tshark - 转储和分析网络流


tshark的 [  -2  ] [  -a  <捕捉自动停止条件>] ... [  -b  <捕捉环形缓冲区选项>] ... [  -B  <捕获缓冲区大小>] [  -c  <捕获分组计数>] [  - ?  <配置文件>] [  -d  <层型> == <选择>,<译码作为协议>] [  -D  ] [  -e  <字段>] [  -E  <现场打印选项>] [  -f  <捕获筛选>] [  -F  <文件格式>] [  -g  ] [  -h ] [  -H  <输入hosts文件>] [  -i  <采集界面> | - ] [  -I  ] [  -K  <密钥表>] [  -l  ] [  -L  ] [  -n  ] [  -N  <名称解析标志>] [  -o  <偏好设置>] ... [  -O  <协议>] [  -p  ] [  -P  ] [  -q  ] [  -Q  ] [  -r  <INFILE>] [  -R  <读过滤>] [  -s  <捕获的Snaplen>] [  -S  <分隔符>] [  -t  一个|广告| adoy | D | DD | E | - [R | U | UD | udoy] [  -T  领域| PDML | PS | PSML |文] [  -u  <秒类型>] [  -v  ] [  -V  ] [  -w  <OUTFILE> | - ] [  -W  <文件格式选项>] [  -x  ] [  -X <分机选项>] [  -y  <捕获链接类型>] [  -Y  <显示过滤>] [  -z  <统计>] [  --capture注释  <评论> ] [<捕获筛选>]

tshark -G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]


tshark的是一个网络协议分析仪。它可以让你从现场的网络捕获的数据包,或从以前保存的文件中读取数据包,无论是打印这些数据包发送到标准输出的解码形式或写入数据包到一个文件中。 tshark的 “原生捕捉文件格式是PCAP格式,这也是所使用的格式tcpdump的和各种其它的工具。

不带任何选项设定,tshark的将工作很像tcpdump的。它将使用PCAP库来从第一个可用的网络接口捕获流量,并显示在stdout为每个接收到的分组的摘要线。

tshark的是能够检测,读取和写入由支持在同一捕获文件Wireshark的。输入文件并不需要特定的文件扩展名; 文件格式和一个可选的gzip压缩将被自动检测到。邻近的描述部分开头的wireshark(1)或 https://www.wireshark.org/docs/man-pages/wireshark.html 是的方式的详细描述Wireshark的处理这一点,这是相同的方式tshark的手柄这一点。

压缩文件支持使用(因此要求)zlib库。如果zlib库不存在,tshark的编译,但将无法读取压缩文件。

如果-w没有指定选项,tshark的写到标准输出它捕获或读取数据包的解码格式的文本。如果-w指定选项,tshark的写入由该选项与数据包的时间标记所指明的分组的原始数据,沿该文件。

当写数据包的解码形式,tshark的写道,在默认情况下,包含由首选项文件中指定的字段(这也是包列表窗格中显示的字段摘要行Wireshark的),但如果它的写数据包,它捕捉他们,而不是从已保存的捕获文件写入数据包,它不会显示在“帧号”字段。如果-V指定选项时,将它写入代替的分组的细节,示出在分组的所有协议的所有字段的图。如果-O指定选项时,将只显示指定的完整协议。使用“输出tshark的-G协议 “找到可以指定的协议的缩写。

如果你想要写数据包的解码形式到一个文件,运行 tshark的无-w选项,并重定向其标准输出到文件(也不能使用-w选项)。

当数据包写入到文件中,tshark的,默认情况下,写在文件PCAP格式,并写入所有它认为到输出文件中的数据包。该-F选项可用于指定在其中写入该文件的格式。显示的可用文件格式此列表-F没有价值的标志。但是,你不能指定一个实时捕获的文件格式。

阅读中的过滤器tshark的,这可以让你选择哪些数据包需要被解码或者写入文件,是非常强大的; 更多的领域是在滤过tshark的比其他协议分析仪,你可以用它来 ??创建自己的过滤器的语法更加丰富。作为tshark的 进展,希望越来越多的协议字段在读过滤器被允许。

数据包捕获与PCAP库执行。捕捉过滤器语法如下PCAP库的规则。该语法是从读出过滤器语法不同。读滤波器也可以被捕获时指定,并且只有通过读取滤波器将显示或保存到输出文件中的数据包; 注意,但是,捕获过滤器是更有效的比读过滤器,并可能更难以 tshark的跟上一个繁忙的网络,如果被指定用于实时捕获的读取滤波器。

捕获或读取过滤器既可以与指定-f或-R 选项,分别在这种情况下,整个过滤表达式必须被指定为一个参数(这意味着如果它包含空格,则必须用引号括起来),或可以与后选项参数的命令行参数,在这种情况下后过滤器参数所有参数都被视为一个过滤表达式来指定。做一个实时捕获时,捕获过滤器只支持; 做一个实时捕获和读取一个捕获文件时,当过滤器读取支持,但需要tshark的过滤时做更多的工作,所以你可能会更容易,如果您使用的是读过滤器在重负载下丢包。如果以后选项参数指定了命令行参数的过滤器,它是有捕捉正在做的(即,如果没有捕获筛选 -r指定选项)和一个读过滤器,如果捕获文件读取(即如果-r指定选项)。

该-G选项是一个特殊的模式,简单地导致tshark的 帅位几种类型的内部词汇表,然后退出之一。


-2

执行两遍分析。这会导致tshark的缓冲输出,直到整个第一遍已完成,但允许它填入需要未来知识领域,如字段'在帧#响应“。还允许将正确计算重组帧依赖性。

-a <捕捉自动停止条件>

设置一个标准,指定当tshark的是停止写入捕捉文件。标准是的形式测试,其中测试是下列之一:

持续时间:停止写入捕捉文件后价值秒钟过去了。

作品尺寸:停止写入捕捉文件后,它达到的大小  KB。如果此选项与-b选项一起使用,tshark的 将停止写入当前捕捉文件,并切换到下一个,如果文件大小达到。当读取捕获文件,tshark的将停止读取文件之后读取的字节数超过此数值(完整数据包将被读取,所以比这个数目更多的字节可被读取)。注意,文件大小限制为2吉布最大值。

文件:停止写入捕捉文件后,被写入文件的数量。

-b <捕捉环形缓冲区选项>

原因tshark的在“多个文件”模式运行。在“多个文件”模式, tshark的会写几个捕获文件。当第一个捕捉文件被写满,tshark的将切换书写下一个文件等等。

所创建的文件名 ??是基于与给定的文件名-w选项,文件的数目和在创建日期和时间,例如outfile_00001_20050604120117.pcap,outfile_00002_20050604120523.pcap,...

