一、tshark简介
tshark是一个网络协议分析器。它允许您从实时网络捕获数据包数据,或者从以前保存的捕获文件读取数据包,或者将这些数据包的解码形式打印到标准输出,或者将数据包写入文件。TShark的本机捕获文件格式是pcapng格式,这也是Wireshark和其他各种工具使用的格式。如果不设置任何选项,TShark的工作方式将非常类似于tcpdump。它将使用pcap库捕获来自第一个可用网络接口的流量,并在每个接收到的数据包的标准输出上显示摘要行。
本文实验环境说明:
操作系统:ceontos7.6
wireshark:1.10.14
二、安装步骤
1、安装epel扩展源
[root@s145 yum.repos.d]# yum install -y epel-release
2、安装wireshark
#tshark是wireshark的一个工具,我们可以直接安装wireshark
[root@s145 yum.repos.d]# yum install -y wireshark
3、查看版本
[root@s145 yum.repos.d]# tshark -v TShark 1.10.14 (Git Rev Unknown from unknown)
三、使用示例
1、获取命令帮助
[root@s145 ~]# tshark --help
2、查看命令版本
[root@s145 ~]# tshark -v
3、eth0接口抓包
[root@s145 ~]# tshark -i eth0
4、抓取前10个包
[root@s145 ~]# tshark -i eth0 -c 10
5、抓包http包
[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’
6、抓取http请求包
[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’ -R “http.request”
7、抓取http包并打印指定字段
[root@s145 ~]# tshark -i eth0 -n -f ‘tcp dst port 80’ -R ‘http.host and http.request.uri’ -T fields -e http.host -e http.request.uri -l
8、抓包并过来指定IP地址的包
[root@s145 ~]# tshark -i eth0 -R “ip.addr == 47.103.25.27”
-R参数可以使用满足wireshark过滤规则的包,过滤规则可以参考博文:
抓包工具之wireshark常用过滤表达式
四、命令参数说明
此处参数说明仅介绍部分常用参数,参数详细说明见官网文档:https://www.wireshark.org/docs/man-pages/tshark.html
1、捕获接口参数
参数参数说明
-i
-f
-s
-p不使用混杂模式抓捕报文(即只抓取与本机有关的流量)
-I如果支持则启用镜像模式
-B
-y 链路层类型 (默认为找到的第一个协议)
-D列出所有接口并退出
-L列出所有接口链路层类型并退出(供-y参数使用)
2、捕获终止条件参数
参数 参数说明 -c捕获到n个包时停止 (默认不限,持续捕获) -a … duration:NUM 捕获进行NUM后停止 -a … filesize:NUM 输出文件大于NUM KB后停止 -a … files:NUM 输出超过NUM个文件后停止
3、捕获输出参数
参数 参数说明 -b… duration:NUM 在NUM秒后写入下一个文件(文件名由-w参数决定) -b … interval:NUM 创建时间间隔NUM秒 -b … filesize:NUM 在文件大于NUM KB后写入下一个文件 -b … files:NUM 循环缓存: 在NUM个文件后替换早前的
4、读取文件参数
参数 参数说明 -r设置需要读取的文件名及路径
5、分析处理参数
参数 参数说明 -2 执行两次分析 -R包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。 -Y 使用读取过滤器的语法,在单次分析中可以代替-R选项; -n: 禁止所有地址名字解析(默认为允许所有) -N : 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。 -d ==, … 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。
6、输出参数
参数 参数说明 -w使用pcapng格式将报文写入"outfile"文件 (或’-'表示标准输出,直接显示在终端) -C 启动时使用指定的配置文件 -F
7、其他
参数 参数说明 -h 显示帮助 -v 显示版本 -o: … 覆盖配置项 -K 使用keytab文件用于解密kerberos -G [report] 生成一份或多份报告,默认report=“fields”,使用"-G help"获取更多信息
五、QA
1、yum安装tshark提示No package tshark available
原因:确实没有tshark包,tshark是wireshark的一个工具
解决方案:安装wireshark
[root@s145 yum.repos.d]# yum provides tshark
审核编辑:汤梓红
全部0条评论
快来发表一下你的评论吧 !