能否详细的介绍下tshark的具体用法?

发布网友

我来回答

共1个回答

热心网友

tshark，作为Wireshark的命令行版本，具备强大的功能，包括抓包、数据包分析、文件提取以及支持多种格式输出，使其成为流量分析的强大工具。在低流量场景中，结合tshark命令的包装，可以构建功能丰富的分析系统，甚至搭建简易的入侵检测系统（IDS）。

抓包核心功能

2.1 抓包

2.1.1 选择网络接口

例如，使用命令行选择em1网卡进行抓包。

2.1.2 抓流量

通过指定参数启动流量捕获。

2.1.3 抓包过滤

利用BPF过滤语法，类似于tcpdump的过滤规则，实现对特定端口流量的查看。

2.1.4 自动停止参数-a

设置自动停止参数，实现根据包量、时间或文件大小自动停止捕获。

2.1.5 捕获输出参数

捕获输出功能，允许在达到指定时间或文件大小后，将数据包切换或保存到另一个文件。

读包和分析

2.2.1 简单分析

tshark提供多种分析方式，包括流量统计、数据包过滤等。

2.2.2 过滤和输出格式处理

支持灵活的过滤字段，并提供XML、Elasticsearch等格式输出选项，以适应不同需求。

那些少为人知的命令

3.1 流分析

利用TCP流追踪，实现双向数据展示。

3.2 统计

提供专家信息统计、包长度分析、会话统计、IP信息统计、HTTP包情况统计以及按固定时间间隔统计数据。

3.3 HTTPS解包

在HTTPS密钥存在的情况下，解密并分析包内容。

3.4 pcap分层解析

选择性查看TCP层、IP层或所有层的详细信息。

3.5 导出文件

支持文件导出，但具体功能可能因版本而异。

3.6 将特定条件的包按照某个协议进行解码

根据特定条件对包进行解码，适应复杂场景需求。

参考文档

详细操作指南和命令参数说明，确保有效利用tshark的全部功能。