Tshark 命令参数详解.docx

Tshark 命令参数详解.docx

《Tshark 命令参数详解.docx》由会员分享，可在线阅读，更多相关《Tshark 命令参数详解.docx（26页珍藏版）》请在冰豆网上搜索。

Tshark命令参数详解

Tshark命令参数详解

NAMEtshark的-转储和分析网络流量概要tshark的[-2][-a<捕捉自动停止条件>]...[-b<捕捉环形缓冲区选项>]...[-B<捕获缓冲区大小>][-c<捕获分组计数>][-?

<配置文件>][-d<层型>==<选择>，<译码作为协议>][-D][-e<字段>][-E<现场打印选项>][-f<捕获筛选>][-F<文件格式>][-g][-h][-H<输入hosts文件>][-i<采集界面>|-][-I][-K<密钥表>][-l][-L][-n][-N<名称解析标志>][-o<偏好设置>]...[-O<协议>][-p][-P][-q][-Q][-r<INFILE>][-R<读过滤>][-s<捕获的Snaplen>][-S<分隔符>][-t一个|广告|adoy|D|DD|E|-[R|U|UD|udoy][-T领域|PDML|PS|PSML|文][-u<秒类型>][-v][-V][-w<OUTFILE>|-][-W<文件格式选项>][-x][-X<分机选项>][-y<捕获链接类型>][-Y<显示过滤>][-z<统计>][--capture注释<评论>][<捕获筛选>]tshark-G[column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]说明tshark的是一个网络协议分析仪。

它可以让你从现场的网络捕获的数据包，或从以前保存的文件中读取数据包，无论是打印这些数据包发送到标准输出的解码形式或写入数据包到一个文件中。

tshark的“原生捕捉文件格式是PCAP格式，这也是所使用的格式tcpdump的和各种其它的工具。

不带任何选项设定，tshark的将工作很像tcpdump的。

它将使用PCAP库来从第一个可用的网络接口捕获流量，并显示在stdout为每个接收到的分组的摘要线。

tshark的是能够检测，读取和写入由支持在同一捕获文件Wireshark的。

输入文件并不需要特定的文件扩展名;文件格式和一个可选的gzip压缩将被自动检测到。

邻近的描述部分开头的wireshark

（1）或https:

//www.wireshark.org/docs/man-pages/wireshark.html是的方式的详细描述Wireshark的处理这一点，这是相同的方式tshark的手柄这一点。

压缩文件支持使用（因此要求）zlib库。

如果zlib库不存在，tshark的编译，但将无法读取压缩文件。

如果-w没有指定选项，tshark的写到标准输出它捕获或读取数据包的解码格式的文本。

如果-w指定选项，tshark的写入由该选项与数据包的时间标记所指明的分组的原始数据，沿该文件。

当写数据包的解码形式，tshark的写道，在默认情况下，包含由首选项文件中指定的字段（这也是包列表窗格中显示的字段摘要行Wireshark的），但如果它的写数据包，它捕捉他们，而不是从已保存的捕获文件写入数据包，它不会显示在“帧号”字段。

如果-V指定选项时，将它写入代替的分组的细节，示出在分组的所有协议的所有字段的图。

如果-O指定选项时，将只显示指定的完整协议。

使用“输出tshark的-G协议“找到可以指定的协议的缩写。

如果你想要写数据包的解码形式到一个文件，运行tshark的无-w选项，并重定向其标准输出到文件（也不能使用-w选项）。

当数据包写入到文件中，tshark的，默认情况下，写在文件PCAP格式，并写入所有它认为到输出文件中的数据包。

该-F选项可用于指定在其中写入该文件的格式。

显示的可用文件格式此列表-F没有价值的标志。

但是，你不能指定一个实时捕获的文件格式。

阅读中的过滤器tshark的，这可以让你选择哪些数据包需要被解码或者写入文件，是非常强大的;更多的领域是在滤过tshark的比其他协议分析仪，你可以用它来?

?

创建自己的过滤器的语法更加丰富。

作为tshark的进展，希望越来越多的协议字段在读过滤器被允许。

数据包捕获与PCAP库执行。

捕捉过滤器语法如下PCAP库的规则。

该语法是从读出过滤器语法不同。

读滤波器也可以被捕获时指定，并且只有通过读取滤波器将显示或保存到输出文件中的数据包;注意，但是，捕获过滤器是更有效的比读过滤器，并可能更难以tshark的跟上一个繁忙的网络，如果被指定用于实时捕获的读取滤波器。

捕获或读取过滤器既可以与指定-f或-R选项，分别在这种情况下，整个过滤表达式必须被指定为一个参数（这意味着如果它包含空格，则必须用引号括起来），或可以与后选项参数的命令行参数，在这种情况下后过滤器参数所有参数都被视为一个过滤表达式来指定。

做一个实时捕获时，捕获过滤器只支持;做一个实时捕获和读取一个捕获文件时，当过滤器读取支持，但需要tshark的过滤时做更多的工作，所以你可能会更容易，如果您使用的是读过滤器在重负载下丢包。

如果以后选项参数指定了命令行参数的过滤器，它是有捕捉正在做的（即，如果没有捕获筛选-r指定选项）和一个读过滤器，如果捕获文件读取（即如果-r指定选项）。

该-G选项是一个特殊的模式，简单地导致tshark的帅位几种类型的内部词汇表，然后退出之一。

选项-2执行两遍分析。

这会导致tshark的缓冲输出，直到整个第一遍已完成，但允许它填入需要未来知识领域，如字段'在帧＃响应“。

还允许将正确计算重组帧依赖性。

-a<捕捉自动停止条件>设置一个标准，指定当tshark的是停止写入捕捉文件。

标准是的形式测试：

值，其中测试是下列之一：

持续时间：

值停止写入捕捉文件后价值秒钟过去了。

作品尺寸：

值停止写入捕捉文件后，它达到的大小值KB。

如果此选项与-b选项一起使用，tshark的将停止写入当前捕捉文件，并切换到下一个，如果文件大小达到。

当读取捕获文件，tshark的将停止读取文件之后读取的字节数超过此数值（完整数据包将被读取，所以比这个数目更多的字节可被读取）。

注意，文件大小限制为2吉布最大值。

文件：

值停止写入捕捉文件后，值被写入文件的数量。

-b<捕捉环形缓冲区选项>原因tshark的在“多个文件”模式运行。

在“多个文件”模式，tshark的会写几个捕获文件。

当第一个捕捉文件被写满，tshark的将切换书写下一个文件等等。

所创建的文件名?

?

是基于与给定的文件名-w选项，文件的数目和在创建日期和时间，例如outfile_00001_20050604120117.pcap，outfile_00002_20050604120523.pcap，...随着文件选项它也可能形成一个“环形缓冲区”。

这将填充新文件，直到指定的文件的数量，在该点tshark的将丢弃该数据的第一个文件中和将数据写入该文件等等。

如果文件没有设置选项，新文件填充，直到捕获停止条件匹配一个（或直到磁盘已满）。

该标准的形式是关键：

值，其中关键的是下列之一：

持续时间：

值切换到后的下一个文件的值秒后，即使当前文件没有完全填满。

作品尺寸：

值切换后达到的规模下一个文件的价值KB。

注意，文件大小限制为2吉布最大值。

文件：

值再次与第一个文件开始后的价值的文件数量写（形成一个环形缓冲区）。

此值必须小于10万应注意使用的文件时大量使用：

一些文件系统不处理在一个目录多个文件很好。

该文件准则要求或者持续时间或文件大小进行规定，以控制什么时候去到下一个文件。

应当指出的是，每个-b参数接受正好一个标准;指定两个标准，每个人都必须在前面加上-b选项。

例如：

-b作品尺寸：

1000-b文件：

5的结果在每个大小为一兆五档环形缓冲区。

-B<捕获缓冲区大小>设置捕获缓冲区大小（以MIB，默认为2MIB）。

此所使用的捕获驱动程序缓冲的分组数据，直到该数据可以被写入到磁盘。

如果捕捉时碰到丢包现象，可以尝试增大它的大小。

需要注意的是，虽然tshark的试图通过默认设置缓冲区大小为2MIB，并且可以被告知将它设置为一个更大的值，系统或接口上你捕获可能默默地限制捕获缓冲区大小为较低的值或它提升到一个更高的值。

这是用于UNIX系统与libpcap的1.0.0或更高版本和Windows。

它不适用于UNIX系统的早期版本的libpcap的。

这个选项可以出现多次。

如果第一次出现之前使用-i选项，它设置默认捕获缓冲区大小。

如果使用后-i选项，它设置捕获缓冲区大小由过去的指定的接口-i此选项之前发生的选项。

如果捕获缓冲区大小没有特别设定，默认捕获缓冲区大小来代替。

-c<捕获的数据包数>设置数据包捕获实时数据时，读取的最大数量。

如果读一个捕获文件，设置数据包要读取的最大数量。

-C<配置文件>与给定的配置文件运行。

-d<层型>==<选择>，<译码作为协议>像Wireshark的的解码为...功能，这可以让你指定一个图层类型应该被解剖。

如果有问题的层类型（例如，tcp.port或udp.port的TCP或UDP端口号）的规定选择值，包应作为解剖指定的协议。

例如：

-dtcp.port==8888，HTTP将解码运行在TCP端口8888作为HTTP的流量。

例如：

-dtcp.port==8888：

3，HTTP将解码运行在TCP端口8888，8889或8890作为HTTP的流量。

例如：

-dtcp.port==8888-8890，HTTP将解码运行在TCP端口8888，8889或8890作为HTTP的流量。

使用无效的选择器或协议将打印出有效的选择器和协议名称的列表，分别。

例如：

。

-d是一个快速的方法来获得有效的选择列表。

例如：

。

-d以太==0x0800的是一个快速的方法来获得可以与以太网类型选择协议的列表。

-D打印接口上的列表tshark的可以捕捉，并退出。

每个网络接口，一个数字和一个接口名，可能紧跟在界面的文本描述，被打印。

接口名称或数量可以提供给-i选项指定要在其上捕捉的接口。

这可以在不具有命令列出它们（例如，Windows系统或UNIX系统缺乏系统是有用的ifconfig-a）;数量可在Windows2000和更高版本的系统，其中接口名称是一个比较复杂的字符串是有用的。

需要注意的是“可以捕获”是指tshark的是能够打开设备进行实时捕捉。

根据您的系统，你可能需要从具有特殊权限的帐户下运行tshark的（例如，作为root）才能够捕获网络流量。

如果tshark的-D不是从这样的帐户下运行，它不会显示任何接口。

-e<现场>添加一个字段，字段列表显示，如果-T领域被选中。

这个选项可以在命令行上多次使用。

如果该至少一个字段必须提供-T字段选项被选中。

列名可以使用前缀“_ws.col。

”例如：

-eframe.number-eip.addr-eUDP-e_ws.col.info给人一种协议，而不是一个单一的场将打印有关的协议作为一个单一的场数据的多个项目。

字段之间用制表符分隔默认。

-E控制打印领域的格式。

-E<现场打印选项>设置选项控制领域的印刷时-T领域被选中。

选项?

?

有：

标题=Y|N如果Y，打印的使用给定的字段名称的列表-e作为输出的第一行;字段名称将使用相同的字符作为字段值中分离出来。

默认为。

分离器=/T|/秒|<字符>设置分隔符使用领域。

如果/吨标签将会被使用（这是默认值），如果/秒，一个单一的空间将被使用。

否则，可以通过命令行被接受为选择一部分的任何字符都可以使用。

发生=F|L|一个用于具有多个事件字段选择对哪些发生。

如果F第一次出现将被使用，如果升最后出现的将被使用，如果一个事件都将使用（这是默认值）。

聚合=，|/S|<字符>设置聚合字符用于具有多次出现的字段。

如果，一个逗号将被使用（这是默认值），如果/秒，一个单一的空间将被使用。

否则，可以通过命令行被接受为选择一部分的任何字符都可以使用。

报价=D|S|N，设置引号字符使用环绕领域e使用双引号，单引号，暂无报价（默认值）。

-f<捕获过滤器>设置捕捉过滤器表达式。

这个选项可以出现多次。

如果第一次出现之前使用-i选项，它设置默认的捕获过滤器表达式。

如果使用后-i选项，它为在最后指定的接口捕获过滤表达式-i此选项之前发生的选项。

如果捕获过滤器表达式没有设置具体而言，如果所提供的默认捕获筛选表达式中使用。

-F<文件格式>设置使用写入的输出捕获文件的文件格式-w选项。

写有输出-w选项是原始数据包数据，没有文字，所以没有-F选项来要求的文本输出。

选项-F没有价值将列出可用的格式。

-g此选项会导致输出文件（S）同组读取权限（即输出文件（S）可以由主叫用户所在组的其他成员被读取）创建。

-G[column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]该-G选项将导致tshark的转储几种类型的词汇表，然后退出之一。

如果没有指定具体的词汇类型，那么场报告会默认生成。

可用的报告类型包括：

列格式通过转储tshark的理解列的格式。

有每行一个记录。

这些字段是制表符分隔。

*字段1=格式字符串（如“％RD”）

*字段2=格式字符串的文字说明（如“目的端口（解决）”）currentprefs转储当前偏好的将文件复制到标准输出。

解码转储“图层类型”/“解码为”协会标准输出。

有每行一个记录。

这些字段是制表符分隔。

*字段1=层类型，例如“tcp.port”

