Wireshark命令行应用

最新推荐文章于 2025-03-21 09:40:13 发布
原创 最新推荐文章于 2025-03-21 09:40:13 发布 · 1.2k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了Wireshark的命令行应用,包括典型案例、命令行参数、捕获停止条件、捕获输出等,提供了丰富的配置选项和使用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

https://i-blog.csdnimg.cn/blog_migrate/494fdadf578401aceccb289822d4b99c.png    Wireshark命令行应用

典型案例:

c:\Program Files\Wireshark>Wireshark -i 1 -k -t ad -b duration:600  -w d:\cc

可实现自动启动Wireshark 程序,定时形成一个抓包文件。


命令行参数

Capture interface:
  -i <interface>            name or idx of interface (def: first non-loopback)
  -f <capture filter>      packet filter in libpcap filter syntax
  -s <snaplen>             packet snapshot length (def: 65535)
  -p                        don't capture in promiscuous mode
  -k                        start capturing immediately (def: do nothing)
  -S                       update packet display when new packets are captured
  -l                          turn on automatic scrolling while -S is in use
  -B <buffer size>         size of kernel buffer (def: 2MB)
  -y <link type>             link layer type (def: first appropriate)
  -D                       print list of interfaces and exit
  -L                       print list of link-layer types of iface and exit

Capture stop conditions:
  -c <packet count>          stop after n packets (def: infinite)
  -a <autostop cond.> ...  duration:NUM - stop after NUM seconds
                                          filesize:NUM - stop this file after NUM KB
                                          files:NUM - stop after NUM files
Capture output:
  -b <ringbuffer opt.> ... duration:NUM - switch to next file after NUM secs
                              filesize:NUM - switch to next file after NUM KB
                              files:NUM - ringbuffer: replace after NUM files
RPCAP options:
  -A <user>:<password>     use RPCAP password authentication
Input file:
  -r <infile>              set the filename to read from (no pipes or stdin!)

Processing:
  -R <read filter>         packet filter in Wireshark display filter syntax
  -n                       disable all name resolutions (def: all enabled)
  -N <name resolve flags>  enable specific name resolution(s): "mntC"

User interface:
  -C <config profile>      start with specified configuration profile
  -Y <display filter>      start with the given display filter
  -g <packet number>       go to specified packet number after "-r"
  -J <jump filter>         jump to the first packet matching the (display)
                           filter
  -j                       search backwards for a matching packet after "-J"
  -m <font>                set the font name used for most text
  -t a|ad|d|dd|e|r|u|ud    output format of time stamps (def: r: rel. to first)
  -u s|hms                 output format of seconds (def: s: seconds)
  -X <key>:<value>         eXtension options, see man page for details
  -z <statistics>          show various statistics, see man page for details

Output:
  -w <outfile|->           set the output filename (or '-' for stdout)

Miscellaneous:
  -h                       display this help and exit
  -v                       display version info and exit
  -P <key>:<path>          persconf:path - personal configuration files
                           persdata:path - personal data files
  -o <name>:<value> ...    override preference or recent setting
  -K <keytab>              keytab file to use for kerberos decryption


详细中文介绍可参照:http://man.lupaworld.com/content/network/wireshark/c9.2.html


补充tcpdump用法: 