随着文件选项它也可能形成一个“环形缓冲区”。这将填充新文件,直到指定的文件的数量,在该点tshark的将丢弃该数据的第一个文件中和将数据写入该文件等等。如果文件没有设置选项,新文件填充,直到捕获停止条件匹配一个(或直到磁盘已满)。

该标准的形式是关键,其中关键的是下列之一:

持续时间:切换到后的下一个文件的值秒后,即使当前文件没有完全填满。

作品尺寸:切换后达到的规模下一个文件 的价值 KB。注意,文件大小限制为2吉布最大值。

文件:再次与第一个文件开始后的价值的文件数量写(形成一个环形缓冲区)。此值必须小于10万应注意使用的文件时大量使用:一些文件系统不处理在一个目录多个文件很好。该文件准则要求或者持续时间或文件大小进行规定,以控制什么时候去到下一个文件。应当指出的是,每个-b参数接受正好一个标准; 指定两个标准,每个人都必须在前面加上-b 选项。

例如:-b作品尺寸:1000 -b文件:5的结果在每个大小为一兆五档环形缓冲区。

-B <捕获缓冲区大小>

设置捕获缓冲区大小(以MIB,默认为2 MIB)。此所使用的捕获驱动程序缓冲的分组数据,直到该数据可以被写入到磁盘。如果捕捉时碰到丢包现象,可以尝试增大它的大小。需要注意的是,虽然tshark的试图通过默认设置缓冲区大小为2 MIB,并且可以被告知将它设置为一个更大的值,系统或接口上你捕获可能默默地限制捕获缓冲区大小为较低的值或它提升到一个更高的值。

这是用于UNIX系统与libpcap的1.0.0或更高版本和Windows。它不适用于UNIX系统的早期版本的libpcap的。

这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认捕获缓冲区大小。如果使用后-i选项,它设置捕获缓冲区大小由过去的指定的接口-i此选项之前发生的选项。如果捕获缓冲区大小没有特别设定,默认捕获缓冲区大小来代替。

-c <捕获的数据包数>

设置数据包捕获实时数据时,读取的最大数量。如果读一个捕获文件,设置数据包要读取的最大数量。

-C <配置文件>

与给定的配置文件运行。

-d <层型> == <选择>,<译码作为协议>

像Wireshark的的解码为...功能,这可以让你指定一个图层类型应该被解剖。如果有问题的层类型(例如, tcp.port或udp.port的TCP或UDP端口号)的规定选择值,包应作为解剖指定的协议。

例如:-d tcp.port == 8888,HTTP将解码运行在TCP端口8888作为HTTP的流量。

例如:-d tcp.port == 8888:3,HTTP将解码运行在TCP端口8888,8889或8890作为HTTP的流量。

例如:-d tcp.port == 8888-8890,HTTP将解码运行在TCP端口8888,8889或8890作为HTTP的流量。

使用无效的选择器或协议将打印出有效的选择器和协议名称的列表,分别。

例如:。-d是一个快速的方法来获得有效的选择列表。

例如:。-d以太== 0x0800的是一个快速的方法来获得可以与以太网类型选择协议的列表。

-D

打印接口上的列表tshark的可以捕捉,并退出。每个网络接口,一个数字和一个接口名,可能紧跟在界面的文本描述,被打印。接口名称或数量可以提供给-i选项指定要在其上捕捉的接口。

这可以在不具有命令列出它们(例如,Windows系统或UNIX系统缺乏系统是有用的ifconfig -a); 数量可在Windows 2000和更高版本的系统,其中接口名称是一个比较复杂的字符串是有用的。

需要注意的是“可以捕获”是指tshark的是能够打开设备进行实时捕捉。根据您的系统,你可能需要从具有特殊权限的帐户下运行tshark的(例如,作为root)才能够捕获网络流量。如果tshark的-D不是从这样的帐户下运行,它不会显示任何接口。

-e <现场>

添加一个字段,字段列表显示,如果-T领域被选中。这个选项可以在命令行上多次使用。如果该至少一个字段必须提供-T字段选项被选中。列名可以使用前缀“_ws.col。”

例如:-e frame.number -e ip.addr -e UDP -e _ws.col.info

给人一种协议,而不是一个单一的场将打印有关的协议作为一个单一的场数据的多个项目。字段之间用制表符分隔默认。 -E控制打印领域的格式。

-E <现场打印选项>

设置选项控制领域的印刷时-T领域被选中。

选项??有:

标题= Y | N如果Y,打印的使用给定的字段名称的列表-e 作为输出的第一行; 字段名称将使用相同的字符作为字段值中分离出来。默认为。

分离器= / T | /秒| <字符>设置分隔符使用领域。如果/吨标签将会被使用(这是默认值),如果 /秒,一个单一的空间将被使用。否则,可以通过命令行被接受为选择一部分的任何字符都可以使用。

发生= F | L |一个用于具有多个事件字段选择对哪些发生。如果F第一次出现将被使用,如果升 最后出现的将被使用,如果一个事件都将使用(这是默认值)。

聚合=,| / S | <字符>设置聚合字符用于具有多次出现的字段。如果,一个逗号将被使用(这是默认值),如果/秒,一个单一的空间将被使用。否则,可以通过命令行被接受为选择一部分的任何字符都可以使用。

报价= D | S | N,设置引号字符使用环绕领域 e 使用双引号,单引号,暂无报价(默认值)。

-f <捕获过滤器>

设置捕捉过滤器表达式。

这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认的捕获过滤器表达式。如果使用后-i选项,它为在最后指定的接口捕获过滤表达式-i此选项之前发生的选项。如果捕获过滤器表达式没有设置具体而言,如果所提供的默认捕获筛选表达式中使用。

-F <文件格式>

设置使用写入的输出捕获文件的文件格式-w 选项。写有输出-w选项是原始数据包数据,没有文字,所以没有-F选项来要求的文本输出。选项-F 没有价值将列出可用的格式。

-g

此选项会导致输出文件(S)同组读取权限(即输出文件(S)可以由主叫用户所在组的其他成员被读取)创建。

-G [column-formats|currentprefs|decodes|defaultprefs|fields|ftypes|heuristic-decodes|plugins|protocols|values]

该-G选项将导致tshark的转储几种类型的词汇表,然后退出之一。如果没有指定具体的词汇类型,那么场报告会默认生成。

可用的报告类型包括:

列格式通过转储tshark的理解列的格式。有每行一个记录。这些字段是制表符分隔。

 *字段1 =格式字符串(如“%RD”)
*字段2 =格式字符串的文字说明(如“目的端口(解决)”)

currentprefs 转储当前偏好的将文件复制到标准输出。

解码转储“图层类型”/“解码为”协会标准输出。有每行一个记录。这些字段是制表符分隔。

 *字段1 =层类型,例如“tcp.port”
*字段2 =选择十进制
*字段3 =“解码为”名称,如“HTTP”

defaultprefs 转储一个默认的首选项文件到标准输出。

田 转储注册数据库到标准输出的内容。一个独立的程序可以借此输出格式化成漂亮的表或HTML或什么的。有每行一个记录。每个记录可以是一个协议或一个首标字段,由第一字段来区分。这些字段是制表符分隔。

 *协议
* ---------
*字段1 ='P'
*字段2 =描述协议名称
*现场3 =协议的缩写
*
*头字段
* -------------
*字段1 ='F'
*字段2 =描述字段名
*现场3 =现场缩写
*字段4 =类型(ftenum类型的文字表述)
*字段5 =父协议的缩写
*字段6 =基地显示器(整数类型); “父位字段宽度”为FT_BOOLEAN
*字段7 =掩码:格式:十六进制:0X ....
*字段8 = Blurb的描述场

ftypes通过转储tshark的理解“ftypes”(基本类型)。有每行一个记录。这些字段是制表符分隔。

 *字段1 = FTYPE(如“FT_IPv6”)
*字段2 =类型的文字说明(如“IPv6地址”)

启发式解码转储启发式当前安装的解码。有每行一个记录。这些字段是制表符分隔。

 *字段1 =底层剥离(如“TCP”)
*字段2 =启发式解码器(如UCP“)的名称
*现场3 =启发式启用(如“T”或“F”)

插件目前转储安装的插件。有每行一个记录。这些字段是制表符分隔。

 *字段1 =插件库(如“gryphon.so”)
*字段2 =插件版本(例如0.0.4)
*现场3 =插件类型(如“剥离”或“点击”)
*字段4 =完整路径插件文件

协议转储在注册数据库到标准输出协议。一个独立的程序可以借此输出格式化成漂亮的表或HTML或什么的。有每行一个记录。这些字段是制表符分隔。

 *字段1 =协议名称
*字段2 =协议简称
*现场3 =协议过滤器名称

值转储value_strings,range_strings或真/假字符串有他们的字段。有每行一个记录。字段都是用制表符分隔。有三种类型的记录:值的字符串,字符串范围和真/假的字符串。第一字段,“V”,“R”或“T”,表示记录的类型。

 *字符串值
* -------------
*字段1 ='V'
*字段2 =字段的缩写来此字符串值对应
*现场3 =整数值
*字段4 =字符串
*
*范围弦乐
* -------------
*字段1 ='R'
*字段2 =字段的缩写来此范围对应的字符串
*现场3 =整数值:下限
*字段4 =整数值上限
*字段5 =字符串
*
*真/假弦乐
* ------------------
*字段1 ='T'
*字段2 =字段以缩写此真/假对应的字符串
*字段3 = TRUE字符串
*字段4 =假字符串
-h

打印版本和选项,然后退出。

-H <输入hosts文件>

阅读条目列表从“hosts”文件,然后将被写入捕获文件。意味着-W?。可多次调用。

在“hosts”文件格式记录在 http://en.wikipedia.org/wiki/Hosts_(file)

-i <捕捉接口> | -

设置网络接口或管道的名称,用于现场数据包捕获。

网络接口名称应与所列出的名称之一“ tshark的-D(如上所述)“; 一个数字,所报告的“ tshark的-D “,也可以使用。如果您使用的是UNIX,“ netstat的-i “或” 使用ifconfig -a “也可能工作获得的接口名,虽然不是所有的UNIX版本都支持-a选项的ifconfig。

如果不指定接口,tshark的搜索列表界面,选择第一个非回送接口,如果有任何非Loopback接口,并选择第一个loopback接口,如果没有非环回接口。如果没有接口可言, tshark的报告错误,不执行捕捉。

管道名即可以是FIFO(命名管道)的名称或`` - ''从标准输入读取数据。从管道读取的数据必须是标准的PCAP格式。

这个选项可以出现多次。当从多个接口捕获,捕获文件将被保存在PCAP-ng的格式。

注:Win32版本的tshark的不支持从管道捕捉!

-I

把接口“监控模式”; 这仅支持IEEE 802.11无线网络接口,只支持某些操作系统。

需要注意的是在监控模式适配器可能撇清与从它的关联,这样你就不能使用任何无线网络与该适配器的网络。这可能会阻止访问网络服务器上的文件,或解析主机名或网络地址,如果捕获在监控模式和未连接到另一个网络的另一个适配器。

这个选项可以出现多次。如果第一次出现之前使用-i选项,它使显示器模式,所有接口。如果使用后-i选项,它使监控模式由过去的指定的接口-i此选项之前发生的选项。

-K <密钥表>

负载的Kerberos从指定的密钥表文件中的加密密钥。此选项可以多次使用,以从多个文件加载密钥。

例如:-K krb5.keytab

-l

冲洗信息每个包印后标准输出。(这不是严格来说,如果行缓冲-V 指定;但是,它是相同的行缓冲如果-V未指定,因为只有一条线打印每个分组,并且,作为-l管道实时捕捉到一个程序或脚本时,这样一个数据包的输出显示了一旦数据包被看到和解剖正常使用,它应该工作一样好,真行缓冲。我们这样做是作为一种变通方法在微软的Visual C ++ C库的缺乏。)

管道的输出时,这可能是有用的tshark的另一方案,因为它意味着以该输出通过管道程序将尽快看到的解剖数据分组tshark的看到该分组,并产生输出,而不是看它只有当包含数据的标准输出缓冲区填满。

-L

列出了由接口和出口所支持的数据链路的类型。所报告的链接类型可用于-y选项。

-n

禁用网络对象名解析(如主机名,TCP和UDP端口名称); 在-N标志可能会覆盖这一块。

-N <名称解析标志>

打开名称仅用于特定类型的地址和端口号的解析,与名称解析为其他类型的地址和端口号的关闭。该标志覆盖-n如果两个-N和-n存在。如果两个-N和-n标志不存在,所有的域名解析被打开。

的说法是,可能包含字母的字符串:

启用并发(异步)DNS查询

米启用MAC地址解析

启用网络地址解析

使使用外部解析器(如DNS)的网络地址解析

牛逼使传输层端口号决议

-o <偏爱>:<值>

设置首选项值,覆盖默认值和偏好文件中读取任意值。的参数的选择是以下形式的字符串为prefname ,其中为prefname是偏好(这是将出现在首选项文件名 ??称相同)的名称,并且是其应该被设置的值。

-O <协议>

类似-V选项,但会导致tshark的,只显示的逗号分隔的列表的详细视图的协议规定,而不是所有协议的详细视图。使用“输出tshark的-G协议 “找到可以指定的协议的缩写。

-p

不要将接口设置为混杂模式。请注意,接口可能是处于混杂模式的某些其他原因; 因此, -p不能使用,以确保所捕获的唯一流量的流量发送至或自该机器tshark的运行过程中,广播业务和组播业务以由该机器接收地址。

这个选项可以出现多次。如果第一次出现之前使用-i选项,没有接口将投入混杂模式。如果使用后-i选项,由最后一个指定的接口-i 此选项之前发生的选项将不会被放入混杂模式。

-P

解码并显示该分组摘要,即使使用写入原始分组数据-w选项。

-q

当捕获数据包,不显示数据包的连续计数捕获保存捕获到一个文件时被正常显示; 相反,只显示,在捕捉,分组的计数捕获的结束。在支持的信号SIGINFO,如各种BSD版本的系统,可以导致当前计数的键入你的“状态”字符(通常控制-T在至少某些显示,尽管它可能被设置为“已禁用”默认BSD系统,所以你必须明确地将其设置为使用它)。

当读取一个捕获文件,或捕捉的时候,而不是保存到文件,打印不包信息; 如果您使用的是这是非常有用的-z 选项来计算统计数据,不希望数据包的信息打印出来,只是统计数据。

-Q

当捕捉数据包,只显示真正的错误。这种输出小于-q选项,所以接口名称和总包数和捕获的结束不会被发送到标准错误。

-r <INFILE>

读取数据包INFILE,可以是任何支持的捕捉文件格式(包括gzip压缩文件)。也可以使用命名管道或标准输入( - )在这里,但只能使用特定的(未压缩的)捕获的文件格式(特别是:那些可无求向后读取)。

-R <阅读过滤器>

原因指定的过滤器(它使用的读/显示过滤器的语法,而不是捕获过滤器)分析第一遍期间应用。包不匹配的过滤器不考虑未来的通行证。不仅使多传球意识,看到-2。对于单通解剖常规过滤看到-Y替代。

需要注意的是前瞻性领域如'响应于帧#'不能与该过滤器使用的,因为它们不会一直计算当该过滤器被应用。

-s <捕获的Snaplen>

设置默认的快照长度捕捉现场数据时使用。不超过的Snaplen字节每个网络分组的将被读入存储器,或保存到磁盘。0值指定的65535快照长度,从而使全包捕获; 这是默认的。

这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认的快照长度。如果使用后-i选项,它设置快照长度由过去的指定的接口-i此选项之前发生的选项。如果快照长度未设置具体地,如果所提供的默认快照长度被使用。

-S <分隔符>

设置在线分离器包之间进行打印。

-ta |广告| adoy | D | DD |电子| R | U | UD | udoy

设置分组时间戳打印在总结行的格式。该格式可以是以下之一:

一个绝对:绝对时间,在时区的本地时间,是数据包捕获的实际时间,并显示没有日期

广告绝对与日期:绝对日期,显示为YYYY-MM-DD和时间,在时区的本地时间,就是实际的时间和日期的数据包被抓获

adoy绝对有使用日期一年中的一天:绝对日期,显示为YYYY / DOY和时间,在时区的本地时间,就是实际的时间和日期的数据包被抓获

e增量:增量时间是因为前一个数据包被抓获

DD delta_displayed:本delta_displayed时间是自上次显示的报文被抓获

时代:纪元以来以秒为单位的时间(1970年1月1日00:00:00)

相对:相对时间的第一分组和当前分组之间的时间间隔

ü UTC:绝对时间的推移,UTC,是数据包捕获的实际时间,并显示没有日期

UD UTC与日期:绝对日期,显示为YYYY-MM-DD,和时间,UTC,是实际的时间和日期的数据包被抓获

udoy UTC使用一年中一天日期:绝对日期,显示为YYYY / DOY,和时间,UTC,是实际的时间和日期的数据包被抓获

默认格式是相对的。

-T领域| PDML | PS | PSML |文

查看解码的分组数据时设置输出格式。选项??有之一:

字段与指定字段的值-e选项,由指定的形式-E选项。例如,

  -T领域-E隔膜=,-E报价= D

将生成逗号分隔值(CSV)输出适合导入到自己喜欢的电子表格程序。

PDML包详情标记语言,用于解码分组的细节基于XML的格式。此信息相当于印有该分组细节-V标志。

的ps的PostScript对于每个数据包,或各分组的,这取决于是否在的细节的多线图的人类可读一行摘要-V指定标志。

PSML分组摘要标记语言,用于解码分组的摘要信息的基于XML的格式。此信息相当于在一行摘要默认打印出的信息。

文本中的每个报文,或各分组的,这取决于是否在的细节的多线图的人类可读一行摘要文本-V指定标志。这是默认的。

-u <秒类型>

指定秒的类型。有效的选择是:

s为秒

HMS的小时,分钟和秒

-v

打印版本和退出。

-V

原因tshark的要打印的数据包详细信息视图。

-w <OUTFILE> | -

写入原始分组数据OUTFILE或标准输出,如果 OUTFILE为“ - ”。

注:-w提供原始数据包数据,而不是文字。如果你想文本输出需要重定向标准输出(例如,使用'>'),不使用-w 选项这一点。

-W <文件格式选项>

保存在文件中的额外信息,如果该格式支持它。例如,

  -F pcapng -W?

将节省主机名解析记录以及捕获的数据包。

Wireshark的未来版本可能会采集格式自动更改为 pcapng需要。

的说法是,可能包含了下面这封信的字符串:

写网络地址解析信息(仅pcapng)

-x

引起tshark的到打印摘要和/或细节后打印分组数据的一个十六进制和ASCII转储,如果有一个也被显示。

-X <分机选项>

指定要传 ??递给一个选项tshark的模块。扩展选项的形式extension_key ,其中extension_key可以是:

lua_script:lua_script_filename告诉tshark的加载,除了默认的Lua脚本给定的脚本。

lua_script NUM参数告诉tshark的给定参数传递给确定的“民”,这是“lua_script'命令的数量索引顺序LUA脚本。例如,如果只有一个脚本加载“-X lua_script:my.lua',然后'-X lua_script1:富'将字符串'富'传递给'my.lua'脚本。如果装了两个脚本,如“-X lua_script:my.lua”和“-X lua_script:other.lua”的顺序,那么“-X lua_script2:酒吧”将通过字符串'酒吧'到第二LUA脚本,即“other.lua”。

read_format:file_format告诉tshark的使用给定的文件格式读取该文件(在给定的文件中-r命令选项)。提供了无file_format参数,或者一个无效,会产生可用的文件格式使用的文件。

-y <捕获链接类型>

设置捕捉包中数据链接类型。所报告的值-L是可以被使用的值。

这个选项可以出现多次。如果第一次出现之前使用-i选项,它设置默认的捕捉链路类型。如果使用后-i选项,它设置了由过去的指定接口捕获链路类型-i此选项之前发生的选项。如果捕获链路类型没有设置具体地,如果所提供的默认捕获链路类型被使用。

-Y <显示过滤器>

原因指定的过滤器(它使用的读/显示过滤器的语法,而不是捕获过滤器)打印数据包的解码形式或写入数据包文件之前得到应用。匹配的数据包过滤器打印或写入文件; 该匹配的数据包取决于(例如,片段),不打印,但写入文件包; 包不匹配的过滤器,也不依赖于被丢弃,而不是被印刷或书写。

使用此,而不是-R使用单通分析滤波。如果这样做两遍分析(见-2)然后只包匹配的读取滤波器(如果有的话)将被针对该过滤器进行检查。

-z <统计>

获取tshark的收集各类统计和整理显示读取捕获文件后的结果。使用-q标志,如果你正在读一个捕获文件,只希望打印的统计数据,没有任何每个数据包的信息。

注意,-z原选项是不同的-它不会导致统计要收集并且当捕获完成时,它修改常规分组摘要输出到包括与选项指定字段的值被印刷。因此,你不能使用-q 选项,因为该选项将抑制定期汇总数据包输出的打印,也不得使用-V选项,因为这将导致数据包详细信息,而不是要打印的数据包的摘要信息。

目前实施的统计数据是:

-z帮助

显示所有可能的值-z。

-z法新社,SRT [,过滤器 ]
-z骆驼,SRT
-z比较,启动停止TTL [0 | 1] 以便[0 | 1] 方差 [,过滤器 ]

如果可选的过滤器指定,只有那些符合过滤器的数据包将被计算中使用。

-z CONV,类型 [,过滤器 ]

创建一个表,其中列出了可在拍摄中可以看出所有的谈话。 类型指定我们要生成的统计谈话端点类型; 目前所支持的是:

  “ETH”以太网地址
“FC”光纤通道地址
“FDDI”FDDI地址
“IP”IPv4地址
“IPv6的”IPv6??地址
“IPX”IPX地址
“TCP”TCP / IP套接字对IPv4和IPv6的支持
“TR”令牌环地址
“UDP”UDP / IP套接字对IPv4和IPv6的支持

如果可选的过滤器指定,只有那些符合过滤器的数据包将被计算中使用。

表呈现一行的每个会话,并显示的包/字节在每个方向上的数目以及包/字节的总数。表被按照帧的总数量来分类。

-z DCERPC,SRT,UUID小的 [,过滤器 ]

收集呼叫/答复SRT(服务响应时间)数据接口DCERPC UUID,版本主要次要。所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的数量。

例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0将收集的CIFS SAMR接口的数据。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。

例如:-z DCERPC,SRT,12345778-1234-ABCD-ef00-0123456789ac,1.0,ip.addr == 1.2.3.4将收集特定主机SAMR SRT统计。

-z直径,AVP [,cmd.code... ]

此选项允许提取大量捕捉文件最重要的直径领域。恰好一个文本行用于与匹配每个直径消息diameter.cmd.code将被打印。

空直径命令代码或“*”可被规定为马赫任何diameter.cmd.code

例如:-z直径,AVP 提取默认字段从直径消息设置。

例如:-z直径,AVP,280 默认提取物领域从直径DWR消息集。

例如:-z直径,AVP,272 默认提取物领域从直径CC消息集。

提取直径CC的消息最重要的领域:

tshark的-r file.cap.gz -q -z diameter,avp,272,CC-Request-Type,CC-Request-Number,Session-Id,Subscription-Id-Data,Rating-Group,Result-Code

以下字段将打印出的每个直径的消息:

  “帧”帧号。
“时间”框架到达Unix时间。
“SRC”源地址。
“srcport”源端口。
“DST”目标地址。
“dstport”目标端口。
“原”恒串“直径”,它可以用于tshark的输出的后处理。例如grep的/ sed的/ AWK。
“msgnr”序列。在框架内直径消息的数目。例如“2”为在同一帧中的第三直径的消息。
“is_request”'0',如果消息是一请求,'1',如果消息是一个答案。
“CMD”diameter.cmd_code,如'272'的信贷控制消息。
“req_frame”框架相匹配的地方要求被发现或数字“0”。
“ans_frame”框架,其中匹配的答案被发现或数字“0”。
万一“resp_time”以秒响应时间,“0”,如果没有在跟踪中找到匹配的请求/应答。例如,在开始或捕获结束。

-z直径,AVP选项比快得多-V -T文本或-T PDML选项。

-z直径,AVP选项比功能更强大-T场和-z原,COLINFO选项。

在一帧中的多个直径的消息的支持。

几个字段与在一个直径消息同名的支持,如diameter.Subscription-ID-数据diameter.Rating-集团

注:tshark的-q选项,建议取消默认tshark的输出。

-z专家[ ,误差|,警告|,注意|,聊天 ] [ ,过滤器 ]

收集所有的信息专家信息,并显示它们顺序,按严重程度分组。

例如:-z专家,SIP将显示所有严重性专家项符合SIP协议的帧。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。

例如:-z“专家,笔记,TCP”只会收集专家项框架,包括TCP协议,用音符或更高的严重程度。

-z跟随,PROT模式筛选 [ ,范围 ]

显示两个节点之间的TCP或UDP数据流的内容。由第二节点发送的数据的前缀选项卡以从由所述第一节点发送的数据区分开。

PROT指定的传输协议。它可以是一个: TCP TCP UDP UDP SSL SSL

模式指定输出模式。它可以是一个: ASCII ASCII输出为点非打印字符 十六进制 十六进制和ASCII数据偏移 原始 的十六进制数据

由于在输出ASCII模式可以包含换行符,输出端加一个换行符的每个部分的长度先输出的每一部分。

过滤指定要显示的流。UDP流选择IP地址和端口对。TCP流与选择无论是流索引或IP地址和端口对。例如: IP-ADDR0:PORT0,IP-ADDR1:PORT1 TCP流指数

范围任选指定该流的“块”应显示。

例如:-z“跟随,TCP,六角,1”将在“六角”格式显示所述第一TCP数据流的内容。

  ================================================== =================
遵循:TCP,十六进制
过滤器:tcp.stream EQ 1
节点0:200.57.7.197:32891
节点1:200.57.7.198:2906
00000000 00 00 00 22 00 00 00 07 00 85 0A 07 02 00 E9 02 ......“.... ........
00000010 07 06 E9 00 0F 00 0D 04 00 00 00 01 00 03 00 06 ........ ........
00000020 1F 00 06 04 00 00 ......
00000000 00 01 00 00 ....
00000026 00 02 00 00

例如:-z“跟着,TCP,ASCII,200.57.7.197:32891,200.57.7.198:2906”显示200.57.7.197端口32891和200.57.7.98端口2906之间的TCP流的内容。

  ================================================== =================
遵循:TCP,ASCII
过滤器:(省略可读性)
节点0:200.57.7.197:32891
节点1:200.57.7.198:2906
38
......“......
................
4
....
-z H225,柜台[ ,过滤器 ]

算上ITU-T H.225消息及其原因。在第一列中你得到H.225消息和H.225消息的原因,这发生在当前捕捉文件的列表。出现每个消息或原因的数目被显示在第二列中。

例如:-z H225,计数器。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:使用-z“H225,计数器,ip.addr == 1.2.3.4”只收集统计信息在IP地址1.2.3.4交换主机H.225包。

这个选项可以在命令行上多次使用。

-z H225,SRT [ ,过滤器 ]

收集的请求/响应SRT(服务响应时间)数据ITU-T H.225 RAS。收集的数据是每个ITU-T H.225 RAS消息类型的电话,最小SRT,最大SRT,平均SRT,最小的包,并在最大的数据包数量。您也将获得打开请求的数量(Unresponded请求),废旧反应(反应没有匹配的要求),并重复的消息。

例如:-z H225,SRT

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。

例如:-z“H225,SRT,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换由主机ITU-T H.225 RAS包。

-z寄主,IPv4的] [,IPv6的]

转储收集任何IPv4和/或IPv6地址中的“主机”的格式。IPv4和IPv6地址默认情况下倾倒。

地址是从多个来源,包括标准的“hosts”文件和捕获的流量收集。

-z HTTP,统计,

计算HTTP统计分布。显示的值是HTTP状态码和HTTP请求的方法。

-z HTTP,树

计算HTTP数据包分配。显示的值是HTTP请求模式和HTTP状态代码。

-z http_req,树

通过计算服务器的HTTP请求。显示的值是服务器名称和URI路径。

-z http_srv,树

计算的HTTP请求和响应通过服务器。为HTTP请求,显示的值是服务器的IP地址和服务器的主机名。为HTTP响应,显示的值是服务器的IP地址和状态。

-z ICMP,SRT [,过滤器 ]

计算总ICMP回应请求,应答的损失,并%的损失,以及最大值,最小值,平均值,中位数和样本标准差SRT统计典型什么平提供。

例如:-z ICMP,SRT,ip.src == 1.2.3.4将收集的ICMP回应请求数据包从一个特定的主机发出ICMP SRT的统计数据。

这个选项可以在命令行上多次使用。

-z的ICMPv6,SRT [,过滤器 ]

计算总的ICMPv6回显请求,应答的损失,并%的损失,以及最大值,最小值,平均值,中位数和样本标准差SRT统计典型什么平提供。

例如:-z的ICMPv6,SRT,ipv6.src == FE80 :: 1将收集的ICMPv6回送请求数据包从一个特定主机发起的ICMPv6 SRT的统计数据。

这个选项可以在命令行上多次使用。

-z IO,PHS [,过滤器 ]

创建协议层次统计,列出两个数据包数量和字节。如果没有过滤器指定的统计信息将被计算所有数据包。如果过滤器是特定的统计数据将只计算那些匹配过滤器的报文。

这个选项可以在命令行上多次使用。

-z IO,统计,区间 [,过滤器 ] [,过滤器 ] [,过滤器 ] ...

