tshark命令示例

最新推荐文章于 2023-06-27 17:38:06 发布
最新推荐文章于 2023-06-27 17:38:06 发布
阅读量7.3k 收藏 9
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zztoll/article/details/54926053
版权


tshark的详细使用方法可参见wireshark安装路径中tshark.html,但其参数众多,如果你有如下有功能需求,可直接套用即可。

1.从.pcap文件中提取如wireshark表格中显示的封包摘要信息
 tshark -r test.pcap

2.从.pcap文件中提取如wireshark表格中显示的封包摘要信息,并将结果输出到一个文件中
 tshark -r test.pcap > text.txt


3.从.pcap文件中提取如wireshark表格中显示的封包摘要信息,指定显示某列
tshark -r test.pcap -T fields -e col.Protocol -e col.Info -E separator=, -E header=y > text.csv

-e col.Protocol即为指定列名,更多的列名参见wireshark
我用tshark 1.10.8.2验证的,据称1.11之后的版本应为 _ws.col.Protocol,且使用1.8.6版时发现不支持col.Protocol关键字

4.从.pcap文件中提取数据包的mac地址、ip地址、TCP/UDP等可以用以下命令。
tshark -r test.pcap -T fields -e eth.src -E header=y -E separator=, -E quote=d -E occurrence=f > test.csv

-e eth.src即指定显示源MAC地址,更多的项目(如-e eth.dst -e ip.src -e ip.dst -e ip.proto)参见wireshark的dispaly filter    https://www.wireshark.org/docs/dfref/
示例中的 -E header=y -E separator=, -E quote=d -E occurrence=f是针对输出文本的格式控制,具体意义参见tshark.html


5.对pcap的封包协议作详细解析并输出协议细节
tshark -r test.pcap -V
如要将解析结果输出到文本文件中则为:tshark -r udp.pcap -V -T pdml,输出格式有多种,具体参见tshark.html对参数 -T的说明

6.对pcap的封包协议作详细解析增加对TCP头checksum对错的判断
tshark -r test.pcap -V -o tcp.check_checksum:TRUE
为TRUE即checksum对错要作判断,为FALSE为不判断
同理,对UDP checksum的判断则为:tshark -r udp.pcap -V -o udp.check_checksum:TRUE
tshark的配置项众多,更多的配置项可参见其配置文件,在%AppData%Roaming/Wireshark/preferences文件中

