Termshark终端网络分析工具使用指南
项目地址: https://gitcode.com/gh_mirrors/te/termshark 概述
Termshark是一款基于终端的网络数据包分析工具,它提供了类似Wireshark的用户界面体验,但完全运行在终端环境中。作为一款轻量级的网络分析解决方案,Termshark特别适合在远程服务器或资源受限的环境中执行网络流量分析任务。
核心功能
1. 数据源选择
Termshark支持多种数据源输入方式:
-
实时接口捕获
termshark -i eth0支持同时监控多个网络接口,并可使用BPF捕获过滤器:
termshark -i eth0 -i eth1 "tcp port 80" -
PCAP文件分析
termshark -r capture.pcap支持直接应用显示过滤器:
termshark -r capture.pcap "http.request.method == GET" -
管道输入 支持从标准输入或命名管道读取数据:
tcpdump -i eth0 -w - | termshark
2. 用户界面操作
Termshark采用三窗格布局设计:
-
数据包列表视图
- 显示捕获数据包的概要信息
- 支持按列排序(点击列标题)
- 快捷键:
gg跳至首行,G跳至末行
-
数据包结构视图
- 展示协议解码树状结构
- 支持展开/折叠节点(使用
[+]或Enter键) - 上下文菜单可快速创建过滤条件
-
十六进制视图
- 显示原始字节数据
- 与结构视图联动高亮显示
视图操作快捷键:
Tab/Ctrl+W Ctrl+W:切换视图焦点\:最大化当前视图|:切换十六进制视图布局
3. 高级分析功能
-
数据包标记
- 使用
m+字母设置标记 - 使用
'+字母跳转到标记 - 大写字母标记(A-Z)可跨会话保存
- 使用
-
搜索功能
Ctrl+F打开搜索栏- 支持多种搜索模式:
- 字符串匹配(区分大小写)
- 正则表达式
- 十六进制值
- 显示过滤器
-
流重组
- 支持TCP/UDP会话重组
- 提供ASCII/Hex/Raw三种查看方式
- 支持客户端/服务端数据过滤
-
会话统计
- 显示端点间通信统计
- 支持按协议类型筛选
4. 数据导出
-
复制模式
- 在结构或十六进制视图中按
c进入 - 使用方向键调整选择范围
Ctrl+C复制选中数据
- 在结构或十六进制视图中按
-
自定义导出 可通过配置文件设置自定义复制命令:
[main] copy-command = ["xsel", "-i", "-p"]
配置管理
Termshark支持丰富的配置选项:
-
主题设置
- 内置多种配色方案
- 支持暗黑模式
-
配置文件 位于
~/.config/termshark/termshark.toml,可配置:- 界面颜色
- 默认过滤器
- 自定义列定义
-
配置文件
termshark -C profile_name支持多配置环境快速切换
性能优化建议
-
对于大型捕获文件:
- 先应用显示过滤器减少处理数据量
- 使用
-Y参数预先过滤
-
远程分析时:
- 考虑使用X11转发实现剪贴板共享
- 或设置自定义复制命令上传到临时存储
-
资源受限环境:
- 限制捕获数据包数量
- 使用更精确的捕获过滤器
典型应用场景
-
远程服务器排错
ssh user@server "tcpdump -i eth0 -w - port 22" | termshark -
HTTP请求分析
termshark -r web.pcap -Y "http.request" -
DNS查询监控
termshark -i eth0 -f "port 53"
总结
Termshark将Wireshark的强大分析能力带入了终端环境,特别适合系统管理员和网络工程师在命令行环境下快速分析网络流量。其轻量级的设计和丰富的功能使其成为网络故障排查和协议分析的理想工具。通过熟练掌握Termshark的各种功能和快捷键,用户可以显著提高网络分析工作的效率。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
