使用tshark进行数据包分析

 

选项说明Options

• -r 读取数据包

• -C 选择对应的配置文件

• -d 解码为。。。

• -D 通过行进行打印输出

• -e 定义需要打印的行内容

• -E 定义具体的打印格式

• -T 定义具体的打印方式

命令tshark -d <layer type>==<selector>,<decode-as protocol>

tshark -r vmx.cap -d tcp.port==446,http

命令注解

在一些分析中可能会遇到接口信息没有采用标准的类型所以可以通过-d选项将其解码为特定的协议。

命令

tshark -r vmx.cap -n -q -z conv,ip | more

输出

================================================================================
IPv4 Conversations
Filter:<No Filter>
                                               |       <-      | |       ->      | |     Total     |    Relative    |   Duration   |
                                               | Frames  Bytes | | Frames  Bytes | | Frames  Bytes |      Start     |              |
10.195.4.41          <-> 10.1.8.130             45659   7028815   51959  35447192   97618  42476007     0.000000000        59.9950
================================================================================

命令

tshark -r vmx.cap -n -q -z conv,tcp | more

输出

========