7.承上,如需将IP头解析为DiffServ
tshark -r test.pcap -V -o ip.decode_tos_as_diffserv:TRUE





zztoll
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
[转]tshark命令大全
comhaqs的专栏
03-01 5040
原帖网址:  http://blog.sina.com.cn/s/blog_6a00518c0100xevk.html       tshark就不用我介绍了,这里只是介绍下tshark命令,方便大家使用或进行二次开发   基本语法:         tshark [ -a autostop condition> ] ... [ -b ring buffer option>] ..
tshark简单使用-wireshark
热门推荐
tianzhu123的专栏
03-26 1万+
Ethereal是一个很流行的开源sniffer,支持包括solaris在内的很多平台。2006年初,主导Ethereal源码的大牛GeraldCombs跳槽到了CACE公司。原来“Ethereal”的商标就不能用了。伟大的开源项目如果因此而over,不免同好者唏嘘。怎么办?Combs等人只得舍弃人气既旺的Ethereal名号,将项目更名为Wireshark。它吸引了大多数原来Ethereal的c
tshark一些常用命令参数解析
nuisthou的博客
09-10 6326
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
tshark常用命令
公众号shadow sock7
06-30 3230
抓取HTTP流量(显示域名和UA) sudo tshark -i en0 -Y http.request -T fields -e http.host -e http.user_agent 部分结果如下: [~]$ sudo tshark -i en0 -Y http.request -T fields -e http.host -e http.user_agent ...
wireshark-tshark 命令详解
04-02
### Wireshark与tshark命令详解 #### 一、Wireshark简介 Wireshark是一款非常强大的网络数据包分析工具,前身名为Ethereal。2006年,由于商标问题,Ethereal的主要开发者Gerald Combs离开原团队加入CACE ...
java中调用tshark命令行,解析数据包信息
01-18
在实际操作中,你可能需要解压这个文件,然后使用解压后的文件作为Tshark命令的输入,例如指定数据包捕获文件进行离线分析。 总的来说,通过Java调用Tshark,我们可以灵活地在程序中集成网络数据包分析功能,从而...
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析.txt
10-31
#### 知识点五:其他常用命令示例 - **保存所有捕获的数据到文件**: - 使用命令`tshark -i eth0 -w output.pcap`可以将捕获的所有数据保存到`output.pcap`文件中。 - 其中`-w`参数用于指定输出文件路径。 - **...
6.8 TShark 中的总结统计 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
### 6.8 TShark 中的总结统计 在Wireshark数据包分析实战(第3版)一书中,第六章第八节详细介绍了TShark工具中的总结统计...通过灵活运用TShark的各种命令,网络专业人员能够更加轻松地理解和处理复杂的网络环境。
6.6 应用过滤器 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
- **示例**: `tshark –ni 1 –w packets.pcap –f "tcp port 80"`,该命令将只捕获目标端口为80的TCP流量,并将其保存到`packets.pcap`文件中。 **2. 显示过滤器** - **语法**: 使用Wireshark显示过滤器语法。 - *...
Python wireshark抓包及分析.docx
最新发布
04-29
在使用PyShark之前,请确保已经在系统上安装了Wireshark,并且`tshark`命令能够正常运行。 2. **权限问题** 抓包操作通常需要管理员权限,因此请确保Python脚本或环境具有相应的权限。 3. **遵守法律法规** ...
6.4 控制输出 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
- **扩展输出(使用 `-V` 参数)**:为了获得更详细的输出,可以在命令中添加 `-V` 参数。这样可以显示关于数据包的更多细节,例如数据包长度、接口信息、封装类型等。 示例: ``` Frame 1: 74 bytes on wire ...
6.3 捕获和保存流量 - Wireshark 数据包分析实战(第 3 版) - 知乎书店1
08-03
命令将启动 TShark 并开始捕获当前接口上的所有网络流量。捕获的数据将实时显示在终端窗口中。 **示例输出**: ``` 1 0.000000 172.16.16.128 -> 74.125.95.104 TCP 66 1606 80 [Seq=0 Win=8192 Len=0 MSS=1460 ...
wireshark抓包数据提取
04-24
例如,一个基本的Tshark命令可能如下: ```bash tshark -r capture.pcapng -T fields -e frame.number -e data -Y "tcp.len > 0" ``` 这个命令做了以下几件事: 1. `-r capture.pcapng`:指定输入的捕获文件。 2. ...
linux上安装和使用wireshark.pdf
11-05
以下是一些常用的显示过滤器示例: - `http`: 显示所有HTTP协议的数据包。 - `smtp`: 显示所有SMTP协议的数据包。 - `dns`: 显示所有DNS查询和响应。 - `ip.src == 192.168.1.1`: 显示源IP地址为192.168.1.1的...
tshark命令相关
少言才不会咸's Tech-blog
03-03 302
sudo tshark -i ap1 -O 'http' -n -Y 'http.host == "sdkxgxyajs.data.kuiniuca"' -Tfields -e http.request.full_uri -e http.file_data sudo tshark -i ap1 -O 'http' -n -Y 'http.host == "sdkxgxyajs.data.kuiniuca"'
网络命令之_tshark
踏实每一步
01-12 7922
tshark常用抓包方式: 还是不错的, 值得学习, 学会分析 ! 林大大提到的 tshark 自动化分析 tshark -n : disable all name resolutions, 禁止 name 解析 -r : 输入文件 -D : 查看可用的网络接口 -i : 待抓取的网络接口 和 tcpdump 的 -i 一样 -z : 各类统计显示, 这个功能最强大, 是自动化分析的关键 ! -Y : 和 -R类似 -R : ... 三板斧在 tshark 中的对应 - Summa.
tshark命令基本用法
hanyuyy的博客
06-27 2803
tshark -Y "http.request.method == GET:仅显示HTTP请求方法为GET的数据包。-T <output_format>:指定输出格式,将分析结果以不同的格式输出。你可以通过运行"tshark --help"来获取完整的帮助信息,其中包含了所有可用选项和命令的详细说明。例如,-i eth0表示使用eth0接口进行捕获,-i any表示捕获所有可用接口上的数据包。-w <filename>:将捕获到的数据包写入指定的文件中。-V:显示详细的数据包信息,包括各个协议的字段和值。
Wireshark命令行工具tshark使用小记
墨痕诉清风的博客
01-07 1880
1、目的   写这篇博客的目的主要是为了方便查阅,使用wireshark可以分析数据包,可以通过编辑过滤表达式来达到对数据的分析;但我的需求是,怎么样把Data部分导出来,因为后续的工作主要针对数据包的Data部分,主要是对本地存储的.pcap文件进行解析。这时候就会使用到tshark命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言比如Java,来调用命令行,实现...
tcpdump,tshark常用命令(一)
BruceLeeNumberOne的博客
10-16 1920
tcpdump,tshark常用命令抓包工具简介1、查看命令使用方法tcpdump代码示例tshark代码示例2、列出所有可用网卡tcpdump代码示例tshark代码示例3、捕获指定网卡的网络包tcpdump代码示例tshark代码示例4、将抓到的包保存到指定的文件tcpdump代码示例tshark代码示例5、读取抓到的包tcpdump代码示例tshark代码示例6、读取指定个数的包tcpdum...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值