wireshark命令行工具介绍

wireshark命令行工具介绍

Embedwaywireshark命令行工具列表工具名称功能说明tsharkcapturinganddisplayingpacketseditcap

Editand/ortranslatetheformatofcapturefilesdumpcapnetworktrafficdumptoolmergecap

MergingmultiplecapturefilesintoonecapinfosPrintinformationaboutcapturefilestext2pcapConvertingASCIIhexdumpstonetworkcapturesCompanyLogowireshark命令行工具-tshark基本语法：tshark

[-a<captureautostopcondition>]...

[-b<captureringbufferoption>]...[-B<capturebuffersize(Win32only)>][-c<capturepacketcount>][-d<layertype>==<selector>,<decode-asprotocol>][-D][-f<capturefilter>][-F<fileformat>][-h][-i<captureinterface>|-][-l][-L][-n][-N<nameresolvingflags>][-o<preferencesetting>]...[-p][-q][-r<infile>][-R<read(display)filter>][-s<capturesnaplen>][-S][-tad|a|r|d][-Tpdml|psml|ps|text][-v][-V][-w<outfile>|-][-x][-X<eXtensionoption>][-y<capturelinktype>][-z<statistics>]CompanyLogowireshark命令行工具-tshark主要参数分类含义权作解说如下：1.抓包接口类-i

设置抓包的网络接口，不设置则默认为第一个非自环接口。-D

列出当前存在的网络接口。在不了解OS所控制的网络设备时，一般先用

“tshark-D”查看网络接口的编号以供-i参数使用。-f

设定抓包过滤表达式（capturefilterexpression）。抓包过滤表达式的写法雷同于tcpdump，可参考tcpdumpmanpage的有关部分。-s

设置每个抓包的大小，默认为65535，多于这个大小的数据将不会被程序记入内存、写入文件。（这个参数相当于tcpdump的-s，tcpdump默认抓包的大小仅为68）-p

设置网络接口以非混合模式工作，即只关心和本机有关的流量。-B

设置内核缓冲区大小，仅对windows有效。-y

设置抓包的数据链路层协议，不设置则默认为-L找到的第一个协议，局域网一般是EN10MB等。-L

列出本机支持的数据链路层协议，供-y参数使用。CompanyLogowireshark命令行工具-tshark2.抓包停止条件-c

抓取的packet数，在处理一定数量的packet后，停止抓取，程序退出。-a

设置tshark抓包停止向文件书写的条件，事实上是tshark在正常启动之后停止工作并返回的条件。条件写为test:value的形式，如“-aduration:5”表示tshark启动后在5秒内抓包然后停止；“-afilesize:10”表示tshark在输出文件达到10kB后停止；“-afiles:n”表示tshark在写满n个文件后停止。（windows版的tshark0.99.3用参数“-afiles:n”不起作用——会有无数多个文件生成。由于-b参数有自己的files参数，所谓“和-b的其它参数结合使用”无从说起。这也许是一个bug，或tshark的manpage的书写有误。）3.文件输出控制-b

设置ringbuffer文件参数。ringbuffer的文件名由-w参数决定。-b参数采用test:value的形式书写。“-bduration:5”表示每5秒写下一个ringbuffer文件；“-bfilesize:5”表示每达到5kB写下一个ringbuffer文件；“-bfiles:7”表示ringbuffer文件最多7个，周而复始地使用，如果这个参数不设定，tshark会将磁盘写满为止。CompanyLogowireshark命令行工具-tshark4.文件输入-r

设置tshark分析的输入文件。tshark既可以抓取分析即时的网络流量，又可以分析dump在文件中的数据。-r不能是命名管道和标准输入。5.处理类-R

设置读取（显示）过滤表达式（readfilterexpression）。不符合此表达式的流量同样不会被写入文件。注意，读取（显示）过滤表达式的语法和底层相关的抓包过滤表达式语法不相同，它的语法表达要丰富得多，请参考/docs/dfref/和/docs/mans/ethereal-filter.4.html。类似于抓包过滤表达式，在命令行使用时最好将它们quote起来。-n

