tshark是wireshark的指令形式,有些情況下抓取網路包但是不想呼叫圖形介面時,可以用tshark
libpcap-x.x.x.tar.gz libpcap安裝原始檔
2. 解壓縮libpcap
tar zxvf libpcap-x.x.x.tar.gz
進入到解壓縮後的資料夾中 cd libpcap- x.x.x
3. 安裝flex
apt-get install flex
4. 安裝bison
apt-get install biso
5. 安裝libpcap
./configure
make
make install
6. 安裝tshark
apt-get install tshark
7、指令應用
tshark是wireshark命令列形式
1)指定要監聽的介面
-i 《介面名稱》
比如-i eth2.如果不用-i指定監聽的介面,則預設為介面列表中第乙個非回環介面(-d列印介面列表)
2)可監聽的介面列表
-d 列印介面列表
3)設定cap過濾條件
-f 《過濾引數設定》
a. 設定監聽的協議型別:-f udp/tcp/http注:協議型別必須為小寫
b. 設定源ip: -f「src host x.x.x.x」
c. 設定源埠: -f「src port xx」
d. 設定源ip和源埠: -f 「srchost x.x.x.x and src port xx」
e. 設定目的ip: -f「dst host x.x.x.x」
f. 設定目的埠: -f「dst port xx」
g. 設定目的ip和埠: -f 「dsthost x.x.x.x and port xx」
注:設定ip或埠時,必須用雙引號
4)設定抓包數
-c 《包數量》 ,比如-c 15 表示抓15個包就停止
5) 設定cap包容量
-a filesize:num
其中num為filesize的包容量,用此命令需要用-w命令指定儲存的檔案包。num單位為kb
6)儲存檔案
-w 《檔名稱》
-w後面是要儲存到的檔案名字,也可以指定路徑
7) 在螢幕中顯示抓包的內容
-s8)指定資料報的最大長度
-s 《資料報長度》,單位為bytes
CentOS安裝tshark抓包工具
準備在伺服器上用tshark抓包,分析一下資料。直接yum install tshark卻發現沒有這個包。網上搜尋一下,各種奇葩安裝方式,又是安裝apt?又是安裝各種環境?我相信既然centos已經有了yum這麼好的包管理工具,那麼一定有更簡單的方式。最後只好在google上直接用我這蹩腳的英文搜尋...
tcpdump 抓包工具使用
tcpdump抓包引數 a以ascii列印 n不現實名稱位址,顯示主機ip埠 s抓取得每個資料報的長度 i指定網絡卡 特殊的網絡卡特殊的網絡卡 w指定檔案儲存的路徑 nn 不把網路ip和埠號轉成名字 檢視tcpdump可以抓包的網路網絡卡 tcpdump d 抓取指定埠的資料報,並且儲存檔案,用wi...
tcpdump抓包工具使用
安裝 yum y install tcpdump 基本用法 抓取網口eth0流量包 tcpdump i eth0 nnv 指定抓取100個包 tcpdump i eth0 nnv c 100 把抓包輸出寫入檔案 tcpdump i eth0 nnv w file1.tcpdump 讀取 tcpdum...