一个非环回接口进行捕捉，如果没 有非环回接口，会选择第一个环回接口。如果没有接口，wireshark 会报告错误，不执行捕 捉操作。 管道名即可以是 FIFO(已命名管道)，也可以使用“-“读取标准输入。从管道读取的数据必 须是标准的 libpcap 格式。 -k -k 选项指定 Wireshark 立即开始捕捉。这个选项需要和-i 参数配合使用来指定捕捉产生在 哪个接口的包。 -l 打开自动滚屏选项，在捕捉时有新数据进入，会自动翻动“Packet list“面板(同-S 参数一 样)。 -m 设置显示时的字体(编者认为应该添加字体范例) -n 显示网络对象名字解析(例如 TCP,UDP 端口名，主机名)。 -N 对特定类型的地址和端口号打开名字解析功能；该参数是一个字符串，使用 m 可以开启 MAC 地址解析，n 开启网络地址解析，t 开启传输层端口号解析。这些字符串在-n 和-N 参 数同时存在时优先级高于-n，字母 C 开启同时(异步)DNS 查询。 -o 设置首选项或当前值，覆盖默认值或其他从 Preference/recent file 读取的参数、文件。该 参数的值是一个字符串，形式为 prefname:value,prefnmae 是首选项的选项名称(出现在 preference/recent file 上的名称)。value 是首选项参数对应的值。多个-o 可以使用在单独命中中。 设置单独首选项的例子： wireshark -o mgcp.display_dissect_tree:TRUE 设置多个首选项参数的例子：wireshark -o mgcp.display_dissect_tree:TRUE -o mgcp.udp.callagent_port:2627提示提示在?可以看到所有可用的首选项列表。-p 不将接口设置为杂收模式。注意可能因为某些原因依然出于杂收模式；这样，-p 不能确 定接口是否仅捕捉自己发送或接受的包以及到该地址的广播包，多播包 -Q 禁止 Wireshark 在捕捉完成时退出。它可以和-c 选项一起使用。他们必须在出现在-i -w 连接词中。 -r 指定要读取显示的文件名。捕捉文件必须是 Wireshark 支持的格式。 -R 指定在文件读取后应用的过滤。过滤语法使用的是显示过滤的语法，参见第 6.3 节 “浏览 时过滤包”，不匹配的包不会被显示。 -s 设置捕捉包时的快照长度。Wireshark 届时仅捕捉每个包字节的数据。 -S Wireshark 在捕捉数据后立即显示它们，通过在一个进程捕捉数据，另一个进程显示数据。 这和捕捉选项对话框中的“Update list of packets in real time/实时显示数据“功能相同。 -t 设置显示时间戳格式。可用的格式有r 相对的，设置所有包时间戳显示为相对于第一个包的时间。a absolute,设置所有包显示为绝对时间。ad 绝对日期，设置所有包显示为绝对日期时间。d delta 设置时间戳显示为相对于前一个包的时间e epoch 设置时间戳显示为从 epoch 起的妙数(1970 年 1 月 1 日 00:00:00 起) -v 请求 Wireshark 打印出版本信息，然后退出 -w 在保存文件时以 savefile 所填的字符为文件名。 -y 如果捕捉时带有-k 参数，-y 将指定捕捉包中数据链接类型。The values reported by -L are the values that can be used. -X 设置一个选项传送给 TShark 模块。eXtension 选项使用 extension_key:值形式， extension_key:可以是： lua_script:lua_script_filename,它告诉 Wireshark 载入指定的脚本。默认脚本是 Lua scripts. -z 得到 Wireshark 的多种类型的统计信息，显示结果在实时更新的窗口。