初次使用tshark小结

最新推荐文章于 2025-04-20 09:08:14 发布
最新推荐文章于 2025-04-20 09:08:14 发布
阅读量3.1k 收藏 13
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/canoe1234/article/details/104345203
版权
本文介绍了如何使用tshark命令行工具,从打开CMD到输入tshark -D查看可用接口,再到通过-tshark命令提取.pcap文件中的数据并保存为CSV。重点讲解了如何指定-r参数读取文件,-T字段提取,以及-e参数定义提取的字段。还提到了可以参考的官方文档和中文教程,帮助读者深入理解tshark的各种选项。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

tshark命令行工具

1.打开cmd

2.进入wireshark安装目录

3.输入tshark -D

开始使用tshark命令行工具

例子,把各协议的data数据部分保存到CSV文件当中

-r 指定要分析的.pcap文件
-T fields 说明要对.pcap文件重的fields进行提取
-e filed_name 制定要提取的fields的名字,按照-e的先后顺序,不同的field按列顺序的排列在.csv文件中。
各种field名称可以从wireshark的网站上查询,主要有TCP协议的fileds,IP协议的fields,UDP协议的fields,HTTP协议。
-E 指定输出field的格式,包括如下格式:

-e后面的参数

frame.number  帧数

eth.src  源物理地址

eth.dst  目的物理地址

ip.src   源IP地址

ip.dst   目的IP地址

ip.proto   IP协议端口号

最低0.47元/天 解锁文章
canoe1234
关注
Wireshark 使用技巧详解
悦分享
11-05 4892
显示过滤器远比抓包过滤器更加灵活和强大。显示过滤器不会丢失数据包,只是为了增强用户阅读而将一部分数据包隐藏起来。丢弃数据包有时并非明智选择,因为一旦数据包被丢弃,这些数据包也就无法再恢复回来了。在分组列表面板上面的输入框,你可以输入显示过滤器,或者通过下拉显示近期使用的过滤器记录,来选择使用显示过滤器。在用户配置了显示过滤器之后,只有那些满足用户过滤器设置条件的数据包才会被显示出来。使用应用了显示过滤器之后,就会在Wireshark状态栏的第二列看到使用显示过滤器后的相关信息。
Windows使用 tshark.exe 提取特定IP数据包
热门推荐
weixin_35725726的博客
09-10 1万+
tshark.exe使用 单个数据包获取特定IP 1.windows安装wireshark。 2.打开cmd输入: “c:\Program Files\Wireshark\tshark.exe” -r 输入的文件 -Y “ip.addr==127.0.0.1” -w 输出的文件 (注:这条命令只能针对一个数据包) 使用批处理方式对多个数据包进行提取 1.使用批处理把数据包名提取出来 ...
使用WireShark的tshark命令,在window系统Cmd命令行抓包(附环境变量的设置)
m0_53412352的博客
08-26 1942
工作中,有时候会遇到抓特定数据包的情况,但是却不知道这个特定数据包什么时候出现。因此就需要有设备值守抓包,这时就可以使用wireshark提供的tshark命令抓包。
使用tshark命令解析tcpdump抓取的数据包
最新发布
运维老生常谈
04-20 1006
如果要在windows命令行窗口使用tshark需要将Wireshark安装路径 C:\Program Files\Wireshark 添加到环境变量。查看帮助信息:列出可用网卡接口:5. \\Device\\NPF\_{257F23D0-E615-4656-AB32-5338DB62843C} (以太网 2)6. \\Device\\NPF\_{B5376652-68BB-45DA-A822-086E401773BB} (本地连接\* 10)前面提到过tcpdump -D。
tshark一些常用命令参数解析
nuisthou的博客
09-10 7060
https://www.wireshark.org/docs/man-pages/tshark.html官方阅读文档; 捕获接口:   -i: -i <interface> 指定捕获接口,默认是第一个非本地循环接口;   -f: -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个实在抓包的过程中过滤,如果是分析本地文件则用不到。 ...
tshark命令基本用法
hanyuyy的博客
06-27 3705
tshark -Y "http.request.method == GET:仅显示HTTP请求方法为GET的数据包。-T <output_format>:指定输出格式,将分析结果以不同的格式输出。你可以通过运行"tshark --help"来获取完整的帮助信息,其中包含了所有可用选项和命令的详细说明。例如,-i eth0表示使用eth0接口进行捕获,-i any表示捕获所有可用接口上的数据包。-w <filename>:将捕获到的数据包写入指定的文件中。-V:显示详细的数据包信息,包括各个协议的字段和值。
关于tshark中参数-e与-Tfields之间的领域字段查询
weixin_41951213的博客
11-11 2641
博客主要讲述tshark工具中的参数-e与-Tfields之间的领域字段如何寻找
tshark linux_使用TShark在Linux命令行上使用Wireshark
cuml0912的博客
07-14 1580
tshark linux 大多数情况下,当我们连接到Internet时,我们不会想到底层的网络协议可以使一切变为可能。 现在,当您阅读本文时,计算机正在交换大量数据包并通过Internet进行传输。 要了解这些协议,您需要一个可以捕获并帮助您分析这些数据包的工具。 Wireshark是一种流行的开源图形用户界面(GUI)工具,用于分析数据包。 但是,它也为喜欢在Linux命令行上工作的人们提...
