Linux上安装和使用Wireshark.docxVIP

Linux 上安装和使用 Wireshark Centos下安装Wireshark相当简单.两条命令就够了 .这 里.主要是记录写使用方面的东西安装 1、yum install wireshark 。注意这样并无法使用 wireshark 命 令和图形界面。但提供了抓包基本功能。 2、yum install wireshark-gnome 。这样就可以方便的使用了。 【简易使用】 #tshark; 监控所有数据， 实时变化。【简易使用】 #tshark host 192.168.1.219; 监控 192.168.1.219数据 【简易使 tshark用】#tshark -wpacket.txt -i etho -q这样就会把捕捉到的网络包 tshark 存放在 packet.txt 文件里面，要查看详情的话： -rpacket.txt -x -V|more 即可 如果能登录图形界面终端 .那使 用和 windows 下的无区别 .但我们的服务器都在国外 .要管理 的话都是 ssH 登录只能用命令行了。使用 wireshark 的命令 行工具tshark，在安装的时候会默认给安装上的，使用方法 很简单， 要捕捉包： tshark -wpacket.txt -i etho -q 这样就会把 捕捉到的网络包存放在 packet.txt 文件里面，要查看详情的 话： tshark -rpacket.txt -x -V|more 即可.下面理一下所有参数 的作用 :-a lt;capture autostop conditiongt; 设置一个标准用 来指定 Wireshark 什么时候停止捕捉文件。标准的格式为 test:value,test值为下面中的一个。 duration:value当捕捉持续 描述超过 Value 值，停止写入捕捉文件。 filesize:value 当捕捉文件大小达到 Value 值 kilobytes(kilobytes 表示 lOOObytes,而 不是1024 bytes），停止写入捕捉文件。如果该选项和 -b选项 同时使用，Wireshark在达到指定文件大小时会停止写入当前 捕捉文件，并切换到下一个文件。 files:value 当文件数达到 Value 值时停止写入捕捉文件 -b lt;capture ring buffer optiongt; 如果指定捕捉文件最大尺寸，因为 Wireshark 运行 在ring buffer模式，被指定了文件数。在ring buffer模式下， Wireshark 会写到多个捕捉文件。它们的名字由文件数和创建日期，时间决定。当第一个捕捉文件被写满， Wireshark 会写到多个捕捉文件 。它们的名字由文件数和创 建日期，时间决定。当第一个捕捉文件被写满， Wireshark 会跳转到下一个文件写入，直到写满最后一个文件，此时 Wireshark 会丢弃第一个文件的数据 （除非将 files 设置为 O， 如果设置为0,将没有文件数限制），将数据写入该文件。如 果 duration 选项被指定， 当捕捉持续时间达到指定值的秒数， Wireshark 同样会切换到下个文件，即使文件未被写满。 duration:value当捕捉持续描述超过 Value值，即使文件未被 写满，也会切换到下个文件继续写入。 filesize:value 当文件 大小达到 value 值 kilobytes 时(kelobyte 表示 1000bytes,而不 是1024bytes），切换到下一个文件。files:value当文件数达到 value值时，从第一个文件重新开始写入。-B lt;capture buffer size （Win32 only）gt;仅适合 Win32:设置文件缓冲大小（单位 是 MB, 默认是 1MB）. 被捕捉驱动用来缓冲包数据，直到达到 缓冲大小才写入磁盘。如果捕捉时碰到丢包现象，可以尝试 。 -D 打增大它的大小。 -c lt;capture packet countgt; 实时捕捉中指 定捕捉包的最大数目， 它通常在连接词 -k 选项中使用 印可以被 Wireshark 用于捕捉的接口列表。每个接口都有 个编号和名称 （可能紧跟在接口描述之后？ 。 -D 打 名或接口编号可以提供给 -i 参数来指定进行捕捉的接口 （这 里打印应该是说在屏幕上打印 ）。在那些没有命令可以显示列 表的平台（例如 Windows,或者缺少ifconfig -a命令的UNIX平 台）这个命令很有用 ;接口编号在 Windows 2000 及后续平台的 接口名称通常是一些复杂字符串，这时使用接口编号会更方 便点。注意，可以被 Wireshark用于捕捉”意思是说：Wir