3、选项介绍
在命令行下可以使用tshark -help得到选项的简单介绍,具体的需要查阅官方文档https://www.wireshark.org/docs/man-pages/tshark.html
捕获接口: -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口; -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 -s: -s <snaplen> 设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认也是这个值; -p: 以非混合模式工作,即只关心和本机有关的流量。 -B: -B <buffer size> 设置缓冲区的大小,只对windows生效,默认是2M; -y: -y<link type> 设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议,局域网一般是EN10MB等; -D: 打印接口的列表并退出; -L 列出本机支持的数据链路层协议,供-y参数使用。 捕获停止选项: -c: -c <packet count> 捕获n个包之后结束,默认捕获无限个; -a: -a <autostop cond.> ... duration:NUM,在num秒之后停止捕获; filesize:NUM,在numKB之后停止捕获; files:NUM,在捕获num个文件之后停止捕获; 捕获输出选项: -b <ringbuffer opt.> ... ring buffer的文件名由-w参数决定,-b参数采用test:value的形式书写; duration:NUM - 在NUM秒之后切换到下一个文件; filesize:NUM - 在NUM KB之后切换到下一个文件; files:NUM - 形成环形缓冲,在NUM文件达到之后; RPCAP选项: remote packet capture protocol,远程抓包协议进行抓包; -A: -A <user>:<password>,使用RPCAP密码进行认证; 输入文件: -r: -r <infile> 设置读取本地文件 处理选项: -2: 执行两次分析 -R: -R <read filter>,包的读取过滤器,可以在wireshark的filter语法上查看;在wireshark的视图->过滤器视图,在这一栏点击表达式,就会列出来对所有协议的支持。 -Y: -Y <display filter>,使用读取过滤器的语法,在单次分析中可以代替-R选项; -n: 禁止所有地址名字解析(默认为允许所有) -N: 启用某一层的地址名字解析。“m”代表MAC层,“n”代表网络层,“t”代表传输层,“C”代表当前异步DNS查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。 -d: 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为“-d tcp.port==8888,http”;tshark -d. 可以列出所有支持的有效选择器。 输出选项: -w: -w <outfile|-> 设置raw数据的输出文件。这个参数不设置,tshark将会把解码结果输出到stdout,“-w -”表示把raw输出到stdout。如果要把解码结果输出到文件,使用重定向“>”而不要-w参数。 -F: -F <output file type>,设置输出的文件格式,默认是.pcapng,使用tshark -F可列出所有支持的输出文件类型。 -V: 增加细节输出; -O: -O <protocols>,只显示此选项指定的协议的详细信息。 -P: 即使将解码结果写入文件中,也打印包的概要信息; -S: -S <separator> 行分割符 -x: 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据。 -T: -T pdml|ps|text|fields|psml,设置解码结果输出的格式,包括text,ps,psml和pdml,默认为text -e: 如果-T fields选项指定,-e用来指定输出哪些字段; -E: -E <fieldsoption>=<value>如果-T fields选项指定,使用-E来设置一些属性,比如 header=y|n separator=/t|/s|<char> occurrence=f|l|a aggregator=,|/s|<char> -t: -t a|ad|d|dd|e|r|u|ud 设置解码结果的时间格式。“ad”表示带日期的绝对时间,“a”表示不带日期的绝对时间,“r”表示从第一个包到现在的相对时间,“d”表示两个相邻包之间的增量时间(delta)。 -u: s|hms 格式化输出秒; -l: 在输出每个包之后flush标准输出 -q: 结合-z选项进行使用,来进行统计分析; -X: <key>:<value> 扩展项,lua_script、read_format,具体参见 man pages; -z:统计选项,具体的参考文档;tshark -z help,可以列出,-z选项支持的统计方式。 其他选项: -h: 显示命令行帮助; -v: 显示tshark 的版本信息; |
4、部分命令测试
在第三节我简要介绍了tshark相关的命令,在这一节我们主要测试几个选项的输出结果,来对命令加深理解。对于第三节的命令选项,比较重要的已经用蓝色标出,方便查阅。
使用tshark对数据包进行分析,主要是对过滤器的学习,根据自己的需求写出响应的过滤器,来得到相应的数据。
针对于我的需求,先抓包在分析,还想将命令行整合进java语言中,然后进行面向对象的分析,那么就需要一些特别的命令来获取一些数据:
//1. 示例1,分析报文封装的协议 C:\Users\sdut>tshark -r H:\httpsession.pcap -T fields -e frame.number -e frame.protocols -E header=y --输出 frame.number frame.protocols 1 eth:ethertype:ip:tcp 2 eth:ethertype:ip:tcp 3 eth:ethertype:ip:tcp 4 eth:ethertype:ip:tcp:http 5 eth:ethertype:ip:tcp 6 eth:ethertype:ip:tcp:http:data-text-lines 7 eth:ethertype:ip:tcp 8 eth:ethertype:ip:tcp 9 eth:ethertype:ip:tcp -e frame.number:显示帧序号 -e frame.time: 显示时间,时间格式为 Sep 21, 2016 17:20:02.233249000 中国标准时间 -e frame.protocols: 显示此数据包使用的协议 -e ip.src: 显示源ip,但是不能跟frame一起用 -e ip.dst: 显示目的ip地址; -e tcp.port: 显示端口号。 ......还有很多,针对需求,一方面可以自己通过wireshark软件显示的头部字段来猜测,另一方面可以查阅文档,https://www.wireshark.org/docs/dfref/,这里面列出了所有支持的-e字段写法,可以在里面搜索ip、frame上面我们使用的这几个就会搜到。 //2.示例2 C:\Users\sdut>tshark -2 -r H:\httpsession.pcap -R "http.request.line || http.file_data || http.response.line" -T fields -e http.request.line -e http.file_data -e http.response.line -E header=y 输出:该例子输出http协议的请求头,响应头,和响应数据; http.request.line http.file_data http.response.line ...... ...... ...... 具体的这个-R过滤写法,可以查看文档,根据自己的需求来。https://wiki.wireshark.org/DisplayFilters //3.示例3 使用windows版本的tshark,抓包存储到本地。每个包只读取1024字节。 tshark -w E:/1015.pcap -s 1024 -i 本地连接 -q -F pcap ...... |
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