禁止所有地址名字解析（默认为允许所有）。-N

启用某一层的地址名字解析。“m”代表MAC层，“n”代表网络层，“t”代表传输层，“C”代表当前异步DNS查找。如果-n和-N参数同时存在，-n将被忽略。如果-n和-N参数都不写，则默认打开所有地址名字解析。-d

将指定的数据按有关协议解包输出。如要将tcp8888端口的流量按http解包，应该写为“-dtcp.port==8888,http”。注意选择子和解包协议之间不能留空格。CompanyLogowireshark命令行工具-tshark6.输出类-w

设置raw数据的输出文件。这个参数不设置，tshark将会把解码结果输出到stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件，使用重定向“>”而不要-w参数。-F

设置输出raw数据的格式，默认为libpcap。“tshark-F”会列出所有支持的raw格式。-V

设置将解码结果的细节输出，否则解码结果仅显示一个packet一行的summary。-x

设置在解码输出结果中，每个packet后面以HEXdump的方式显示具体数据。-T

设置解码结果输出的格式，包括text,ps,psml和pdml，默认为text。-t

设置解码结果的时间格式。“ad”表示带日期的绝对时间，“a”表示不带日期的绝对时间，“r”表示从第一个包到现在的相对时间，“d”表示两个相邻包之间的增量时间（delta）。-S

在向raw文件输出的同时，将解码结果打印到控制台。-l

在处理每个包时即时刷新输出。-X

扩展项。-q

设置安静的stdout输出（例如做统计时）-z

设置统计参数。CompanyLogowireshark命令行工具-tshark6.输出类-w

设置raw数据的输出文件。这个参数不设置，tshark将会把解码结果输出到stdout。“-w-”表示把raw输出到stdout。如果要把解码结果输出到文件，使用重定向“>”而不要-w参数。-F

设置输出raw数据的格式，默认为libpcap。“tshark-F”会列出所有支持的raw格式。-V

设置将解码结果的细节输出，否则解码结果仅显示一个packet一行的summary。-x

设置在解码输出结果中，每个packet后面以HEXdump的方式显示具体数据。-T

设置解码结果输出的格式，包括text,ps,psml和pdml，默认为text。-t

设置解码结果的时间格式。“ad”表示带日期的绝对时间，“a”表示不带日期的绝对时间，“r”表示从第一个包到现在的相对时间，“d”表示两个相邻包之间的增量时间（delta）。-S

在向raw文件输出的同时，将解码结果打印到控制台。-l

在处理每个包时即时刷新输出。-X

扩展项。-q

设置安静的stdout输出（例如做统计时）-z

设置统计参数。CompanyLogowireshark命令行工具-tshark使用示例：1.查询当前系统可以捕获的借口tshark-D2.指定网卡抓包，且指定抓包数目及类型tshark-i1-c2000-f"tcpdstport443"说明：捕获tcp，目的端口为443的流量，捕获数量为2000个。3.将抓到的包写入文件，且指定文件的大小和数量tshark-i1-w/var/tshark/tshark.log-bfilesize:8096-bfiles:8说明：运行tshark来捕获数据包到文件，指定文件大小为8M左右，只保留8个最新文件，一边对采集的文件作进一步分析处理。4.转换包文件格式tshark-rhttp.pcap-whttp.cap将pcap格式的包文件另存为cap格式的包文件。5.过滤某包文件中的数据包tshark-rhttp_bak.pcap-R"tcp.dstport==80"-whttp.cap过滤包文件中所有TCP协议目的端口为80的数据包，并将过滤的数据包另存为其他包文件。CompanyLogowireshark命令行工具-editcap基本语法：editcap[options]...<infile><outfile>[<packet#>[-<packet#>]...]主要参数分类含义权作解说如下：1.包选择类

-r保留选择的包；默认为删除。-A<starttime>选择所有包的时间戳大于该时间的包。

-B<stoptime>选择所有包的时间戳小于该时间的包。2.删除重复包类-d

删除重复的包（默认5个内进行比对）。-D<dupwindow>

删除重复的包，并指定在<dupwindow>个包内进行比对

<dupwindow>的范围为0-1000000。-w<duptimewindow>

删除重复的包，并指定时间在<duptimewindow>之前的数据包才做重复删除操作。CompanyLogowireshark命令行工具-editcap3.处理类-s<snaplen>将数据包截断成长度为<snaplen>的数据包。-C<choplen>将包尾的<choplen>个字节砍掉。-t<timeadjustment>调整包的时间戳;<timeadjustment>即可以为正数，也可以为负数。-E<errorprobability>按照<errorprobability>的比例随机制造错包，例如<errorprobability>为0.05，则包文件中5%的包会随机被配置为各种错包。4.输出类-c<packetsperfile>按包个数分割包文件，如<packetsperfile>为1000，则将原始包文件分割成多个文件，每个文件的包个数为1000，当然最后一个文件的包数可以小于等于1000.-i<secondsperfile>按时间分割包文件，如<secondsperfile>为10，则每个被分割的文件中的包时间戳均在10s内，且每个包的时间戳又会从0开始.-F<capturetype>设置输出文件的格式，默认为pcapng。-T<encaptype>设置输出文件中包封装的类型，默认和原始包封装类型一致。是否445444地方3CompanyLogowireshark命令行工具-editcap使用示例：1.将数据包截断为64字节长度，且转换为snoop的格式：editcap-s64-Fsnoopcapture.pcapshortcapture.snoop2.删除原始文件中的第1000个数据包：editcapcapture.pcapsans1000.pcap10003.提取原始文件中的第200到750个包：editcap-rcapture.pcapsmall.pcap200-7504.提取原始文件中的第1,5,10to20and30to40个包：editcap-rcapture.pcapselect.pcap1510-2030-405.删除与前面4个包中有重复的包：editcap-dcapture.pcapdedup.pcap6.删除与前面100个包中有重复的包：editcap-D101capture.pcapdedup.pcap7.是原始文件中5%的包随机变为错包：editcap-E0.05capture.pcapcapture_error.pcap是否445444地方3CompanyLogowireshark命令行工具-dumpcap基本语法：dumpcap[options]...主要参数分类含义权作解说如下：1.抓包类-i<interface>指定抓包网卡名-f<capturefilter>抓包过滤表达式-s<snaplen>配置抓到的包被截取的长度，默认为65535-p抓包时不使用混杂模式-y<linktype>链路层类型-D显示当前接口信息-L显示支持的链路层类型-S打印每个接口每秒的计数器统计信息-M用于加上-D,-L,and-S参数时，减少机器可读的输出CompanyLogowireshark命令行工具-dumpcap2.停止条件类-c<packetcount>在抓到<packetcount>个包后停止抓包，默认为持续抓包。-a<autostopcond.>duration:NUM为在NUM秒后停止抓包；filesize:NUM为在抓到NUMKB的包后停止抓包；files:NUM为在抓包文件为NUM个后停止抓包。3.输出类

-w<filename>要保存的文件名-b<ringbufferopt.>duration:NUM为在NUM秒后存下一个文件；filesize:NUM为在NUMKB后存下一个文件；files:NUM-ringbuffer:replaceafterNUMfiles。

-n使用pcapng的格式保存。3CompanyLogowireshark命令行工具-dumpcap使用示例：1.查看当前可用网卡信息：dumpcap-D2.捕获tcp，目的端口为443的流量，捕获数量为2000个：dumpcap-ieth2-f"tcpdstport443"-c20003.捕获8M的数据包后停止抓包：

dumpcap-i1-w/var/dumpcap/dumpcap.pcap-afilesize:80964.捕获数据包到文件，指定文件大小为8M左右，只保留8个最新文件：dumpcap-i1-w/var/dumpcap/dumpcap.pcap-bfilesize:8096-bfiles:85.将捕获的数据包截断为64字节，并每秒打印一次计数器信息：dumpcap-ieth2-s64-wdumpcap.pcap-Sdumpcap-D3CompanyLogowireshark命令行工具-mergecap基本语法：mergecap[options]-w<outfile>|-<infile>[<infile>...]主要参数分类含义权作解说如下：-a将多个文件拼接成一个文件，默认为按照数据包的时间戳进行合并。-s<snaplen>将文件中的数据包均截断为<snaplen>字节。-w<outfile>设置保存为文件名。-F<capturetype>设置保存的文件类型，默认为pcapng。-T<encaptype>设置保存文件的封装类型，默认和原始文件类型一致。使用示例：1.按包时间戳合并两个包文件，且封装类型为以太网：mergecap-wa.pcaphttp_bak1.pcaphttp_bak2.pcap-Tether2.将两个包文件拼接成一个文件：

mergecap-wa.pcaphttp_bak1.pcaphttp_bak2.pcap-Tether-a

3.将两个pcap文件合并，且另外为snoop类型的文件：

mergecap-wa.snoophttp_bak1.pcaphttp_bak2.pcap-Tether-FsnoopCompanyLogowireshark命令行工具-capinfos基本语法：capinfos[options]<infile>...主要参数分类含义权作解说如下：-t打印包文件的类型-E打印包文件的封装类型-c打印包的个数-s打印包文件的大小（单位：bytes）-d打印包所有包的总字节长度（单位：bytes）-u打印包文件中包的时间周期(单位：seconds)-a打印包文件中包的起始时间-e打印包文件中包的结束时间-y打印包文件中包的平均速率(单位：bytes/sec)-i打印包文件中包的平均速率(单位：bits/sec)-z打印包文件中包的平均字节长度(单位：bytes)-x打印包文件中包的平均速率(单位：packets/sec)使用示例：1.显示包文件的所有信息：capinfoshttp_bak.pcapCompanyLogowireshark命令行工具-text2pcap基本语法：text2pcap[-a][-d][-D][-e<l3pid>][-h][-i<proto>][-l<typenum>][-n][-m<max-packet>][-ohex|oct|dec][-q][-s<srcport>,<destport>,<tag>][-S<srcport>,<destport>,<ppi>][-t<timefmt>][-T<srcport>,<destport>][-u<srcport>,<destport>]<infile><outfile>主要参数分类含义权作解说如下：-ohex|oct|dec配置解析方式为(h)ex，(o)ctal或(d)ecimal，默认为h。-t<timefmt>按照<timefmt>的格式将文件中包前的信息进行解析，并将该值当做该包的时间戳（将txt文件转换为pcap包时，需在包的信息前加上一行类似HH:MM:SS的时间信息），<timefmt>格式可以为"%H:%M:%S"，也可以为"%Y-%m-%d%H:%M:%S"。-l<typenum>配置链路层协议类型，默认为1（以太网），可通过net/bpf.h文件查看各链路层协议类型对应的typenum。-m<max-packet>保存的pcap文件中包的最大字节长度，如果一个包字节长度大于<max-packet>，则将该包进行分割，直到分割的每个包字节长度均小于或等于<max-packet>；默认为64000。CompanyLogowireshark命令行工具-text2pcap-e<l3pid>将要保存的pcap文件所有包头加上EthernetII的头部，且type的值为L3PID（十六进制格式）。-i<proto>将要保存的pcap文件所有包头加上EthernetII和IP头部（ipv4），IP头部的protocol为<proto>（十进制格式）。-u<srcp>,<destp>

将要保存的pcap文件所有包头加上EthernetII、IP头部（ipv4）以及UDP头部，且UDP的sport为<srcp>，dport为<destp>（十进制格式）。

-T<srcp>,<destp>

将要保存的pcap文件所有包头加上EthernetII、IP头部（ipv4）以及TCP头部，且T