数据包内容解析 wireshark数据包分析实战pdf( 五 )


这个选项可以出现多次 。当从多个接口捕获 , 捕获文件将被保存在PCAP-ng的格式 。
注:Win32版本的tshark的不支持从管道捕捉!
-r <INFILE>
读取数据包INFILE , 可以是任何支持的捕捉文件格式(包括gzip压缩文件) 。也可以使用命名管道或标准输入( – )在这里 , 但只能使用特定的(未压缩的)捕获的文件格式(特别是:那些可无求向后读取) 。
-w <OUTFILE> | –
写入原始分组数据OUTFILE或标准输出 , 如果 OUTFILE为“ – ” 。
注:-w提供原始数据包数据 , 而不是文字 。如果你想文本输出需要重定向标准输出(例如 , 使用’>’) , 不使用-w 选项这一点 。
-W <文件格式选项>
保存在文件中的额外信息 , 如果该格式支持它 。例如 , 
-F pcapng -W?
将节省主机名解析记录以及捕获的数据包 。
Wireshark的未来版本可能会采集格式自动更改为 pcapng需要 。
的说法是 , 可能包含了下面这封信的字符串:
写网络地址解析信息(仅pcapng)
-Y <显示过滤器>
原因指定的过滤器(它使用的读/显示过滤器的语法 , 而不是捕获过滤器)打印数据包的解码形式或写入数据包文件之前得到应用 。匹配的数据包过滤器打印或写入文件; 该匹配的数据包取决于(例如 , 片段) , 不打印 , 但写入文件包; 包不匹配的过滤器 , 也不依赖于被丢弃 , 而不是被印刷或书写 。
使用此 , 而不是-R使用单通分析滤波 。如果这样做两遍分析(见-2)然后只包匹配的读取滤波器(如果有的话)将被针对该过滤器进行检查 。
tshark实例
tshark -i 4 -f “tcp” -w tcp.pcapng
#捕获4号网络接口的tcp数据 , 保存为tcp.pcapng
tshark -r “tcp.pcapng” -Y “tcp.analysis.flags”
#使用-Y指定的显示过滤器显示tcp.pcapng流量包
tshark -i 4 -f “dst port 80 and host 192.168.1.3” -T fields -e frame.number -e ip.src -e ip.dst -e tcp.window_size
#导出到达192.168.1.3主机接口4上的80端口的所有数据 , 并且导出的字段包括帧编号 , 目的和源ip和tcp窗的大小 。
tshark -i 4 -Y “htpp.host” -T fields -e http.host > httphosts.txt
#导出HTTP包的Host字段值 。
tshark -i 4 -qz io,phs
#导出统计数据 , 当按下Ctrl+C停止时 , 会显示统计信息 。
tshark -i 4 -qz hosts
#查看整个网络中活跃的主机列表 。
tshark -r “http.capng” -qz expert,notes
#导出http.capng中的专家信息中的notes信息 。若只要导出专家信息中的Errors&Warnings信息可以 -qz expert,warn
参考:
http://www.360doc.com/content/15/0516/18/14900341_471040655.shtml
《Wireshar数据包分析实战解析》
原文链接:
https://blog.csdn.net/qq_41420747/java/article/details/92069054


以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助: