wireshark命令行工具介绍

1、wireshark命令行工具介绍命令行工具介绍 wireshark命令行工具列表命令行工具列表 wireshark命令行工具命令行工具 - tshark 基本语法：基本语法： tshark -a . -b . -B -c -d =, -D -f -F -h -i |- -l -L -n -N - o . -p -q -r -R -s -S -t ad|a|r|d -T pdml|psml|ps|text -v -V -w |- -x -X -y -z wireshark命令行工具命令行工具 - tshark 主要参数分类含义权作解说如下： 1. 抓包接口类抓包接口类 -i 设置抓包的网络接口，

2、不设置则默认为第一个非自环接口。 -D 列出当前存在的网络接口。在不了解OS所控制的网络设备时，一般先用 “tshark-D”查看网络接口的编号以供-i参数使用。 -f 设定抓包过滤表达式（capture filterexpression）。抓包过滤表达式的写法 雷同于tcpdump，可参考tcpdump manpage的有关部分。 -s 设置每个抓包的大小，默认为65535，多于这个大小的数据将不会被程序记入 内存、写入文件。（这个参数相当于tcpdump的-s，tcpdump默认抓包的大小仅 为68） -p 设置网络接口以非混合模式工作，即只关心和本机有关的流量。 -B 设置内核缓冲区大小

3、，仅对windows有效。 -y 设置抓包的数据链路层协议，不设置则默认为-L找到的第一个协议，局域网一 般是EN10MB等。 -L 列出本机支持的数据链路层协议，供-y参数使用。 wireshark命令行工具命令行工具 - tshark 2. 抓包停止条件抓包停止条件 -c 抓取的packet数，在处理一定数量的packet后，停止抓取，程序退出。 -a 设置tshark抓包停止向文件书写的条件，事实上是tshark在正常启动之后停止 工作并返回的条件。条件写为test:value的形式，如“-aduration:5”表示tshark 启动后在5秒内抓包然后停止；“-afilesize:10

4、”表示tshark在输出文件达到10kB 后停止；“-afiles:n”表示tshark在写满n个文件后停止。（windows版的 tshark0.99.3用参数“-afiles:n”不起作用会有无数多个文件生成。由于-b参 数有自己的files参数，所谓“和-b的其它参数结合使用”无从说起。这也许是一个 bug，或tshark的manpage的书写有误。） 3. 文件输出控制文件输出控制 -b 设置ringbuffer文件参数。ringbuffer的文件名由-w参数决定。-b参数采用 test:value的形式书写。“-bduration:5”表示每5秒写下一个ring buffer文件；“

5、- bfilesize:5”表示每达到5kB写下一个ringbuffer文件；“-b files:7”表示 ringbuffer文件最多7个，周而复始地使用，如果这个参数不设定，tshark会将磁 盘写满为止。 wireshark命令行工具命令行工具 - tshark 4. 文件输入文件输入 -r 设置tshark分析的输入文件。tshark既可以抓取分析即时的网络流量，又可以 分析dump在文件中的数据。-r不能是命名管道和标准输入。 5. 处理类处理类 -R 设置读取（显示）过滤表达式（read filterexpression）。不符合此表达式的 流量同样不会被写入文件。注意，读取（显示

6、）过滤表达式的语法和底层相关的抓 包过滤表达式语法不相同，它的语法表达要丰富得多，请参考 http:/ http:/ 于抓包过滤表达式，在命令行使用时最好将它们quote起来。 -n 禁止所有地址名字解析（默认为允许所有）。 -N 启用某一层的地址名字解析。“m”代表MAC层，“n”代表网络层，“t”代表传输 层，“C”代表当前异步DNS查找。如果-n和-N参数同时存在，-n将被忽略。如果- n和-N参数都不写，则默认打开所有地址名字解析。 -d 将指定的数据按有关协议解包输出。如要将tcp8888端口的流量按http解包， 应该写为“-dtcp.port=8888,http”。注意选择子和解

7、包协议之间不能留空格。 wireshark命令行工具命令行工具 - tshark 6. 输出类输出类 -w 设置raw数据的输出文件。这个参数不设置，tshark将会把解码结果输出到 stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件，使用重 定向“”而不要-w参数。 -F 设置输出raw数据的格式，默认为libpcap。“tshark-F”会列出所有支持的 raw格式。 -V 设置将解码结果的细节输出，否则解码结果仅显示一个packet一行的 summary。 -x 设置在解码输出结果中，每个packet后面以HEXdump的方式显示具体数据。 -T 设置解码

8、结果输出的格式，包括text,ps,psml和pdml，默认为text。 -t 设置解码结果的时间格式。“ad”表示带日期的绝对时间，“a”表示不带日期的 绝对时间，“r”表示从第一个包到现在的相对时间，“d”表示两个相邻包之间的增量 时间（delta）。 -S 在向raw文件输出的同时，将解码结果打印到控制台。 -l 在处理每个包时即时刷新输出。 -X 扩展项。 -q 设置安静的stdout输出（例如做统计时） -z 设置统计参数。 wireshark命令行工具命令行工具 - tshark 6. 输出类输出类 -w 设置raw数据的输出文件。这个参数不设置，tshark将会把解码结果输出到

9、stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件，使用重 定向“”而不要-w参数。 -F 设置输出raw数据的格式，默认为libpcap。“tshark-F”会列出所有支持的 raw格式。 -V 设置将解码结果的细节输出，否则解码结果仅显示一个packet一行的 summary。 -x 设置在解码输出结果中，每个packet后面以HEXdump的方式显示具体数据。 -T 设置解码结果输出的格式，包括text,ps,psml和pdml，默认为text。 -t 设置解码结果的时间格式。“ad”表示带日期的绝对时间，“a”表示不带日期的 绝对时间，“r”表示从第一个

10、包到现在的相对时间，“d”表示两个相邻包之间的增量 时间（delta）。 -S 在向raw文件输出的同时，将解码结果打印到控制台。 -l 在处理每个包时即时刷新输出。 -X 扩展项。 -q 设置安静的stdout输出（例如做统计时） -z 设置统计参数。 wireshark命令行工具命令行工具 - tshark 使用示例：使用示例： 1.查询当前系统可以捕获的借口 tshark -D 2.指定网卡抓包，且指定抓包数目及类型 tshark -i 1 -c 2000 -f tcp dst port 443 说明：捕获 tcp，目的端口为443 的流量，捕获数量为2000个。 3.将抓到的包写入文件

11、，且指定文件的大小和数量 tshark -i 1 -w /var/tshark/tshark.log -b filesize:8096 -b files:8 说明：运行tshark 来捕获数据包到文件，指定文件大小为8M左右，只保留8个 最新文件，一边对采集的文件作进一步分析处理。 4.转换包文件格式 tshark -r http.pcap -w http.cap 将pcap格式的包文件另存为cap格式的包文件。 5.过滤某包文件中的数据包 tshark -r http_bak.pcap -R tcp.dstport=80 -w http.cap 过滤包文件中所有TCP协议目的端口为80的数据

12、包，并将过滤的数据包另存为其 他包文件。 wireshark命令行工具命令行工具 - editcap 基本语法：基本语法： editcap options . - . 主要参数分类含义权作解说如下： 1. 包选择类包选择类 -r 保留选择的包；默认为删除。 -A 选择所有包的时间戳大于该时间的包。 -B 选择所有包的时间戳小于该时间的包。 2.删除重复包类删除重复包类 -d 删除重复的包（默认5个内进行比对）。 -D 删除重复的包，并指定在个包内进行比对 的范围为0-1000000。 -w 删除重复的包，并指定时间在之前 的数据包才做重复删除操作。 wireshark命令行工具命令行工具 -

13、editcap 3. 处理类处理类 -s 将数据包截断成长度为的数据包。 -C 将包尾的个字节砍掉。 -t 调整包的时间戳; 即可以为正数，也 可以为负数。 -E 按照的比例随机制造错包，例如 为0.05，则包文件中5%的包会随机被配置为各种错包。 4.输出类输出类 -c 按包个数分割包文件，如为1000，则将 原始包文件分割成多个文件，每个文件的包个数为1000，当然最后一个文件的包数可以小 于等于1000. -i 按时间分割包文件，如为10，则每个被 分割的文件中的包时间戳均在10s内，且每个包的时间戳又会从0开始. -F 设置输出文件的格式，默认为pcapng。 -T 设置输出文件中包封

14、装的类型，默认和原始包封装类型一致。 是否445444地方3 wireshark命令行工具命令行工具 - editcap 使用示例：使用示例： 1.将数据包截断为64字节长度，且转换为snoop的格式： editcap -s 64 -F snoop capture.pcap shortcapture.snoop 2.删除原始文件中的第1000个数据包： editcap capture.pcap sans1000.pcap 1000 3.提取原始文件中的第200到750个包： editcap -r capture.pcap small.pcap 200-750 4.提取原始文件中的第 1, 5,

15、 10 to 20 and 30 to 40个包： editcap -r capture.pcap select.pcap 1 5 10-20 30-40 5.删除与前面4个包中有重复的包： editcap -d capture.pcap dedup.pcap 6.删除与前面100个包中有重复的包： editcap -D 101 capture.pcap dedup.pcap 7.是原始文件中5%的包随机变为错包： editcap -E 0.05 capture.pcap capture_error.pcap 是否445444地方3 wireshark命令行工具命令行工具 - dumpcap

16、基本语法：基本语法： dumpcap options . 主要参数分类含义权作解说如下： 1.抓包类抓包类 -i 指定抓包网卡名 -f 抓包过滤表达式 -s 配置抓到的包被截取的长度，默认为65535 -p 抓包时不使用混杂模式 -y 链路层类型 -D 显示当前接口信息 -L 显示支持的链路层类型 -S 打印每个接口每秒的计数器统计信息 -M 用于加上-D, -L, and -S参数时，减少机器可读的输出 wireshark命令行工具命令行工具 - dumpcap 2.停止条件类停止条件类 -c 在抓到个包后停止抓包，默认为持续抓包。 -a duration:NUM为在NUM秒后停止抓包； f

