1、 前言

tshark是WireShark的命令行版本,有类似tcpdump的输出。在捕获流量时,使用命令行模式,可以节省主机的资源消耗,并且一边捕获一边显示过滤,也对主机资源造成性能上的影响。所以在连续捕获大流量的时候,可以使用命令行的方式进行捕获流量。

2、tshark 常用命令

tshark -D

#列出可以进行监听的接口

tshark -i 1

#捕获第一个接口的流量,并且显示在屏幕上。1 代表使用-L 显示出来的第一个接口,可以通过wireshark的图形界面查看接口:第一个接口的序号为1,第二个接口的序号为2

tshark -i 1 -w C:\20190214.pcapng 

#捕获第一个接口的所有流量,并把流量文件保存在C:\20190214.pcapng

tshark -i 1 -B 10 -p -f " host 10.118.60.113" -w C:\20190214.pcapng

#使用捕获过滤器” host 10.118.60.113″ ,不使用混杂模式监听流量,增大缓存为10M,捕获第一个接口的所有流量,并把流量文件保存在C:\20190214.pcapng

tshark -i 1 -p -w C:\2016.pcapng

#不使用混杂模式监听流量,捕获第一个接口的所有流量,并把流量文件保存在C:\2016.pcapng

tshark -np -i 1 

#以管理模式进行捕获流量

tshark -n -i 1

#以监听模式进行捕获流量

详细的参数可参考如下:

tshark -h 或者man tshakrk

wireshark 主界面–【帮助】–【说明文档】–【tshark】

本地wireshark帮助文档: C:\Program Files\Wireshark\user-guide.chm

3、 tcpdump常用命令

tcpdump -D

#列出可以进行监听的接口

tcpdump -i 1 -w 2016 

#捕获接口1的流量包,并且保存为2016

tcpdump host 10.202.37.88 -w 2016 

#捕获主机10.202.37.88的流量包,并且保存

tcpdump -i 1 -vvv -w 2016

#使用计数模式来显示已经捕获的数据包

tcpdump -i 1 -c 20000 -w 2016

#捕获2000个包后,保存文件

4、 linux设置监听模式

第一步:

iwconfig wlan0 mode monitor channel 1
iwconfig wlan0 | grep Mode ​ Mode:Monitor

Frequency:2.412GHz Access Point: 00:00:00:00:00:00

ifconfig wlan0 | grep HWaddr wlan0 Link

encap:UNSPEC HWaddr00-30-F1-0E-51-1F-00-00-00-00-00-00-00-00-00-00

第二步:

wlanconfig ath0 destroy
wlanconfig ath0 create wlandev wifi0 wlanmode monitor ath0 
ifconfig ath0 up
iwconfig ath0 | grep Mode Mode:monitor

Frequency:2.412 GHz Access Point: 00:00:00:00:00:00

第三步:

rmmod ath_pci 
modprobe ath_pci autocreate=none

By #零

一个专注于技术的人

在 “全球排名前十的wireshark的抓包工具命令行模式” 有 1 条评论

发表评论

邮箱地址不会被公开。 必填项已用*标注