#tcpdump -i eth0 -tttt -c 100 dst 8.8.8.8 and port 53 -w dns.pcapng



如何在 Ubuntu 命令行中使用 Wireshark 进行抓包?
网络技术联盟站
04-27 388
Wireshark 是一个开源的网络协议分析工具,因其强大的抓包和分析功能而闻名。无论是调试网络问题、监控流量,还是进行安全审计,它都能派上用场。🌟 通常,我们会在带有图形界面的系统中,通过 Wireshark 的窗口点击操作来完成抓包。但在 Ubuntu 的命令行环境中,尤其是服务器上,图形界面往往不可用。这时,Wireshark命令行工具tshark就闪亮登场了!💻为什么要在命令行中使用 Wireshark 呢?原因很简单:灵活性与自动化。在服务器上,你可以用tshark捕获流量并保存到文件;
Wireshark 抓包过滤命令大全,不会抓包的网工不是好网工!
网络技术联盟站
07-10 3812
你好,这里是网络技术联盟站,我是瑞哥。Wireshark 是一款开源软件,最早由 Gerald Combs 在 1998 年创建,原名 Ethereal。2006 年,由于商标问题,Ethereal 更名为 Wireshark。作为一个网络协议分析器,Wireshark 能够捕获网络接口上的数据包,并提供详细的解码和分析功能。Wireshark 支持多种操作系统,包括 Windows、macOS 和 Linux。
wireshark基础命令
qq_58875293的博客
07-27 2633
个人做题总结wireshark基础
wireshark命令合集(Wireshark Command Collection)
Linux运维老纪的博客
01-27 1044
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。 在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。本章详细介绍wireshark之命令
Wireshark 用户使用手册 ———— 命令行控制 Wireshark
热门推荐
永远的菜鸡小詹的博客
11-05 1万+
目录命令行控制 Wireshark命令行参数解析   Wireshark 的默认行为通常会很好地满足你的需求。 但是,随着对 Wireshark 越来越熟悉,它可以通过各种方式进行定制,以更好地满足你的需求。 在本文中,我们将主要探讨:   1. 如何使用命令行参数启动 Wireshark   2. 如何为数据包列表着色   3. 如何控制协议剖析   4. 如何使用各种首选项设置 命令行控制 Wireshark  你可以从命令行启动 Wireshark,但也可以从大多数窗口管理器启动它。 在本节中,我们将
wireshark 命令行_命令行中的Wireshark
weixin_26722031的博客
08-30 1976
wireshark 命令行Wireshark is the world’s most widely used network protocol analyzer. It lets you dive into captured traffic and analyze what is going on within a network. Today, let’s talk about how you ...
Wireshark命令行分析数据包
Ymm的博客
09-09 1727
这时可使用参数**-c**来限制在屏幕上显示的数据包数量。抓包的时候也可以使用**-c**参数,表示只获取抓包数据的前xx个包,获取到后程序会自动停止抓包。使用**-Y**来应用显示捕获器,在双引号内使用wireshark的过滤器语法。的输出中,每一行代表一个数据包,每一行输出的格式取决于数据包使用的协议类型。的**-D**参数来列出当前的可用网卡,系统会以数字的形式打印出网卡信息。要想从保存的文件中回读数据包,可使用**-r**参数加上文件名。使用**-t**参数可以更改这种格式。
wireshark命令行启动
boyhailong的专栏
10-14 6360
wireshark -f "udp" -k; tshark -f "udp" -w "C:11.txt";可以保存文件,但是问题是follow udp stream只是被选中包的stream; 如果想获得全部包的内容,需要了解pcap结构,写个小程序解析下!
wireshark 命令行拆出文件上传的耗时
最新发布
07-29
Wireshark 提供了命令行版本的工具 `tshark`,可用于自动化分析捕获文件(pcap/pcapng)并提取特定网络行为的耗时信息。通过结合显示过滤器和字段输出功能,可以高效地提取文件上传过程中的关键时间点。 #### 3.1 ...
使用命令行工具控制wireshark对抓包文件进行针对性处理的总结
Draina的博客
03-21 979
近日,工作中有开发对抓包文件进行针对性过滤的小程序的需求,兜兜转转踩了很多坑后还是绕回了wireshark。作为最出名的开源软件之一,wireshark也具有使用命令行进行操作的功能,这就是我们今天会总结到的“tshark.exe”。
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
12-13
Linux命令行抓包及包解析工具tshark(wireshark)使用实例解析
WireShark命令行工具
qq_43776408的博客
06-30 1504
tshark tshark -D 查看系统那些网卡 -i指定网卡 tshark -f “tcp dst port 80” 抓取发往80号端口的tcp数据包 tshark -w 文件名.cap 保存到文件 然后wireshark 文件名.cap打开抓取到的数据包 tshark几乎覆盖了wireshark所有功能 tshark -r 文件名.cap 你可能会想 已经有了wireshark,为啥还要有命令行工具呢 因为命令行工具可以和其他工具进行结合 等等优点 ////////////////////// 除
wareshake 过滤端口_wireshark 实用过滤表达式(针对ip、协议、端口、长度和内容)...
weixin_36155560的博客
12-24 893
首先说几个最常用的关键字,“eq” 和 “==”等同,可以使用 “and” 表示并且,“or”表示或者。“!" 和 "not” 都表示取反。一、针对wireshark最常用的自然是针对IP地址的过滤。其中有几种情况:(1)对源地址为192.168.0.1的包的过滤,即抓取源地址满足要求的包。表达式为:ip.src == 192.168.0.1(2)对目的地址为192.168.0.1的包的过滤,即抓...
Wireshark常用命令
热爱学习,喜欢折腾!
09-29 5143
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
Wireshark的一些常用命令
春日野穹
01-24 5694
Wireshark的命令太多,做个笔记 TCP三次握手协议 第一次握手:客户端的应用程序主动打开,并向服务端发出请求报文段。其首部中SYN=1,seq=x。 第二次握手:服务器应用被动打开。若同意客户端的请求,则发回确认报文。其首部中:SYN=1,ACK=1,ack=x+1,seq=y。 第三次握手:客户端收到确认报文之后,通知上层应用进程已建立,并向服务器发出确认报文。其首部ACK=1,ack=y+1。 运算符 比较运算符 英文写法 C语言写法 含义 eq == 等于 ne != 不
wireshark图形操作对应的命令行操作
村中少年的专栏
08-16 1207
wireshark图形操作对应的tshark命令
Wireshark入门与进阶系列八之命令行tshark和tcpdump
煜铭2011
08-04 1万+
0x00 前言 tshark是WireShark命令行版本,有类似tcpdump的输出。
wireshark 命令行 - tshark
michaelysj的专栏
01-29 372
tshark help C:\Program Files\Wireshark>tshark.exe --help TShark (Wireshark) 2.6.0 (v2.6.0-0-gc7239f02) Dump and analyze network traffic. See https://www.wireshark.org for more information. Usage: tshark [options] ... Capture interface: -i <interf
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值