0x00 前言 tshark是WireShark的命令行版本,有类似tcpdump的输出。在捕获流量时,使用命令行模式,可以节省主机的资源消耗,并且一边捕获一边显示过滤,也对主机资源造成性能上的影响。所以在连续捕获大流量的时候,可以使用命令行的方式进行捕获流量
0x01 tshark 常用命令 tshark -D #列出可以进行监听的接口
tshark -i 1 #捕获第一个接口的流量,并且显示在屏幕上。1 代表使用-L 显示出来的第一个接口,可以通过wireshark的图形界面查看接口:第一个接口的序号为1,第二个接口的序号为2
tshark -i 1 -w C:20190214.pcapng #捕获第一个接口的所有流量,并把流量文件保存在C:20190214.pcapng
tshark -i 1 -B 10 -p -f " host 10.118.60.113" -w C:20190214.pcapng #使用捕获过滤器" host 10.118.60.113" ,不使用混杂模式监听流量,增大缓存为10M,捕获第一个接口的所有流量,并把流量文件保存在C:20190214.pcapng
tshark -i 1 #捕获第一个接口的流量,并且显示在屏幕上。1 代表使用参数“-D ”显示出来的第一个接口,可以通过wireshark的图形界面查看接口:第一个接口的序号为1,第二个接口的序号为2
tshark -i 1 -p -w C:2016.pcapng #不使用混杂模式监听流量,捕获第一个接口的所有流量,并把流量文件保存在C:2016.pcapng
tshark -np -i 1 #以管理模式进行捕获流量
tshark -n -i 1 #以监听模式进行捕获流量
详细的参数可参考如下:
tshark -h 或者man tshakrk
wireshark 主界面--【帮助】--【说明文档】--【tshark】
本地wireshark帮助文档: C:Program FilesWiresharkuser-guide.chm
0x02 tcpdump常用命令 tcpdump -D #列出可以进行监听的接口
tcpdump -i 1 -w 2020 #捕获接口1的流量包,并且保存为2020
tcpdump host 10.202.37.88 -w 2020 #捕获主机10.202.37.88的流量包,并且保存
tcpdump -i 1 -vvv -w 2020 #使用计数模式来显示已经捕获的数据包
tcpdump -i 1 -c 20000 -w 2020 #捕获20000个包后,保存文件
0x03 linux设置监听模式 第一步:
wardrive@~:#iwconfig wlan0 mode monitor channel 1
wardrive@~:# iwconfig wlan0 | grep Mode Mode:Monitor Frequency:2.412GHz Access Point: 00:00:00:00:00:00
wardrive@~:# ifconfig wlan0 | grep HWaddr wlan0 Link encap:UNSPEC HWaddr00-30-F1-0E-51-1F-00-00-00-00-00-00-00-00-00-00
第二步:
wardrive@~:# wlanconfig ath0 destroy
wardrive@~:# wlanconfig ath0 create wlandev wifi0 wlanmode monitor ath0
wardrive@~:# ifconfig ath0 up
wardrive@~:# iwconfig ath0 | grep Mode Mode:monitor Frequency:2.412 GHz Access Point: 00:00:00:00:00:00
第三步:
wardrive@~:# rmmod ath_pci
wardrive@~:# modprobe ath_pci autocreate=none