4.10 第十三章:Linux系统管理技巧
zhang_ZERO的博客
04-13 2442
第十三章:Linux系统管理技巧13.1监控系统的状态13.1.1使用w命令查看当前系统的负载13.1.2用vmstat命令监控系统的状态13.1.3用top命令显示进程所占的系统资源13.1.4用sar命令监控系统状态①查看网卡流量 sar -n DEV②查看历史负载 sar -q13.1.5用nload命令查看网卡流量13.1.6用free命令查看内存使用状况13.1.7用ps命令查看系统进程...
网络报文分析工具Tshark轻松掌握
共同学习、强我国家
08-24 4754
tshark作为Wireshark的配套子命令,在CLI场景下能胜任Wireshark绝大部分功能,对于需要批量处理、筛选过滤、导出、统计分析、定制化输出等能力。当然,tshark同时具备抓包和分析包的能力,简单理解为tshark是wireshark的CLI版本,但Linux端抓包基本上业界都会使用tcpdump,并且它基本能覆盖抓包的所有场景,如果想要了解tcpdump的用法,可以参照笔者总结的这篇文章。
tshark命令行的使用
清水
10-07 6601
tshark是wireshark的一个命令行工具用于抓包分析:                 主要参数如下: 1. 抓包接口类 -i 设置抓包的网络接口,不设置则默认为第一个非自环接口。 -D 列出当前存在的网络接口。在不了解OS所控制的网络设备时,一般先用“tshark -D”查看网络接口的编号以供-i参数使用。 -f 设定抓包过滤表达式(capture filter exp
tshark功能详解
u011546911的博客
10-28 4764
Tshark是wireshark的命令行工具,能够无缝地融入linux/windows脚本语言,使嗅探、分析协议的工作变得容易。 基本语法:tshark [ -a ] … [ -b ] … [ -B <capture buffer size (Win32 only)> ] [ -c ] [ -d ==, ] [ -D ] [ -f ] [ -F ] [ -h ] [ -i |- ] [ -l ] [ -L ] [ -n ] [ -N ] [ -o ] … [ -p ] [ -q ]
tshark 使用技巧
jmhIcoding
06-23 3202
tshark 删除乱序、重传数据包: tshark -2 -R "not tcp.analysis.retransmission && not tcp.analysis.out_of_order" -r 源文件.pcap -w 目标文件名.pcap' tshark 获取tcp流,并保存text格式 tshark -r 源文件.pcap -qz follow,tcp,raw,tcp流的编号 流的编号是0开始的。 其中raw是16进制串表示流的数据: 还可以hex显示,有数据的偏移: t
使用tshark监视和检查网络流量
weixin_33759269的博客
09-08 1135
大多数人恐怕已经听说过Wireshark,这是一款人气非常旺、功能非常强的网络协议分析工具。但是大家可能不知道的是,还有一个控制台版本的Wireshark,名叫tsharktshark的两个主要优点就是,它可以用在脚本中,也可以通过SSH连接用在远程计算机上。主要缺点就是,它没有图形用户界面(GUI),如果你要搜索大量的网络数据,要是有GUI,确实方便得很。你可以从官方网站...
tshark采集保存TLS协议字段数据
lkh2333的博客
03-02 826
通过tshark抓取tls协议,参数包含抓包接口,源地址,目的地址,字段类型,采集长度,文件保存路径,但该代码是直接行写入,最终采集长度比所需长度一般大于等于一个数据包的相关字段长,有兴趣的同学可以自行优化。tshark采集保存TLS协议字段数据。
tcpdump 抓包和记录、tshark 过滤抓包
05-21 3383
tcpdump。
pyshark引用TShark时:TShark not found的解决方法
qq_42411587的博客
08-25 8442
pyshark pyshark是python对Tshark调用的封装包。在Windows10上使用该库处理pcap包时,出现了错误如下: pyshark.tshark.tshark.TSharkNotFoundException: TShark not found. Try adding its location to the configuration file. Searched these paths: [‘C:\Program Files\Wireshark\tshark.exe’, ‘C:
解决tshark报错:tshark: Some fields aren‘t valid
呆萌的代Ma
11-03 1157
解决方法 查询网址:https://www.wireshark.org/docs/dfref/,找到需要的命令 检查是否输入正确 检查tshark版本是否支持
Wireshark/Tshark过滤器
buside的博客
07-10 4684
引自:https://www.wireshark.org/docs/man-pages/wireshark-filter.html 名称 wireshark-filter - Wireshark过滤器语法和参考 概要 wireshark[其他选项][-R“过滤器表达式”] tshark[其他选项][-R“过滤表达式”] 描述 Wireshark和TShark共享一个强...
ARM环境编译与使用tshark指南
"这篇文档详细介绍了如何在ARM架构上编译和使用tshark,一个Wireshark项目的命令行版本。内容涵盖了交叉编译环境的配置、必要的库函数设置以及makefile的生成步骤,适用于OPENWRT环境。" 在ARM平台上编译tshark涉及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值