17、ilesize:NUM 为在抓到NUM KB的包后停止抓包； files:NUM为在抓包文件为NUM个后停止抓包。 3.输出类输出类 -w 要保存的文件名 -b duration:NUM 为在NUM秒后存下一个文件； filesize:NUM 为在NUM KB后存下一个文件； files:NUM - ringbuffer: replace after NUM files。 -n 使用pcapng的格式保存。 3 wireshark命令行工具命令行工具 - dumpcap 使用示例：使用示例： 1.查看当前可用网卡信息： dumpcap -D 2.捕获 tcp，目的端口为443 的流量，捕获数量

18、为2000个： dumpcap -i eth2 -f tcp dst port 443 -c 2000 3.捕获8M的数据包后停止抓包： dumpcap -i 1 -w /var/dumpcap/dumpcap.pcap -a filesize:8096 4.捕获数据包到文件，指定文件大小为8M左右，只保留8个最新文件： dumpcap -i 1 -w /var/dumpcap/dumpcap.pcap -b filesize:8096 -b files:8 5.将捕获的数据包截断为64字节，并每秒打印一次计数器信息： dumpcap -i eth2 -s 64 -w dumpcap.pcap

19、 -S dumpcap -D 3 wireshark命令行工具命令行工具 - mergecap 基本语法：基本语法： mergecap options -w |- . 主要参数分类含义权作解说如下：主要参数分类含义权作解说如下： -a 将多个文件拼接成一个文件，默认为按照数据包的时间戳进行合并。 -s 将文件中的数据包均截断为字节。 -w 设置保存为文件名。 -F 设置保存的文件类型，默认为pcapng。 -T 设置保存文件的封装类型，默认和原始文件类型一致。 使用示例：使用示例： 1.按包时间戳合并两个包文件，且封装类型为以太网： mergecap -w a.pcap http_bak1.p

20、cap http_bak2.pcap -T ether 2.将两个包文件拼接成一个文件： mergecap -w a.pcap http_bak1.pcap http_bak2.pcap -T ether -a 3.将两个pcap文件合并，且另外为snoop类型的文件： mergecap -w a.snoop http_bak1.pcap http_bak2.pcap -T ether -F snoop wireshark命令行工具命令行工具 - capinfos 基本语法：基本语法： capinfos options . 主要参数分类含义权作解说如下： -t 打印包文件的类型 -E 打印包文

21、件的封装类型 -c 打印包的个数 -s 打印包文件的大小（单位：bytes） -d 打印包所有包的总字节长度（单位：bytes） -u 打印包文件中包的时间周期(单位：seconds) -a 打印包文件中包的起始时间 -e 打印包文件中包的结束时间 -y 打印包文件中包的平均速率 (单位：bytes/sec) -i 打印包文件中包的平均速率(单位：bits/sec) -z 打印包文件中包的平均字节长度 (单位：bytes) -x 打印包文件中包的平均速率(单位：packets/sec) 使用示例：使用示例： 1.显示包文件的所有信息： capinfos http_bak.pcap wiresh

22、ark命令行工具命令行工具 - text2pcap 基本语法：基本语法： text2pcap -a -d -D -e -h -i -l -n -m -o hex|oct|dec -q -s , -S , -t -T , -u , 主要参数分类含义权作解说如下： -o hex|oct|dec 配置解析方式为(h)ex，(o)ctal或(d)ecimal，默认为h。 -t 按照的格式将文件中包前的信息进行解析，并将该 值当做该包的时间戳（将txt文件转换为pcap包时，需在包的信息前加上一行类似 HH:MM:SS的时间信息），格式可以为%H:%M:%S，也可以为%Y- %m-%d %H:%M:%S

23、。 -l 配置链路层协议类型，默认为1（以太网），可通过net/bpf.h文 件查看各链路层协议类型对应的typenum。 -m 保存的pcap文件中包的最大字节长度，如果一个包字节长度大 于，则将该包进行分割，直到分割的每个包字节长度均小于或等于 ；默认为64000。 wireshark命令行工具命令行工具 - text2pcap -e 将要保存的pcap文件所有包头加上Ethernet II的头部，且type的 值为L3PID（十六进制格式）。 -i 将要保存的pcap文件所有包头加上Ethernet II和IP头部（ipv4）， IP头部的protocol为（十进制格式）。 -u , 将要保存的pcap文件所有包头加上Ethernet II、IP头部（ipv4） 以及UDP头部， 且UDP的sport为，dport为（十进制格式）。 -T , 将要保存的pcap文件所有包头加上Ethernet II、IP头部（ipv4） 以及TCP头部， 且TCP的sport为，dport为（十进制格式）。 -s , 将要保存的pcap文件所有包头加上Ethernet II、IP头部 （ipv4）以及SCTP头部， 且SCTP的sport为，dport为（十进制格 式），verification