*字段2=选择十进制

*字段3=“解码为”名称，如“HTTP”defaultprefs转储一个默认的首选项文件到标准输出。

田转储注册数据库到标准输出的内容。

一个独立的程序可以借此输出格式化成漂亮的表或HTML或什么的。

有每行一个记录。

每个记录可以是一个协议或一个首标字段，由第一字段来区分。

这些字段是制表符分隔。

*协议

*---------

*字段1='P'

*字段2=描述协议名称

*现场3=协议的缩写

*

*头字段

*-------------

*字段1='F'

*字段2=描述字段名

*现场3=现场缩写

*字段4=类型（ftenum类型的文字表述）

*字段5=父协议的缩写

*字段6=基地显示器（整数类型）;“父位字段宽度”为FT_BOOLEAN

*字段7=掩码：

格式：

十六进制：

0X....

*字段8=Blurb的描述场ftypes通过转储tshark的理解“ftypes”（基本类型）。

有每行一个记录。

这些字段是制表符分隔。

*字段1=FTYPE（如“FT_IPv6”）

*字段2=类型的文字说明（如“IPv6地址”）启发式解码转储启发式当前安装的解码。

有每行一个记录。

这些字段是制表符分隔。

*字段1=底层剥离（如“TCP”）

*字段2=启发式解码器（如UCP“）的名称

*现场3=启发式启用（如“T”或“F”）插件目前转储安装的插件。

有每行一个记录。

这些字段是制表符分隔。

*字段1=插件库（如“gryphon.so”）

*字段2=插件版本（例如0.0.4）

*现场3=插件类型（如“剥离”或“点击”）

*字段4=完整路径插件文件协议转储在注册数据库到标准输出协议。

一个独立的程序可以借此输出格式化成漂亮的表或HTML或什么的。

有每行一个记录。

这些字段是制表符分隔。

*字段1=协议名称

*字段2=协议简称

*现场3=协议过滤器名称值转储value_strings，range_strings或真/假字符串有他们的字段。

有每行一个记录。

字段都是用制表符分隔。

有三种类型的记录：

值的字符串，字符串范围和真/假的字符串。

第一字段，“V”，“R”或“T”，表示记录的类型。

*字符串值

*-------------

*字段1='V'

*字段2=字段的缩写来此字符串值对应

*现场3=整数值

*字段4=字符串

*

*范围弦乐

*-------------

*字段1='R'

*字段2=字段的缩写来此范围对应的字符串

*现场3=整数值：

下限

*字段4=整数值上限

*字段5=字符串

*

*真/假弦乐

*------------------

*字段1='T'

*字段2=字段以缩写此真/假对应的字符串

*字段3=TRUE字符串

*字段4=假字符串-h打印版本和选项，然后退出。

-H<输入hosts文件>阅读条目列表从“hosts”文件，然后将被写入捕获文件。

意味着-W?

。

可多次调用。

在“hosts”文件格式记录在http:

//en.wikipedia.org/wiki/Hosts_（file）。

-i<捕捉接口>|-设置网络接口或管道的名称，用于现场数据包捕获。

网络接口名称应与所列出的名称之一“tshark的-D（如上所述）“;一个数字，所报告的“tshark的-D“，也可以使用。

如果您使用的是UNIX，“netstat的-i“或”使用ifconfig-a“也可能工作获得的接口名，虽然不是所有的UNIX版本都支持-a选项的ifconfig。

如果不指定接口，tshark的搜索列表界面，选择第一个非回送接口，如果有任何非Loopback接口，并选择第一个loopback接口，如果没有非环回接口。

如果没有接口可言，tshark的报告错误，不执行捕捉。

管道名即可以是FIFO（命名管道）的名称或``-''从标准输入读取数据。

从管道读取的数据必须是标准的PCAP格式。

这个选项可以出现多次。

当从多个接口捕获，捕获文件将被保存在PCAP-ng的格式。

注：

Win32版本的tshark的不支持从管道捕捉！

-I把接口“监控模式”;这仅支持IEEE802.11无线网络接口，只支持某些操作系统。

需要注意的是在监控模式适配器可能撇清与从它的关联，这样你就不能使用任何无线网络与该适配器的网络。

这可能会阻止访问网络服务器上的文件，或解析主机名或网络地址，如果捕获在监控模式和未连接到另一个网络的另一个适配器。

这个选项可以出现多次。

如果第一次出现之前使用-i选项，它使显示器模式，所有接口。

如果使用后-i选项，它使监控模式由过去的指定的接口-i此选项之前发生的选项。

-K<密钥表>负载的Kerberos从指定的密钥表文件中的加密密钥。

此选项可以多次使用，以从多个文件加载密钥。

例如：

-Kkrb5.keytab-l冲洗信息每个包印后标准输出。

（这不是严格来说，如果行缓冲-V指定;但是，它是相同的行缓冲如果-V未指定，因为只有一条线打印每个分组，并且，作为-l管道实时捕捉到一个程序或脚本时，这样一个数据包的输出显示了一旦数据包被看到和解剖正常使用，它应该工作一样好，真行缓冲。

我们这样做是作为一种变通方法在微软的VisualC++C库的缺乏。

）管道的输出时，这可能是有用的tshark的另一方案，因为它意味着以该输出通过管道程序将尽快看到的解剖数据分组tshark的看到该分组，并产生输出，而不是看它只有当包含数据的标准输出缓冲区填满。

-L列出了由接口和出口所支持的数据链路的类型。

所报告的链接类型可用于-y选项。

-n禁用网络对象名解析（如主机名，TCP和UDP端口名称）;在-N标志可能会覆盖这一块。

-N<名称解析标志>打开名称仅用于特定类型的地址和端口号的解析，与名称解析为其他类型的地址和端口号的关闭。

该标志覆盖-n如果两个-N和-n存在。

如果两个-N和-n标志不存在，所有的域名解析被打开。

的说法是，可能包含字母的字符串：

启用并发（异步）DNS查询米启用MAC地址解析启用网络地址解析使使用外部解析器（如DNS）的网络地址解析牛逼使传输层端口号决议-o<偏爱>：

<值>设置首选项值，覆盖默认值和偏好文件中读取任意值。

的参数的选择是以下形式的字符串为prefname：

值，其中为prefname是偏好（这是将出现在首选项文件名?

?

称相同）的名称，并且值是其应该被设置的值。

-O<协议>类似-V选项，但会导致tshark的，只显示的逗号分隔的列表的详细视图的协议规定，而不是所有协议的详细视图。

使用“输出tshark的-G协议“找到可以指定的协议的缩写。

-p不要将接口设置为混杂模式。

请注意，接口可能是处于混杂模式的某些其他原因;因此，-p不能使用，以确保所捕获的唯一流量的流量发送至或自该机器tshark的运行过程中，广播业务和组播业务以由该机器接收地址。

这个选项可以出现多次。

如果第一次出现之前使用-i选项，没有接口将投入混杂模式。

如果使用后-i选项，由最后一个指定的接口-i此选项之前发生的选项将不会被放入混杂模式。

-P解码并显示该分组摘要，即使使用写入原始分组数据-w选项。

-q当捕获数据包，不显示数据包的连续计数捕获保存捕获到一个文件时被正常显示;相反，只显示，在捕捉，分组的计数捕获的结束。

在支持的信号SIGINFO，如各种BSD版本的系统，可以导致当前计数的键入你的“状态”字符（通常控制-T在至少某些显示，尽管它可能被设置为“已禁用”默认BSD系统，所以你必须明确地将其设置为使用它）。

当读取一个捕获文件，或捕捉的时候，而不是保存到文件，打印不包信息;如果您使用的是这是非常有用的-z选项来计算统计数据，不希望数据包的信息打印出来，只是统计数据。

-Q当捕捉数据包，只显示真正的错误。

这种输出小于-q选项，所以接口名称和总包数和捕获的结束不会被发送到标准错误。

-r<INFILE>读取数据包INFILE，可以是任何支持的捕捉文件格式（包括gzip压缩文件）。

也可以使用命名管道或标准输入（-）在这里，但只能使用特定的（未压缩的）捕获的文件格式（特别是：

那些可无求向后读取）。

-R<阅读过滤器>原因指定的过滤器（它使用的读/显示过滤器的语法，而不是捕获过滤器）分析第一遍期间应用。

包不匹配的过滤器不考虑未来的通行证。

不仅使多传球意识，看到-2。

对于单通解剖常规过滤看到-Y替代。

需要注意的是前瞻性领域如'响应于帧＃'不能与该过滤器使用的，因为它们不会一直计算当该过滤器被应用。

-s<捕获的Snaplen>设置默认的快照长度捕捉现场数据时使用。

不超过的Snaplen字节每个网络分组的将被读入存储器，或保存到磁盘。

0值指定的65535快照长度，从而使全包捕获;这是默认的。

这个选项可以出现多次。

如果第一次出现之前使用-i选项，它设置默认的快照长度。

如果使用后-i选项，它设置快照长度由过去的指定的接口-i此选项之前发生的选项。

如果快照长度未设置具体地，如果所提供的默认快照长度被使用。

-S<分隔符>设置在线