收集数据包/字节统计的时间间隔拍摄 间隔秒 间隔可以指定为一个整数或分数第二,可以用微秒(我们)分辨率进行指定。如果间隔为0,则统计数据将被计算在所有的数据包。

如果没有过滤器指定的统计信息将被计算所有数据包。如果一个或多个滤波器是特定的统计将被计算为所有的过滤器和带有统计每个滤波器的一列。

这个选项可以在命令行上多次使用。

例如:-z IO,统计,1,ip.addr == 1.2.3.4会产生向/从主机1.2.3.41秒统计所有流量。

例如:-z“IO,统计,0.001,SMB && ip.addr == 1.2.3.4”将产生的所有SMB数据包到/从主机1.2.3.4 1ms的统计数据。

以上所有的例子都使用标准的语法,用于产生统计仅计算在每个时间间隔的数据包和字节数。

IO,统计还可以做更多的统计和计算COUNT() SUM() , MIN() MAX() AVG()load()的使用略有不同的过滤器语法:

-z IO,统计,区间,“[COUNT | SUM | MIN | MAX | AVG | LOAD](过滤器 “

注:一件重要的事情,这里要注意的是,过滤器是不可选的,并且该计算是基于该领域必须是过滤字符串或计算将失败的一部分。

所以:-z IO,统计,0.010,AVG(smb.time)不起作用。使用-z IO,统计,0.010,AVG(smb.time)smb.time代替。另外要注意,一个领域可以存在多次同样的包内,在这些数据包将被计算多次。

注:第二个重要的一点要注意的是,该系统设置小数点分隔符必须设置为“。”!如果它被设置为“”的统计将不会每滤波器显示。

COUNT(滤波器 -计算的次数,该字段名称每个间隔中的过滤包表(而不是它的值)出现。''  ''可以是任何显示过滤器名称。

例如:-z IO,统计,0.010,“COUNT(smb.sid)smb.sid”

这将计数见于每10ms的间隔的SID的总数。

SUM(过滤器 -不像COUNT,该将指定字段的每个时间间隔相加。''  '只能是一个名为整数,浮点数,双或相对时间字段。

例如:-z IO,统计,0.010,“SUM(frame.len)frame.len”

报告中双向传输的所有数据包,一个10毫秒的时间间隔内的总字节数。

最小/最大/平均值(滤波器 -的最小值,最大值,或者在每个时间间隔的平均场值被计算。指定的字段必须是一个名为整型,浮点型,双或相对时间字段。为相对时间字段,输出呈现以秒为精度四舍五入至最接近微秒六个小数位。

在下面的例子中,第一Read_AndX呼叫的时间,最后Read_AndX响应值显示和最小值,最大值和平均读响应时间(SRT中)被计算。注:如果在DOS命令行外壳符,'^'时,每行不能以逗号结束所以它被放置在每个连续行的开头:

  tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,统计,0,
“MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 0”,
“MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 1”
“MIN(smb.time)smb.time和smb.cmd == 0x2E之间”,
“MAX(smb.time)smb.time和smb.cmd == 0x2E之间”,
“AVG(smb.time)smb.time和smb.cmd 0x2E的==”
  ======================================================================================================
IO统计
列#0:MIN(frame.time_relative)frame.time_relative和smb.cmd == 0x2E读取和smb.flags.response == 0
列#1:MAX(frame.time_relative)frame.time_relative和smb.cmd == 0x2E之间和smb.flags.response == 1
列#2:MIN(smb.time)smb.time和smb.cmd 0x2E的==
列#3:MAX(smb.time)smb.time和smb.cmd 0x2E的==
列#4:AVG(smb.time)smb.time和smb.cmd 0x2E的==
|列#0 |列#1 |列#2 |列#3 |列#4 |
时间| MIN | MAX | MIN | MAX | AVG |
000.000- 0.000000 7.704054 0.000072 0.005539 ??0.000295
======================================================================================================

下面的命令显示的平均SMB响应读取PDU大小,读取的字节PDU总数,平均SMB写请求PDU大小,并在SMB写的PDU传输的字节总数:

  tshark的-n -q -r smb_reads_writes.cap -z IO,统计,0,
“AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to”
“SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to”
“AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to”
“SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to”
  ================================================== ===================================
IO统计
列#0:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E读取和smb.response_to
列#1:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd == 0x2E之间和smb.response_to
列#2:AVG(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to
列#3:SUM(smb.file.rw.length)smb.file.rw.length和smb.cmd ==值为0x2F,而不是smb.response_to
|列#0 |列#1 |列#2 |列#3 |
时间| AVG | SUM | AVG | SUM |
000.000- 30018 28067522 72 3240
================================================== ===================================

LOAD(过滤器 -加载??/队列深度的每个间隔计算。指定字段必须是相对时间字段表示一个响应时间。例如smb.time。对于每个区间的队列深度为指定的协议的计算方法。

下面的命令显示平均SMB LOAD。值为1.0表示一个I / O在飞行。

  tshark的-n -q -r smb_reads_writes.cap
-z“IO,统计,0.001,LOAD(smb.time)smb.time”
  ================================================== ==========================
IO统计
间隔:0.001000秒
列#0:LOAD(smb.time)smb.time
|列#0 |
时间| LOAD |
0000.000000-0000.001000 1.000000
0000.001000-0000.002000 0.741000
0000.002000-0000.003000 0.000000
0000.003000-0000.004000 1.000000

框架| BYTES [()过滤器 ] -显示帧或字节总数。该过滤器领域是可选的,但如果把它列入必须以''()''预先考虑。

下面的命令显示五列:使用单个逗号,相同的两个统计使用框架帧和字节(传送双向)的总数和BYTES子,含有至少一个SMB读响应帧的总数量,以及总在IP传送给客户端(单向)的字节数地址10.1.0.64。

  tshark的-o tcp.desegment_tcp_streams:FALSE -n -q -r smb_reads.cap -z IO,统计,0,框架,字节,
“框架()== smb.cmd 0x2E的和smb.response_to”,“字节()== ip.dst 10.1.0.64”
  =======================================================================================================================
IO统计
列#0:
列#1:框架
列#2:字节
列#3:帧()== smb.cmd 0x2E的和smb.response_to
列#4:字节()== ip.dst 10.1.0.64
|列#0 |列#1 |列#2 |列#3 |列#4 |
时间|框架|字节|框架| BYTES |框架| BYTES |
000.000- 33576 2972??1685 33576 2972??1685 870 29004801
=======================================================================================================================
-z MAC-LTE,STAT [ ,过滤器 ]

这个选项将会激活LTE MAC消息的计数器。您将获得有关的UE / ??TTI,常见的消息和各种计数器出现在日志中每个UE的最大数量的信息。

例如:-z MAC-LTE,统计。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计只计算那些匹配过滤器,帧。例如:-z“MAC-LTE,统计,MAC-lte.rnti 3000“>只会收集统计信息的UE与分配RNTI,其值是3000多。

-z MEGACO,RTD [ ,过滤器 ]

收集的请求/响应的RTD(响应时间延迟)数据MEGACO。(这类似于-z尖儿,SRT)。所收集的数据是呼叫为每个已知MEGACO类型,MinRTD,MaxRTD和AvgRTD的数量。此外,你得到重复的请求/响应,unresponded请求,响应,不与任何请求匹配的数量。例如:-z MEGACO,RTD。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“MEGACO,RTD,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机MEGACO包。

这个选项可以在命令行上多次使用。

-z MGCP,RTD [ ,过滤器 ]

