简单使用tshark 命令.docxVIP

簡單使用 tshark 命令形的 wireshark tcpdump??命令形的 wireshark，有同 tcpdumpman tshark???捕包樹狀解析tshark -V十六進制，ASCII 解析tshark -x指定界面，保留檔名tshark -i 界面 -w 檔名指定界面，保留檔名，指定重覆保留最大檔數量，停止捕包大小（有－b 就有－a？）tshark -i 界面 -w 檔名 -b 保留檔數量 -a filesize:捕包大小讀檔，顯示過濾條件，存檔tshark -r 讀檔名 -w 存檔名 -R 過碌條件例：顯示過濾所有包 1/8/2010 22:00 至 1/8/2010 23:00，存至新檔tshark -r 讀檔名 -w 存檔名 -R (frame.time = Jan 8, 2010 22:00:00.00 ) (frame.time = Jan 8, 2010 23:00:00.00)捕捉過碌tshark -i eth1 -f icmp捕捉過碌，ICMP 第零個 byte 是 Typetshark -i eth1 -f icmp[0] == 0 or icmp[0] == 8也可tshark -i eth1 icmp[0] == 8tshark -f icmp -i eth1 icmp[0] == 8Unix 系統有時要加 tshark -i eth1 icmp[0] == 0 || icmp[0] == 8使用顯示過碌讀存檔tshark -r bgp.pcap.gz -R bgp.type == 2樹狀，十六進位，ASCIItshark -V -x界面大大，寫入 output 檔，檔最大 5 kilobytes，重覆保留最大數量十檔tshark -i 大大 -a filesize:5 -b 10 -w output捕抓過碌除了 tcp 端口 80tshark -f tcp port !80讀檔並讀取過碌 telnettshark -r 檔 -R telnet 讀檔寫成 Nwork Monitor 2.x 格式檔tshark -r 檔 -w netmon_output -F netmon2統計封包，字節tshark -z io,phs統計 TCP 交談tshark -z conv,tcp統計 IP 地址 00 的封包，字節tshark -z io,phps,ip.addr==00 #-z io.phs[,filter]以一秒間隔統計封包，字節-z io,stat,interval[,filter][,filter][,filter]...以一秒間隔統計 IP 地址 0 的封包，字節tshark -z io,stat,1,ip.addr==0以零點零零一秒統計 IP 地址 0 的 HTTP 封包tshark -z io,stat,0.001,httpip.addr==0以零點零一秒統計 Server Message Block 的封包平均時間tshark -z io,stat,0.010,AVG(smb.time)smb.time以零點零一秒統計 HTTP 要求封包總計tshark -z io,stat,0.010,COUNT(http.request)http.request以零點零一秒統計個封包字節總數tshark -z io,stat,0.010,SUM(frame.pkt_len)frame.pkt_len以零點零一秒統計 IP 地址 00 的 Server Messege Block 封包四行顯示：封包和字節的統計，最小，最大，平均回應時間tshark -z io.stat,0.010,smb.timeip.addr==00,MIN(smb.time)smb.timeip.addr==00,MAX(smb.time)smb.timeip.addr==00,AVG(smb.time)smb.timeip.addr==00建表格列全部通訊-z conv,type[,filter]統計 IP 地址 00 全部 IP 协議通訊tshark -z conv,ip,ip.addr==00加协議信息組至顯示（field 值一定要在 filter 欄位）-z proto,colinfo,filter,field過碌有 TCP 协議長度，多顯示 TCP 协議長度tshark -z proto,colinfo,tcp.len,tcp.len過碌出有 TCP 协議長度並是 IP 來源 0，多顯示 TCP 协議長度tshark -z proto,colinfo,tcp.lenip.src==0,tcp.len統計 Remote Procedure Call 的 Response Time Test 信息，個程序，Min