tshark学习笔记(一)
程序员文章站
2022-03-18 23:39:23
...
TShark (Wireshark) 2.4.5 (Git v2.4.5 packaged as 2.4.5-1)
Dump and analyze network traffic.
See https://www.wireshark.org for more information.
转储和分析网络流量
Usage: tshark [options] ...
Capture interface(捕获接口):
-i <interface> 网络接口名称(第一个非loopback)
-f <capture filter> 设置过滤器
-s <snaplen> 捕获包的长度
-p 不要讲捕获设置为混杂模式
-I 以监听模式捕获,如果可用
-B <buffer size> 捕获缓冲区大小(默认2MB)
-y <link type> 链路层类型(默认为捕获到的第一个类型)
-D 打印接口类型列表并退出
-L 打印接口的链路协议并退出
Capture stop conditions(捕获停止条件):
-c <packet count> 捕获n个包后停止(默认无限)
-a <autostop cond.> ...duration:NUM - 在NUM秒之后停止捕获
filesize:NUM - 在NUM kb之后停止
files:NUM - 再NUM个文件后停止
Capture output(捕获输出):
-b <ringbuffer opt.> ... duration:NUM - 在NUM秒之后切换到下一个文件
filesize:NUM - 在NUM KB之后切换到下一个文件
files:NUM - ringbuffer: 环性缓冲,在NUM个文件之后代替
Input file(输入文件):
-r <infile> 读取本地文件
Processing(处理):
-2 执行两次分析
-M <packet count> 重置会话
-R <read filter> 包的读取过滤器,在wareshark的过滤器中查看
-Y <display filter> 显示过滤器
-n 关闭所有名称解析(默认开启)
-N <name resolve flags> 指定某一层的地址名字解析
-d <layer_type>==<selector>,<decode_as_protocol> ... 将指定的数据按特定的协议导出
-H <hosts file> 从主机文件中读取输入列表,之后写入到捕获文件中
Output(输出):
-w <outfile|-> 把捕获到的数据报输出到pcap文件中,并命名为outfile(或者用标准输出"-")
-C <config profile> 启动指定的配置属性
-F <output file type> 设置输出文件类型,默认为pacpng和空,-F 列出输出文件类型
-V 添加包的属性结构输出
-O <protocols> 只显示指定的协议的详细信息
-P 打印包的概要信息,即使正在写入文件
-S <separator> 包之间的行分隔器,添加hex和ASCII存储
-x 添加hex和ASCII输出
-T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|? 输出文件的形式,默认text
-j <protocolfilter> 判断协议过滤器(如果-T ek|pdml|json被选择)
-J <protocolfilter> 判断顶层协议过滤器(如果-T ek|pdml|json被选择)
-e <field> 指定输出的特定字段(如果-Tfields 被选择)
-E<fieldsoption>=<value> 设定输出选项(-Tfields被选择):
bom=y|n 打印一个UTF-8清单
header=y|n 转换头部开启|关闭
separator=/t|/s|<char> 选择tab,空格,可打印字符作为分隔符
occurrence=f|l|a 打印到达的第一个|最后一个|所有字段
aggregator=,|/s|<char> 选择逗号,空格,可打印字符作为整合
-t a|ad|d|dd|e|r|u|ud|? 时间啊戳的输出形式
-u s|hms 秒的输出形式
-l 在每个包之后刷新标准输出
-q 更加平静的标准输出
-Q 日志记录正式的错误
-g 设置组通道在输出文件上
-W n 在文件中保存附加信息,如果支持,n 为写网络地址解析信息
Miscellaneous(其他项):
-h 展示帮助信息
-v 版本信息