收集的请求/响应的RTD(响应时间延迟)数据MGCP。(这类似于-z尖儿,SRT)。所收集的数据是呼叫为每个已知MGCP类型,MinRTD,MaxRTD和AvgRTD的数量。此外,你得到重复的请求/响应,unresponded请求,响应,不与任何请求匹配的数量。例如:-z MGCP,RTD。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“MGCP,RTD,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机MGCP包。

追加所有字段值的数据包的单行摘要输出的信息列。此功能可用于追加任意字段的信息栏,除了该列的正常含量。 现场是价值应放置在Info列字段的显示过滤器名称。 过滤器是一个过滤器字符串控制对于哪些分组字段值将出现在信息栏中。 现场将仅在信息栏中的数据包匹配其提交过滤器

注:为了使tshark的是能够提取领域从包的价值,必须是一部分过滤字符串。如果不是, tshark的将不能够提取其值。

对于一个简单的例子来了“nfs.fh.hash”字段添加到信息栏包含了“nfs.fh.hash”字段中,使用的所有数据包

-z原,COLINFO,nfs.fh.hash,nfs.fh.hash

为了把“nfs.fh.hash”的信息列,但只对数据包从主机1.2.3.4使用来临:

-z“原,COLINFO,nfs.fh.hash && ip.src == 1.2.3.4,nfs.fh.hash”

这个选项可以在命令行上多次使用。

-z RLC-LTE,STAT [ ,过滤器 ]

这个选项将会激活LTE RLC消息的计数器。您将获得有关出现在日志中每个UE通用信息和各种计数器信息。

例如:-z RLC-LTE,统计。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计只计算那些匹配过滤器,帧。例如:-z“RLC-LTE,统计,RLC-lte.ueid 3000“>只会收集统计信息的UE有超过3000 UEID。

-z RPC,程序

收集呼叫/答复SRT数据为所有已知的ONC-RPC程序/版本。数据收集是呼吁每个协议/版本,MinSRT,MaxSRT和AvgSRT的数量。只能使用一次在命令行上此选项。

-z RPC,SRT,程序版本 [,过滤器 ]

收集呼叫/答复SRT(服务响应时间)数据的程序 / 版本。所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT,AvgSRT,以及对各过程的总时间的数目。

例如:-z RPC,SRT,100003,3将收集NFS v3的数据。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。

例如:-z RPC,SRT,100003,3,nfs.fh.hash ==为0x12345678将收集NFS v3的SRT统计特定文件。

-z RTP,溪流

收集统计数据的所有RTP流,并计算最大。三角洲最大。和平均抖动和数据包丢失百分比。

-z SCSI,SRT,CMDSET [,过滤器 ]

收集呼叫/答复SRT(服务响应时间)数据SCSI命令集CMDSET

Commandsets 0:1 SBC:SSC 5:MMC

所收集的数据是呼叫的每一道工序,MinSRT,MaxSRT和AvgSRT的数量。

例如:-z SCSI,SRT,0将收集的SCSI模块命令(SBC)数据。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。

例如:-z SCSI,SRT,0,ip.addr == 1.2.3.4将收集的SCSI SBC SRT统计特定iSCSI / IFCP / FCIP主机。

-z SIP,STAT [ ,过滤器 ]

这个选项将会激活SIP消息的计数器。你会得到每一个出现的方法SIP和状态码的每个SIP的数量。此外,您还可以获得重发SIP消息的数量(仅适用于SIP基于UDP)。

例如:-z SIP,统计。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。例如:-z“抿,统计,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机SIP数据包。

-z中小企业,小岛屿发展中国家

当使用此功能tshark的将打印一份报告,所有发现的SID和帐户名称映射。只有那些其中的帐户名称已知的SID将呈现于表中。

对于此功能工作,你要么需要在首选项,“编辑/首选项/协议/ SMB /探听到SID名映射”,或者您可以通过指定覆盖喜好 -o“smb.sid_name_snooping:TRUE”的tshark的命令行。

由当前的方法tshark的找到SID->名称映射相对限制未来扩张的希望。

-z SMB,SRT [,过滤器 ]

收集呼叫/答复SRT(服务响应时间)的数据为中小型企业。数据收集是呼吁每个SMB命令,MinSRT,MaxSRT和AvgSRT的数量。

例如:-z SMB,SRT

这些数据将作为所有正常的SMB命令单独的表,所有Transaction2命令和所有NT事务命令。只有那些出现在捕捉这些命令将显示其统计数据。仅在一个xAndX命令链中的第一命令将在计算中被使用。因此,对于共同SessionSetupAndX + TreeConnectAndX链,只有SessionSetupAndX呼叫将在统计中使用。这是一个缺陷,该缺陷可能会被固定在未来。

这个选项可以在命令行上多次使用。

如果可选的过滤器提供,该统计将只计算那些匹配过滤器的呼叫。

例如:-z“SMB,SRT,ip.addr == 1.2.3.4”只会收集统计信息的IP地址1.2.3.4交换主机SMB数据包。

--capture注释<评论>

添加评论捕捉到输出文件。

如果创建了pcapng格式的新的输出文件,此选项才可用。只有一个捕捉评论可能每个输出文件中设置。


见PCAP-过滤器(7)的手册页,或者,如果不存在,tcpdump的(8) ,或者,如果不存在,http://wiki.wireshark.org/CaptureFilters


对于协议和协议字段是滤过在一个完整的表tshark的看到Wireshark的过滤器(4)手册页。


这些文件包含各种的Wireshark配置值。

该喜好文件包含全局(系统级)和个人偏好设置。如果系统范围的偏好文件存在,它首先读取,覆盖默认设置。如果个人喜好文件存在,它是下一次读取,改写以前的任何值。注意:如果在命令行选项-o使用(可能不止一次),它将从喜好文件依次覆盖值。

首选项设置形式为prefname ,每行一个,在那里为prefname是偏好和名称就是它应该被设置的值; 空格是允许的:和 。首选项设置可以通过缩进连续行以空格继续在后面的行。一个#字符开始运行到该行的末尾评论:

  在混杂模式下捕捉#?
#TRUE或FALSE(不区分大小写)。
capture.prom_mode:TRUE

全球首选项文件是看在Wireshark的目录下的共享主安装目录的子目录(例如,在/ usr / local / share下/ Wireshark的/喜好)在UNIX兼容的系统,并在主安装目录下(例如, C:\ Program Files文件\ Wireshark的\喜好在Windows系统上)。

个人喜好文件所期望的是 $ HOME / .wireshark /喜好在UNIX兼容的系统和%APPDATA%\ Wireshark的\偏好(或者,如果%APPDATA%没有定义,%USERPROFILE%\应用数据\ Wireshark的\喜好)在Windows系统上。

禁用(启用)协议

该disabled_protos文件包含已被禁用的,所以他们的解剖从来没有所谓的协议,全系统和个人名单。该文件包含协议名称,每行,那里的协议名称是将在该协议显示过滤器中使用相同的名称之一:

  HTTP
TCP#评论

全球disabled_protos文件使用相同的目录作为全球首选项文件。

个人disabled_protos文件使用相同的目录个人喜好文件。

名称解析(主机)

如果个人主机文件存在,它是用来解决IPv4和IPv6地址的任何其他企图都是为了解决这些问题之前。该文件有一个标准的主机 文件语法; 每一行包含一个IP地址和名称用空格隔开。相同的目录作为个人喜好文件被使用。

