Linux之tshark抓包工具安装和使用

描述

一、tshark简介

 tshark是一个网络协议分析器。它允许您从实时网络捕获数据包数据,或者从以前保存的捕获文件读取数据包,或者将这些数据包的解码形式打印到标准输出,或者将数据包写入文件。TShark的本机捕获文件格式是pcapng格式,这也是Wireshark和其他各种工具使用的格式。如果不设置任何选项,TShark的工作方式将非常类似于tcpdump。它将使用pcap库捕获来自第一个可用网络接口的流量,并在每个接收到的数据包的标准输出上显示摘要行。

本文实验环境说明:

操作系统:ceontos7.6

wireshark:1.10.14

二、安装步骤

1、安装epel扩展源

 

[root@s145 yum.repos.d]# yum install -y epel-release

 

2、安装wireshark

#tshark是wireshark的一个工具,我们可以直接安装wireshark

 

[root@s145 yum.repos.d]# yum install -y wireshark

 

3、查看版本

 

[root@s145 yum.repos.d]# tshark -v
TShark 1.10.14 (Git Rev Unknown from unknown)

 

三、使用示例

1、获取命令帮助

 

[root@s145 ~]# tshark --help

 

2、查看命令版本

 

[root@s145 ~]# tshark -v

 

3、eth0接口抓包

 

[root@s145 ~]# tshark -i eth0

 

4、抓取前10个包

 

[root@s145 ~]# tshark -i eth0 -c 10

 

5、抓包http包

 

[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’

 

6、抓取http请求包

 

[root@s145 ~]# tshark -i eth0 -f ‘tcp dst port 80’ -R “http.request”

 

7、抓取http包并打印指定字段

 

[root@s145 ~]# tshark -i eth0 -n -f ‘tcp dst port 80’ -R ‘http.host and http.request.uri’ -T fields -e http.host -e http.request.uri -l

 

8、抓包并过来指定IP地址的包

 

[root@s145 ~]# tshark -i eth0 -R “ip.addr == 47.103.25.27”

 

-R参数可以使用满足wireshark过滤规则的包,过滤规则可以参考博文:

抓包工具之wireshark常用过滤表达式

四、命令参数说明

  此处参数说明仅介绍部分常用参数,参数详细说明见官网文档:https://www.wireshark.org/docs/man-pages/tshark.html

1、捕获接口参数

参数参数说明

-i 接口名或网卡编号 (默认: 第一个非环回接口)

-f 使用libpcap过滤表达式进行包过滤

-s 设置每个抓包的大小,默认为262144。

-p不使用混杂模式抓捕报文(即只抓取与本机有关的流量)

-I如果支持则启用镜像模式

-B 内核缓存大小 (默认4MB)

-y 链路层类型 (默认为找到的第一个协议)

-D列出所有接口并退出

-L列出所有接口链路层类型并退出(供-y参数使用)

2、捕获终止条件参数

 

参数  参数说明
-c   捕获到n个包时停止 (默认不限,持续捕获)
-a  … duration:NUM  捕获进行NUM后停止
-a  … filesize:NUM  输出文件大于NUM KB后停止
-a  … files:NUM  输出超过NUM个文件后停止

 

3、捕获输出参数

 

参数  参数说明
-b  … duration:NUM  在NUM秒后写入下一个文件(文件名由-w参数决定)
-b  … interval:NUM  创建时间间隔NUM秒
-b  … filesize:NUM  在文件大于NUM KB后写入下一个文件
-b  … files:NUM  循环缓存: 在NUM个文件后替换早前的

 

4、读取文件参数

 

参数  参数说明
-r   设置需要读取的文件名及路径

 

5、分析处理参数

 

参数  参数说明
-2  执行两次分析
-R   包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。
-Y   使用读取过滤器的语法,在单次分析中可以代替-R选项;
-n:  禁止所有地址名字解析(默认为允许所有)
-N  :  启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。
-d ==, …  将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。

 

6、输出参数

 

参数  参数说明
-w   使用pcapng格式将报文写入"outfile"文件 (或’-'表示标准输出,直接显示在终端)
-C   启动时使用指定的配置文件
-F   设置输出文件格式类型, 默认为pcapng格式 "-F"留空则列出所有的文件类型
-V  输出中增加报文层次树(包详细信息)
-O   仅显示以下协议的详细信息,逗号分割
-P  每写入一个文件后进行包情况汇总
-S   数据包之间的行分割符
-x  输出中增加16进制和ascii字符信息(报文按字节显示)
-T pdml|ps|psml|json|jsonraw|ek|tabs|text|fields|?  文本输出格式 (默认文本:text)
-j   当-T ek|pdml|json 设置时协议层过滤 (例:“ip ip.flags text”, 过滤不展开的所有字节点,除非过滤中有指定的子节点)
-J   当 -T ek|pdml|json 选项设置时进行顶层协议过滤, (例: “http tcp”, 过滤展开的所有字节点)
-e   当 -T fields 设置时打印字段 (如tcp.port,_ws.col.Info) 此选项可以多个用于打印多个字段
-E=  当-Tfields选项启用时用于输出配置:

 

7、其他

 

参数  参数说明
-h  显示帮助
-v  显示版本
-o : …  覆盖配置项
-K   使用keytab文件用于解密kerberos
-G [report]  生成一份或多份报告,默认report=“fields”,使用"-G help"获取更多信息

 

五、QA

1、yum安装tshark提示No package tshark available

原因:确实没有tshark包,tshark是wireshark的一个工具

解决方案:安装wireshark

 

[root@s145 yum.repos.d]# yum provides tshark

 

  审核编辑:汤梓红

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分