运维
Tcpdump抓包工具
tshark抓包工具
Ansible
Ansible配置
Ansible-远程命令模块( command / script / shell )
Ansible-常用模块
PlayBook
PlayBook-变量
PlayBook-条件/循环
PlayBook-Tags
PlayBook-常用脚本
Ansible-Vault(数据安全)
Ansible-API
Ansible实践
JMeter测试软件
JMeter性能指标
Curl
综合分析工具
磁盘/IO工具
网络分析工具
JAVA分析工具
更换硬盘
Linux启动流程
安装问题
GURB加密
修改默认启动项
Root密码忘记
重装内核、GRUB
Too many open files错误
误删文件,内存恢复
Read-only file system错误
本文档使用MrDoc发布
返回首页
-
+
tshark抓包工具
2023年3月28日 10:54
admin
#安装tshark yum install -y epel-release yum install -y wireshark --- #查看版本 tshark -v --- #使用 ####指定网卡 tshark -i eth0 ####抓取前10个包 tshark -i eth0 -c 10 ####抓取tcp指定目录端口包 tshark -i eth0 -f 'tcp dst port 80' ####指定来源ip的包 tshark -i eth0 -R "ip.addr == 47.103.25.27" ####实时打印当前mysql查询语句 tshark -s 512 -i eth0 -n -f 'tcp dst port 3306' -R 'mysql.query' -T fields -e mysql.query #### --- ##1、捕获接口参数 |参数|参数说明 |--|-- |-i <interface>| 接口名或网卡编号 (默认: 第一个非环回接口) |-f <capture filter>| 使用libpcap过滤表达式进行包过滤 |-s <snaplen>| 设置每个抓包的大小,默认为262144。 |-p| 不使用混杂模式抓捕报文(即只抓取与本机有关的流量) |-I| 如果支持则启用镜像模式 |-B <buffer size>| 内核缓存大小 (默认4MB) |-y <link type>| 链路层类型 (默认为找到的第一个协议) |-D| 列出所有接口并退出 |-L| 列出所有接口链路层类型并退出(供-y参数使用) ##2、捕获终止条件参数 |参数|参数说明 |--|-- |-c <packet count>| 捕获到n个包时停止 (默认不限,持续捕获) |-a <autostop cond.> … duration:NUM| 捕获进行NUM后停止 |-a <autostop cond.> … filesize:NUM| 输出文件大于NUM KB后停止 |-a <autostop cond.> … files:NUM| 输出超过NUM个文件后停止 ##3、捕获输出参数 |参数|参数说明 |--|-- |-b <ringbuffer opt.> … duration:NUM| 在NUM秒后写入下一个文件(文件名由-w参数决定) |-b <ringbuffer opt.> … interval:NUM| 创建时间间隔NUM秒 |-b <ringbuffer opt.> … filesize:NUM| 在文件大于NUM KB后写入下一个文件 |-b <ringbuffer opt.> … files:NUM| 循环缓存: 在NUM个文件后替换早前的 ##4、读取文件参数 |参数|参数说明 |--|-- |-r <infile>| 设置需要读取的文件名及路径 ##5、分析处理参数 |参数|参数说明 |--|-- |-2| 执行两次分析 |-R <read filter>| 包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。 |-Y <display filter>| 使用读取过滤器的语法,在单次分析中可以代替-R选项; |-n| 禁止所有地址名字解析(默认为允许所有) |-d <layer_type>==,<decode_as_protocol> …| 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。 ##6、输出参数 |参数|参数说明 |--|-- |-w <outfile ->| 使用pcapng格式将报文写入"outfile"文件 (或’-'表示标准输出,直接显示在终端) |-C <config profile>| 启动时使用指定的配置文件 |-F <output file type>| 设置输出文件格式类型, 默认为pcapng格式 "-F"留空则列出所有的文件类型 |-V| 输出中增加报文层次树(包详细信息) |-O <protocols>| 仅显示以下协议的详细信息,逗号分割 |-P| 每写入一个文件后进行包情况汇总 |-S <separator>| 数据包之间的行分割符 |-x| 输出中增加16进制和ascii字符信息(报文按字节显示) |-T |文本输出格式 (默认文本:text) |-e <field>| 当 -T fields 设置时打印字段 (如tcp.port,_ws.col.Info) 此选项可以多个用于打印多个字段 |-E<fieldsoption>=| 当-Tfields选项启用时用于输出配置: ##7、其他 |参数|参数说明 |--|-- |-h| 显示帮助 |-v| 显示版本 |-o <name>: …| 覆盖配置项 |-K <keytab>| 使用keytab文件用于解密kerberos |-G [report]| 生成一份或多份报告,默认report=“fields”,使用"-G help"获取更多信息
分享到: