命令形的 wireshark,有同 tcpdump

man tshark

捕包樹狀解析

tshark -V

十六進制,ASCII 解析

tshark -x

指定界面,保留檔名

tshark -i <界面> -w <檔名>

指定界面,保留檔名,指定重覆保留最大檔數量,停止捕包大小(有 -b 就有 -a?)

tshark -i <界面> -w <檔名> -b <保留檔數量> -a filesize:<捕包大小>

讀檔,顯示過濾條件,存檔

tshark -r <讀檔名> -w <存檔名> -R <過碌條件>

例:顯示過濾所有包 1/8/2010 22:00 至 1/8/2010 23:00,存至新檔

tshark -r <讀檔名> -w <存檔名> -R '(frame.time >= "Jan 8, 2010 22:00:00.00" ) && (frame.time <= "Jan 8, 2010 23:00:00.00")'

捕捉過碌

tshark -i eth1 -f icmp

捕捉過碌,ICMP 第零個 byte 是 Type

tshark -i eth1 -f 'icmp[0] == 0 or icmp[0] == 8'

也可

tshark -i eth1 icmp[0] == 8
tshark -f icmp -i eth1 icmp[0] == 8

Unix 系統有時要加 '

tshark -i eth1 'icmp[0] == 0 || icmp[0] == 8'

使用顯示過碌讀存檔

tshark -r bgp.pcap.gz -R "bgp.type == 2"

樹狀,十六進位,ASCII

tshark -V -x

界面大大,寫入 output 檔,檔最大 5 kilobytes,重覆保留最大數量十檔

tshark -i 大大 -a filesize:5 -b 10 -w output

捕抓過碌除了 tcp 端口 80

tshark -f "tcp port !80"

讀檔並讀取過碌 telnet

tshark -r 檔 -R "telnet" 

讀檔寫成 Nwork Monitor 2.x 格式檔

tshark -r 檔 -w netmon_output -F netmon2

統計封包,字節

tshark -z io,phs

統計 TCP 交談

tshark -z conv,tcp

統計 IP 地址 192.168.100.100 的封包,字節

tshark -z io,phps,ip.addr==192.168.100.100 #-z io.phs[,filter]

以一秒間隔統計封包,字節

-z io,stat,interval[,filter][,filter][,filter]...

以一秒間隔統計 IP 地址 192.168.1.10 的封包,字節

tshark -z io,stat,1,ip.addr==192.168.1.10

以零點零零一秒統計 IP 地址 192.168.1.10 的 HTTP 封包

tshark -z io,stat,0.001,"http&&ip.addr==192.168.1.10"

以零點零一秒統計 Server Message Block 的封包平均時間

tshark -z "io,stat,0.010,AVG(smb.time)smb.time"

以零點零一秒統計 HTTP 要求封包總計

tshark -z "io,stat,0.010,COUNT(http.request)http.request"

以零點零一秒統計個封包字節總數

tshark -z "io,stat,0.010,SUM(frame.pkt_len)frame.pkt_len"

以零點零一秒統計 IP 地址 192.168.1.100 的 Server Messege Block 封包

四行顯示:封包和字節的統計,最小,最大,平均回應時間

tshark -z "io.stat,0.010,smb.time&&ip.addr==192.168.1.100,MIN(smb.time)smb.time&&ip.addr==192.168.1.100,MAX(smb.time)smb.time&&ip.addr==192.168.1.100,AVG(smb.time)smb.time&&ip.addr==192.168.1.100"

建表格列全部通訊

-z conv,type[,filter]

統計 IP 地址 192.168.1.100 全部 IP 协議通訊

tshark -z conv,ip,ip.addr==192.168.1.100

加协議信息組至顯示(field 值一定要在 filter 欄位)

-z proto,colinfo,filter,field

過碌有 TCP 协議長度,多顯示 TCP 协議長度

tshark -z proto,colinfo,tcp.len,tcp.len

過碌出有 TCP 协議長度並是 IP 來源 192.168.1.10,多顯示 TCP 协議長度

tshark -z proto,colinfo,"tcp.len&&ip.src==192.168.1.10",tcp.len

統計 Remote Procedure Call 的 Response Time Test 信息,個程序,MinRTT, MaxRTT, AvgRTT

-z rpc,rtt,program,version[,filter]

統計 Network File System (NFS) v3 信息

tshark -z rpc,rtt,100003,3

統計指定檔的 NFS v3 RTT 信息

tshark -z rpc,rtt,100003,3,nfs.fh.hash==0x12345678

統計 ONC-RPC 的 RTT 信息,個协議並版本,MinRTT, MaxRTT, AvgRTT

-z rpc,programs

捕抓界面一封包把 HTTP(讀取過碌)寫至 capture_http

tshark -i 1 -w capture_http -R http

捕抓除了 IP 地址 192.168.129.201 的封包(讀取過碌)寫至 capture_filter

tshark -w capture_filter -R "ip.dst ne 192.168.129.201"

捕抓封包六十秒,不包含封包計算寫入 capture_duration

tshark -q -w capture_duration -a duration:60

捕抓封包同時顯示在影幕使用 snoop 格式寫入 capture_snoop 檔

tshark -S -w capture_snoop -F snoop

讀取 ethereal_capture 檔簡易顯示至影幕

tshark -r ethereal_capture

 

本文取自 http://m.oschina.net/blog/67377

 

=== 補充 ===

FreeBSD 安裝 tshark

cd /usr/ports/net/tshark

make install clean

 


創作者介紹

經驗交流分享與備忘

Frank 發表在 痞客邦 PIXNET 留言(0) 人氣()