捕获过滤器的名称解析是由libpcap的在UNIX兼容的系统和WinPcap的Windows上进行处理。因此Wireshark的个人主机文件不会被征询捕获过滤器的名称解析。

名称解析(醚)

该醚文件被咨询到相关6个字节的硬件地址名称。首先,个人醚文件是经得起如果地址没有找到有全球醚文件明年受审。

每一行包含一个硬件地址和名称用空格隔开。该硬件地址的数字之间用冒号(:),破折号(分离- )或周期()。相同的分隔符必须在地址一致地使用。下面三行是一个有效的行醚文件:

  FF:FF:FF:FF:FF:FF广播
c0-00-FF-FF-FF-FF TR_broadcast
00.00.00.00.00.00 Zero_broadcast

全球醚文件找在的/ etc上的UNIX兼容的系统目录下,并在主安装目录(例如C:\ Program Files文件\ Wireshark的)在Windows系统上。

个人醚文件在同一目录中的个人喜好文件寻找。

捕获过滤器的名称解析是由libpcap的在UNIX兼容的系统和WinPcap的Windows上进行处理。因此Wireshark的个人醚文件不会被征询捕获过滤器的名称解析。

名称解析(MANUF)

该MANUF文件用于匹配的制造商的名称的6字节的硬件地址的3字节的销售商部分; 它也可以包含一个掩码指定众所周知的MAC地址和地址范围。该文件的格式是相同的醚文件,除了该窗体的条目:

  00:00:0C思科

可以提供,具有3字节的OUI和供应商的名称,如条目:

  00-00-0C-07-AC / 40全HSRP,路由器

可以指定一个MAC地址,并指示如何地址中有多少位必须匹配掩码。以上条目,例如,有40个显著位,或5个字节,并且将来自00-00-0C-07-AC-00通过00-00-0C-07-AC FF匹配的地址。掩模不必是8的倍数。

该MANUF文件在同一目录作为全球首选项文件找。

名称解析(ipxnets)

该ipxnets文件用于4个字节的IPX网络号关联到的名称。首先,全球ipxnets文件尝试,如果该地址没有发现有个人一个是下一个尝试。

的格式是一样的醚 文件,除了每个地址是4字节,而不是6。另外,该地址可以被表示为一个单一的十六进制数,为的是更常见在IPX的世界,而不是四个六角字节。例如,这些四行是一个有效的行ipxnets文件:

  C0.A8.2C.00 HR
C0-a8-1c-00的CEO
00:00:BE:EF IT_Server1
110F FileServer3

全球ipxnets文件找在的/ etc上的UNIX兼容的系统目录下,并在主安装目录(例如C:\ Program Files文件\ Wireshark的)在Windows系统上。

个人ipxnets文件在同一目录中的个人喜好文件寻找。


WIRESHARK_APPDATA

在Windows上,通常的Wireshark中存储%APPDATA%或%USERPROFILE%所有应用程序数据。您可以通过导出这个环境变量指定的备用位置覆盖缺省位置。

WIRESHARK_DEBUG_EP_NO_CHUNKS

通常情况下每个数据包分配内存在较大的“豆腐块”。此行为不会与调试工具如Valgrind的或ElectricFence工作。导出这个环境变量来强制个人分配。注:禁用块也禁用金丝雀(见下文)。

WIRESHARK_DEBUG_SE_NO_CHUNKS

通常情况下每个文件分配内存在较大的“豆腐块”。此行为不会与调试工具如Valgrind的或ElectricFence工作。导出这个环境变量来强制个人分配。注:禁用块也禁用金丝雀(见下文)。

WIRESHARK_DEBUG_EP_NO_CANARY

通常情况下每个数据包的内存分配是由“金丝雀”,它允许检测内存超支分开。这是以一些额外的内存使用量为代价。导出这个环境变量来禁用这些加那利群岛。

WIRESHARK_DEBUG_SE_USE_CANARY

导出这个环境变量会导致每个文件的内存分配与“金丝雀”,它允许检测内存溢出保护。这是以显著额外的内存使用量为代价。

WIRESHARK_DEBUG_SCRUB_MEMORY

如果这个环境变量设置,每个数据包和每个文件存储器的内容被初始化为0xBADDCAFE当分配内存,并且被重置为0xDEADBEEF释放内存时。主要是开发商在寻找的方式存储的错误处理,此功能是非常有用的。

WIRESHARK_DEBUG_WMEM_OVERRIDE

设置这个环境变量强制wmem框架使用指定的分配器后端*所有的*分配,无论哪个后端通常是由代码指定的。测试或调试时,这主要是有用的开发商。见README.wmem详细细节源分布。

WIRESHARK_RUN_FROM_BUILD_DIRECTORY

该环境变量导致要由生成目录(其中程序被编译)加载插件和其它数据文件,而不是从标准位置。它有当有问题的程序与* NIX根(或setuid的)权限运行没有影响。

WIRESHARK_DATA_DIR

该环境变量引起的各种数据文件从目录不是标准位置其它加载。它有当有问题的程序与* NIX根(或setuid的)权限运行没有影响。

WIRESHARK_PYTHON_DIR

这个环境变量指向的备用位置的Python。它有当有问题的程序与* NIX根(或setuid的)权限运行没有影响。

ERF_RECORDS_TO_CHECK

这个环境变量控制决定时,如果文件确实是在ERF格式ERF记录数核对。设置此环境变量而不是默认的(20)一些更高将使误报的可能性较小。

IPFIX_RECORDS_TO_CHECK

这个环境变量控制决定时,如果文件确实是在IPFIX格式的IPFIX记录数核对。设置此环境变量而不是默认的(20)一些更高将使误报的可能性较小。

WIRESHARK_ABORT_ON_DISSECTOR_BUG

如果这个环境变量设置,tshark的将调用中止(3) 一个解剖遇到错误时, 中止(3)将导致程序异常退出; 如果你正在运行tshark的一个调试器,它应该停止在调试器,并允许过程检验,而且,如果你没有运行在一个调试器,它将,在一些操作系统,假设你的环境配置是否正确,产生核心转储文件。这可能是有用的开发商尝试与协议解码解决问题。

WIRESHARK_ABORT_ON_TOO_MANY_ITEMS

如果这个环境变量设置,tshark的将调用中止(3) 如果剥离试图太多的项目添加到树(通常这是不是打破了一个循环的解剖的指示很快)。 中止(3)会导致程序异常退出; 如果你正在运行 tshark的一个调试器,它应该停止在调试器,并允许过程检验,而且,如果你没有运行在一个调试器,它将,在一些操作系统,假设你的环境配置是否正确,产生核心转储文件。这可能是有用的开发商尝试与协议解码解决问题。

WIRESHARK_EP_VERIFY_POINTERS

此环境变量,如果存在的话,会导致被审计指针某些用途,以确保它们不会指向被释放后,每个数据包已经完全解剖记忆。这可能是有用的开发人员编写或审计代码。

WIRESHARK_SE_VERIFY_POINTERS

此环境变量,如果存在的话,会导致被审计指针某些用途,以确保它们不会指向时捕获文件被关闭后,释放内存。这可能是有用的开发人员编写或审计代码。

WIRESHARK_ABORT_ON_OUT_OF_MEMORY

此环境变量,如果存在的话,原因中止(3)要如果某些出内存不足的条件(这通常会导致一个例外,一个解释性的错误消息)都是经验丰富的调用。这可能是有用的开发者调试出内存不足的情况。

05-08 08:15