Wireshark 命令列捕獲資料

在 wireshark 程式目錄中，包含兩個命令列捕獲工具。這兩個工具分別是 dumpcap 和 tshark。當不能以圖形介面方式捕獲資料時，可以在命令列使用 dumpcap 或 tshark 程式實施捕獲。

一、使用 dumpcap 捕獲資料

執行 dumpcap -h 可以檢視引數詳情。

1、執行 dumpcap -d 檢視本機可用的介面。

d:\program files (x86)\wireshark>dumpcap.exe -d
1. \device\npf_ (鏈湴榪炴帴* 3)
2. \device\npf_ (vmware network adapter vmnet8)
3. \device\npf_ (鏈湴榪炴帴* 2)
4. \device\npf_ (wlan)
5. \device\npf_ (vmware network adapter vmnet1)
6. \device\npf_ (鏈湴榪炴帴)

顯示亂碼不要介意，可見當前有6個介面。

2、捕獲資料。在捕獲資料時，可以使用-c 或 -a選項指定停止捕獲資料報的條件。本例中選擇捕獲第4個介面上的資料，並且當捕獲檔案達到1000kb時自動停止捕獲。執行命令如下所示。

d:\program files (x86)\wireshark>dumpcap -i 4 -a filesize:1000 -w e:\file\wireshark\1000kb.pcapng capturing on 'wlan' file: e:\file\wireshark\1000kb.pcapng packets captured: 1296

packets received/dropped on inte***ce 'wlan': 1296/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%)

從輸出的資訊中可以看到捕獲的檔名、資料報數。

3、檢視生成捕獲檔案 100kb.pcapng 的大小。

d:\program files (x86)\wireshark>dir e:\file\wireshark\1000kb.pcapng 驅動器 e 中的卷是文件卷的序列號是 000f-d904 e:\file\wireshark 的目錄 2016/03/01 18:58 1,000,676 1000kb.pcapng 1 個檔案 1,000,676 位元組

0 個目錄 13,512,331,264 可用位元組

二、使用 tshark 捕獲資料

tshark 是依賴 dumpcap 捕獲資料的。可以通過 tshark -h 檢視引數資訊。操作如下：

1、開啟終端

2、切換到 wireshark 目錄。執行 tshark -d 命令，檢視可用的介面。

d:\program files (x86)\wireshark>tshark -d
1. \device\npf_ (鏈湴榪炴帴* 3)
2. \device\npf_ (vmware network adapter vmnet8)
3. \device\npf_ (鏈湴榪炴帴* 2)
4. \device\npf_ (wlan)
5. \device\npf_ (vmware network adapter vmnet1)
6. \device\npf_ (鏈湴榪炴帴)

3、開始捕獲資料。

d:\program files (x86)\wireshark>tshark -i4 -a files:3 -b duration:10 -w e:\file\wireshark\mytshark.pcapng capturing on 'wlan'

1808

以上命令表示指定捕獲4號介面，捕獲3個檔案後自動停止，10秒後捕獲下乙個檔案。

4、檢視生成的捕獲檔案。

d:\program files (x86)\wireshark>dir e:\file\wireshark\mytshark* 驅動器 e 中的卷是文件卷的序列號是 000f-d904 e:\file\wireshark 的目錄 2016/03/01 19:17 22,396 mytshark_00001_20160301191653.pcapng 2016/03/01 19:17 753,168 mytshark_00002_20160301191703.pcapng 2016/03/01 19:17 282,500 mytshark_00003_20160301191713.pcapng 3 個檔案 1,058,064 位元組

0 個目錄 13,511,270,400 可用位元組

三、使用捕獲過濾器

當使用者在命令列捕獲資料時，可能只想捕獲特定的資料。

使用 dumpcap 指定捕獲過濾器進行資料捕獲。

d:\program files (x86)\wireshark>dumpcap -i4 -f "tcp port 80" -w e:\file\wireshark\port80.pcapng
capturing on
'wlan'
file: e:\file\wireshark\port80.pcapng
packets captured: 287
packets received/dropped on inte***ce 'wlan': 287/0 (pcap:0/dumpcap:0/flushed:0/ps_ifdrop:0) (100.0%)

輸出的資訊顯示了捕獲的包數和捕獲檔名。執行以上命令後，該程式不會自動停止捕獲，需要按下 ctrl + c 組合鍵停止。使用 tshark 工具指定捕獲過濾器的引數和 dumpcap 一樣，這裡不再贅述。

四、使用顯示過濾器

在命令列中，使用的顯示過濾器比捕獲過濾器多。

1、使用捕獲過濾器捕獲所有 tcp 資料，並儲存該捕獲檔案為 tcp.pcapng。

d:\program files (x86)\wireshark>tshark -i4 -f"tcp" -w e:\file\wireshark\tcp.pcapng
capturing on
'wlan'
529

2、使用-r引數讀取捕獲檔案的ndash，使用-y引數指定顯示過濾器，並使用-w引數指定儲存的新捕獲檔案。

d :\program files (x86)\wireshark>tshark -r e:\file\wireshark\tcp.pcapng -y

"tcp.analysis.flags" -w e:\file\wireshark\analysisflags.pcapng

執行以上命令後沒有任何輸出資訊。但是會生成乙個新的捕獲檔案。

3、檢視新捕獲檔案的基本資訊。

d:\program files (x86)\wireshark>dir e:\file\wireshark\analysisflags.pcapng 驅動器 e 中的卷是文件卷的序列號是 000f-d904 e:\file\wireshark 的目錄 2016/03/01 19:31 228 analysisflags.pcapng 1 個檔案 228 位元組

0 個目錄 13,510,852,608 可用位元組

Wireshark 命令列捕獲資料

wireshark命令列抓包

wireshark學習 5 命令列模式

命令列 Git Bash命令列小結

Wireshark 命令列捕獲資料

wireshark命令列抓包

wireshark學習 5 命令列模式

命令列 Git Bash命令列小結

相關推薦